본문 바로가기
INFOSEC/LINUX

SNORT ( 2 ) - rules

知娜 2019. 9. 27. 09:41

snort 구조

 

 

Snort Rules 구성

# snort -c /etc/snort/snort.conf -A console

 

A : alert  mode 

c  : 설정파일 위치 

V : 버전정보표시

v : sniffing 모드로 동작

d : 모든네트워크 계층 포함

e : 데이터링크 계층 헤더 포함

 

 

# cd /etc/snort/rules/

[root@localhost rules]# ls



[root@localhost rules]# vi /etc/snort/rules/protocol-telnet.rules

 

alert 명령어 앞에 있는 주석을 모두 해제해준다.

 

snort를 이용하여 텔넷 로그인 실패를 확인.

텔넷 클라이언트 (xp) 에서 텔넷 서버 (centos_minimal)로 접속을 일부러 실패 (3번 이상) 한 후 snort 에서 확인

 

 

snort -c /etc/snort/snort.conf -A console

 

 

[root@localhost rules]# vi /etc/snort/rules/local.rules

alert icmp 200.200.200.150 any -> 200.200.200.148 any (msg: "icmp  test";sid:1000001;)

 

vi /etc/snort/rules/local.rules

 

[root@localhost ~]# snort -c /etc/snort/snort.conf -A console

 

200.200.200.150 (xp) 핑-> 200.200.200.148(minimal) 해보면

 

ping -t 200.200.200.148

 

snort -c /etc/snort/snort.conf -A console 

 

[root@localhost rules]# vi /etc/snort/rules/local.rules

 

vi /etc/snort/rules/local.rules

icmp type 8번 : request

icmp type 0번 : reply

icmp type 11번 : TTL만료

 

 

# snort -c /etc/snort/snort.conf -A console

snort -c /etc/snort/snort.conf -A console

 

[root@localhost rules]# vi /etc/snort/rules/local.rules

 

 

[root@localhost ~]# snort -c /etc/snort/snort.conf -A console

 

 

 

alert tcp 10.10.10.0/24 any <> 10.10.10.0/24 23 \

(msg:"Windows Telnet Login Failed", content:"Login Failed";sid:1000005;)

 

Linux Telnet 로그인 실패시 상황을 와이어샤크로 확인하고

content 에 입력하여 직접 snort 에서 확인해볼것

 

icmp:

#alert icmp 10.10.10.10 any -> 10.10.10.20 any (msg:"icmp test";sid:1000001;) 

alert icmp 10.10.10.10 any <> 10.10.10.20 any (msg:"echo request ";itype:8;sid:1000002;) 

 

itype: 8번-request, 0번-reply, 11번-time exdceeded, 5번-redirect



telnet:

# vim /etc/snort/rules/protocol-telnet.rules (주석 다 해제해서 저장해서 텔넷로그인싪패를 확인)

# snort -c /etc/snort/snort.conf -A console

 

# vi /etc/snort/rules/local.rules

alert tcp 10.10.10.0/24 any <> 10.10.10.0/24 23 \

(msg:"Windows Telnet Login Failed", content:"Login Failed";nocase;sid:1000005;)
# snort -c /etc/snort/snort.conf -A console

 

ssh:

alert tcp 10.10.10.0/24 any <> 10.10.10.0/24 22 \

(msg:"SSH Failed", content:"SSH";nocase;sid:1000006;)
# snort -c /etc/snort/snort.conf -A console

저작자표시

'INFOSEC > LINUX' 카테고리의 다른 글

iptables  (0) 2019.10.10
DHCP - Relay Agent ( Helper Address )  (0) 2019.09.30
SNORT  (0) 2019.09.26
Rootkit 감지  (0) 2019.09.25
Backdoor Rootkit  (0) 2019.09.25

'INFOSEC/LINUX' Related Articles

티스토리툴바