Simple is IT, 누구나 보고 누구나 깨닫는 IT

침입 차단/탐지 시스템(IPS/IDS) Snort_ARPSpoofing, ICMP Redirect Detected Rule 본문

Simple is IT/Security

침입 차단/탐지 시스템(IPS/IDS) Snort_ARPSpoofing, ICMP Redirect Detected Rule

currenjin 2020. 4. 29. 09:42

Snort

네트워크 침입 차단/탐지 시스템(NIPS, NIDS, Network Instrusion Prevention/Detection System)

-> 프로토콜을 분석하며 내용 검색 그리고 매칭을 수행한다.


Sniffer, Packet Logger, 침입 탐지주요 모드

다음과 같은 구성에서 각종 사용법 등을 알아볼 것이다.

서로 간의 라우팅, 인터넷은 되는 상태

Kali : 외부에서 침입을 시도하는 Hacker

Snort : 침입을 방어하기 위한 일종의 보안 장비(CentOS)

XP : 사용자

이번 포스팅은 외부의 공격을 예로 삼아 Snort를 이용할 것이다.


ARP Spoof 탐지

/etc/snort/snort.conf

Ster #5: Configure preprocessors

# preprocessor arpspoof // 주석 처리되어 있다.

# preprocessor arpspoof_detect_host: [ip] [mac] // Gateway 고정

ARP는 다른 네트워크 대역으로 넘어가면 동작하지 않는 프로토콜이다.

원활하게 테스트를 진행하기 위해 구성을 아래와 같이 변경

각 Device들의 목적은 변함이 없다.

Kali

XP

Before

After

Snort

-> 주석 해제 후 GW_IP, GW_MAC 지정

다시 원래의 구성으로 돌아와서...

ICMP Redirect 탐지, ICMP 요청 탐지

itype : ICMP Type 지정

icode : ICMP Type의 Code 지정


Comments