ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • banyard2 snort Linux에서 사용하기(1)
      Security 2023. 5. 22. 19:08
      반응형

      Ian Firns's Git

       

      반야드란?

      Barnyard2는 Snort의 통합2 이진 출력 파일을 MySQL 데이터베이스에 저장하고 처리하는 방법입니다. Snort는 네트워크 트래픽을 모니터링하고 악성 활동의 징후를 식별하는 침입 탐지 시스템입니다. 통합2 이진 출력 형식은 Snort에서 생성되는 파일 형식이며 네트워크 트래픽에서 탐지된 이벤트에 대한 정보를 저장하는 데 사용됩니다. Barnyard2는 이 파일 형식의 데이터를 MySQL 데이터베이스에 저장하고 처리하는 데 사용할 수 있습니다. 이를 통해 데이터를 저장하고 분석하기가 더 쉬워지고 Snort를 사용하여 악성 활동을 식별하는 것이 더 쉬워집니다.

      snort

      Snort란?

      Snort는 네트워크 트래픽을 모니터링하고 악성 활동의 징후를 식별하는 침입 탐지 시스템입니다. Snort는 오픈 소스 프로젝트이며 Linux, Windows 및 macOS를 포함한 다양한 플랫폼에서 사용할 수 있습니다. Snort는 패킷 필터링, 규칙 기반 탐지 및 딥 패킷 분석을 포함한 다양한 기술을 사용하여 네트워크 트래픽을 분석합니다. Snort는 방화벽, 침입 탐지 시스템 및 보안 정보 및 이벤트 관리 시스템을 포함한 다양한 보안 시스템과 통합할 수 있습니다.

      Snort는 네트워크를 공격으로부터 보호하는 데 사용할 수 있는 강력한 도구입니다. 무료로 사용 가능하며 다양한 플랫폼에서 사용할 수 있습니다. 또한 다양한 보안 시스템과 통합할 수 있습니다.

       

      실행환경 : 

      SQLyog Community Edition

      Wire Shark

      Virtual box UNIX

      putty

       

      1. snort를 사용하기 위한 linux이해

       

      *리눅스에서의 var 경로 

      Linux에서 var 경로(또는 /var)는 시스템의 다양한 종류의 임시 파일이 저장되는 위치입니다. 여기에는 로그 파일, 설정 파일, 웹 사이트 파일 및 이메일 파일이 포함됩니다. var 경로는 운영 체제의 중요한 부분이며 깨끗하고 정리되어 있는 것이 중요합니다.

       

      명령어 : ll /var/log/snort

      ll /var/log/snort 실행결과

      *리눅스에서의 etc 경로

      Linux에서 etc 경로(또는 /etc)는 시스템 설정 파일이 저장되는 위치입니다. 여기에는 네트워크 설정, 사용자 계정 및 서비스 설정이 포함됩니다. etc 경로는 운영 체제의 중요한 부분이며 안전하고 최신 상태를 유지하는 것이 중요합니다.

       

      명령어 : vi /etc/snort/rules/local.rules

       

      vi /etc/snort/rules/local.rules 실행결과

       

      2. Banyard2 - snort 연동

      명령어 실행 : touch /var/log/snort/by.temp

      snort의 로그 기반으로 임시 저장하기 때문에 banyard 의 temp 파일을 생성합니다.

       

      명령어 실행 : vi /etc/snort/sid-msg.map

      vi /etc/snort/sid-msg.map 실행결과

       

      스노트 룰  alert tcp any any -> any any (msg:"filedata-test"; file_data; content:"MSIE     6.0"; sid:1000005; rev:1;) 에 대한 리소스를 동일화 합니다. 이 때, sid와 msg기반으로 동작하므로 동일화 합니다. 또한 rev는 버전관리이므로 누락되지 않게 주의합니다.

      5번째 라인에 새로 사용 할 1000005 || filedata-test 를 추가하였습니다.

       

      3. 구동

      1. 스노트 실행 : 

       

      snort -i [랜카드정보] -c /etc/snort/snort.conf 

      스노트 옵션

      • -i 인터페이스: 모니터링할 인터페이스를 지정합니다.
      • -r: r옵션은 특정 pcap파일을 읽어들입니다.

       

      2. 반야드 실행 :

       barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f alert.log -w /var/log/snort/by.temp

       

      3. ping

       

      4. 로그 및 쿼리 확인

      SQLyog Community Edition은 MySQL 및 MariaDB 서버 및 데이터베이스를 관리하기 위한 무료 그래픽 사용자 인터페이스 (GUI) 도구입니다. SQLyog는 물리적, 가상 및 클라우드 환경에서 실행되며 DBA, 개발자 및 데이터베이스 설계자가 시각적으로 스키마를 비교, 최적화 및 문서화하는 데 사용합니다.

       

      명령어 : ll /var/log/snort

       

      사용 query :

      select a.cid, a.timestamp, b.sig_name, inet_ntoa(c.ip_src), inet_ntoa(c.ip_dst), unhex(d.data_payload)
      from event a, signature b, iphdr c, data d
      where a.signature = b.sig_id
      and a.sid = c.sid and a.cid = c.cid
      and a.sid = d.sid and a.cid = d.cid
      and b.sig_name = 'filedata-test'

       

      반응형
      저작자표시 비영리 변경금지 (새창열림)

      댓글

    Designed by Tistory.

    티스토리툴바