포트 미러링

포트 미러링

● 네트워크 스위치에서 스위치 포트를 통과하는 패킷들을 감시 또는 관찰하기 위해 패킷들을 다른 스위치 포트로 복사하는 방법

● 네트워크 진단 도구나 오류 수정, 공격 차단을 위해 사용

● 패킷 복사용 포트와 패킷 송신용 포트를 지정하여 포트 미러링 설정

 

SPAN

● Port Mirroring 기술

● SPAN을 위한 Source Port와 Destination Port 쌍을 모니터 세션이라고 함

• Source Port는 다중 설정 가능
• Destination Port는 하나만 설정 가능
• 하나의 스위치에서 설정할 수 있는 모니터 세션은 2개

---

간단 실습

 

IDS = CentOS

Server = Rocky Linux

R1

f0/0 = 10.10.10.254

f0/1 = 192.168.50.222

ip route 0.0.0.0 0.0.0.0 192.168.50.2

R2를 라우터로 설정한 다음 스위치로 모습만 바꾼 것

3/2에서 송수신되는 트래픽을 복제하겠다~

both : 양방향 복사

rx : 받는 데이터 복사

tx : 보내는 데이터 복사

3/15로 복제한 트래픽을 전송하겠다~

IDS가 PC1에서 R1으로 통신하는 모습을 탐지할 수 있다.

CentOS에서 10.10이 10.254로 통신하는 것을 확인할 수 있다

---

cd /var/log/snort/

vim alert

alert 파일에 탐지된 것들이 기록된다.

snort -D -c /etc/snort/snort.conf 

→ 데몬모드로 실행한다는 의미

kill -9 20702 입력하면 종료하는 것