kjh00n의 기록저장소

snort IDS + iptables = IPSservice network restartyum -y install gcc flex bison zlib zlib-devel libpcap libpcap-devel pcre pcre-devel libdnet libdnet-devel tcpdump libnetfilter_queue libnetfilter_queue-devel libmnl  snort 압축푼 파일 3개 그대로 경로 옮기기https://kjh00n.tistory.com/153 Snort 정의 및 설치Snort● 실시간 트래픽 분석과 IP 네트워크 패킷 로깅이 가능한 가벼운 네트워크 침입탐지 시스템● 패킷 수집 라이브러리인 libpcap에 기반한 네트워크 스니퍼● 쉽게 정의할 수 있는 침입탐지 rul..

Server 10.10.10.10telnet server 구성web server 구성 (관리자 페이지 구성 → /var/www/html/admin/index.html)DNS server 구성 (www.kh.com) 1. telnet login 성공시 탐지강사님이 설정한 정책alert tcp 10.10.10.10 23 -> any any (msg:"TELNET LOGIN SUCCESS"; flags:AP; content:"Last login"; nocase; sid:1000002) 2. telnet login 실패시 탐지강사님이 설정한 정책alert tcp 10.10.10.10 23 -> any any (msg:"TELNET LOGIN FAILED"; flags:AP; content:"Login incor..

※Rule 정책 만들 때 절대 Enter치면 안돼~(따로 인식이 된다)정책이 너무 길어서 나누고 싶다면 \를 마지막에 붙이고 Enter 쳐라Snort Rule 구성Protocol, IP, Port● Protocols는 내가 탐지하고 싶은 Protocol을 적는다.● ICMP는 Port가 없으니까 any● TCP나 UDP일 때 Port 입력한다~● [80,443]처럼 [ ]를 사용해서 복수의 Port번호 설정이 가능하다● 10:20처럼 범위로 Port번호 설정이 가능하다 (10부터 20까지)● :20 은 1번부터 20번까지 설정하는 것● 50000: 은 50000번부터 65535번까지 설정하는 것 Action● Action에 pass가 없으면 기본적으로 pass가 적용된다. 얘도 log 안 남긴다.● dr..

포트 미러링● 네트워크 스위치에서 스위치 포트를 통과하는 패킷들을 감시 또는 관찰하기 위해 패킷들을 다른 스위치 포트로 복사하는 방법● 네트워크 진단 도구나 오류 수정, 공격 차단을 위해 사용● 패킷 복사용 포트와 패킷 송신용 포트를 지정하여 포트 미러링 설정 SPAN● Port Mirroring 기술● SPAN을 위한 Source Port와 Destination Port 쌍을 모니터 세션이라고 함Source Port는 다중 설정 가능Destination Port는 하나만 설정 가능하나의 스위치에서 설정할 수 있는 모니터 세션은 2개간단 실습 IDS = CentOSServer = Rocky LinuxR1f0/0 = 10.10.10.254f0/1 = 192.168.50.222ip route 0.0.0.0 ..

Snort● 실시간 트래픽 분석과 IP 네트워크 패킷 로깅이 가능한 가벼운 네트워크 침입탐지 시스템● 패킷 수집 라이브러리인 libpcap에 기반한 네트워크 스니퍼● 쉽게 정의할 수 있는 침입탐지 rule들에 일치되는 네트워크 트래픽을 감시하고 기록하고 경고하는 도구 Snort 구조 Snort 설치 과정설치된 CentOS를 VMplayer로 실행 네트워크 세팅해주기vim /etc/sysconfig/network-scripts/ifcfg-eth1ifcfg-eth0이라고 되어있을텐데 ifcfg-eth1로 이름 변경할 것mv ifcfg-eth0 ifcfg-eth1 입력 (network-scripts로 이동해서)service network restartyum -y install epel-releaseyum re..

DDos● 분산 서비스 거부 공격● 공격 시스템을 여러 대로 분산 배치하여 대량의 트래픽으로 공격대상의 서비스를 마비시키는 공격악성코드를 이용하여 Zombie PC를 획득하여 C&C서버를 통해 공격 명령을 내림Zombie PC를 관리하는 서버 = C&C● 공격자(1) → 좀비 PC(N) vs 공격대상(1) 공격 방식● 물리적인 파괴● 시스템 리소스 공격● 네트워크 대역폭 공격 → 대역폭 고갈 공격 발전 형태 - 초기 다수의 공격자가 지속적인 재요청을 발생시켜서 일반사용자의 서비스를 방해함- 중기 다수의 공격자가 DoS 공격을 직접 수행하여 대량의 트래픽을 발생시켜 공격함- 현재 Bot에 감염된 Zombie PC로 이뤄진 Botnet을 이용하여 공격함 Botnet 형태의 구성요소 • Attacker (=B..