kjh00n의 기록저장소

※Rule 정책 만들 때 절대 Enter치면 안돼~(따로 인식이 된다)정책이 너무 길어서 나누고 싶다면 \를 마지막에 붙이고 Enter 쳐라Snort Rule 구성Protocol, IP, Port● Protocols는 내가 탐지하고 싶은 Protocol을 적는다.● ICMP는 Port가 없으니까 any● TCP나 UDP일 때 Port 입력한다~● [80,443]처럼 [ ]를 사용해서 복수의 Port번호 설정이 가능하다● 10:20처럼 범위로 Port번호 설정이 가능하다 (10부터 20까지)● :20 은 1번부터 20번까지 설정하는 것● 50000: 은 50000번부터 65535번까지 설정하는 것 Action● Action에 pass가 없으면 기본적으로 pass가 적용된다. 얘도 log 안 남긴다.● dr..

포트 미러링● 네트워크 스위치에서 스위치 포트를 통과하는 패킷들을 감시 또는 관찰하기 위해 패킷들을 다른 스위치 포트로 복사하는 방법● 네트워크 진단 도구나 오류 수정, 공격 차단을 위해 사용● 패킷 복사용 포트와 패킷 송신용 포트를 지정하여 포트 미러링 설정 SPAN● Port Mirroring 기술● SPAN을 위한 Source Port와 Destination Port 쌍을 모니터 세션이라고 함Source Port는 다중 설정 가능Destination Port는 하나만 설정 가능하나의 스위치에서 설정할 수 있는 모니터 세션은 2개간단 실습 IDS = CentOSServer = Rocky LinuxR1f0/0 = 10.10.10.254f0/1 = 192.168.50.222ip route 0.0.0.0 ..