침입 차단/탐지 시스템(IPS/IDS) Snort_ARPSpoofing, ICMP Redirect Detected Rule

Snort

네트워크 침입 차단/탐지 시스템(NIPS, NIDS, Network Instrusion Prevention/Detection System)

-> 프로토콜을 분석하며 내용 검색 그리고 매칭을 수행한다.

Sniffer, Packet Logger, 침입 탐지가 주요 모드

​

​

다음과 같은 구성에서 각종 사용법 등을 알아볼 것이다.

​

서로 간의 라우팅, 인터넷은 되는 상태

​

Kali : 외부에서 침입을 시도하는 Hacker

Snort : 침입을 방어하기 위한 일종의 보안 장비(CentOS)

XP : 사용자

​

​

​

​

이번 포스팅은 외부의 공격을 예로 삼아 Snort를 이용할 것이다.

---

ARP Spoof 탐지

/etc/snort/snort.conf

​

Ster #5: Configure preprocessors

# preprocessor arpspoof // 주석 처리되어 있다.

# preprocessor arpspoof_detect_host: [ip] [mac] // Gateway 고정

​

​

ARP는 다른 네트워크 대역으로 넘어가면 동작하지 않는 프로토콜이다.

원활하게 테스트를 진행하기 위해 ​구성을 아래와 같이 변경

​

각 Device들의 목적은 변함이 없다.

Kali

​

XP

Before

After

​

Snort

-> 주석 해제 후 GW_IP, GW_MAC 지정

​

​

다시 원래의 구성으로 돌아와서...

​

ICMP Redirect 탐지, ICMP 요청 탐지

itype : ICMP Type 지정

icode : ICMP Type의 Code 지정