SNORT란 오픈소스 IPS로, 트래픽 탐지와 패킷 로딩이 실시간으로 가능하다는 특징이 있다. 공식 홈페이지에서 다운로드가 가능하다.
프로토콜 검색과 컨텐츠 분석이 가능하고, 다양한 전처리 프로그램을 이용하여 다수의 취약점 익스플로잇 시도를 탐지해내는 능력이 있다. 수많은 종류의 공격과 버퍼오퍼플로우, 비노출 포트 스캔, CGI 공격 등을 탐지하는데 뛰어난 효과를 발휘한다는 장점을 가지고 있다.
SNORT의 구조는 크게 네 가지로 분류할 수 있다.
- 스니퍼(Sniffer) : SNORY IDS를 통과하는 모든 패킷을 수집한다.
- 전처리기(Preprocessor) : 공격 탐지를 위해 플러그인에 먼저 적용시켜 보는 작업을 거치며 매칭 여부를 확인한다.
- 탐지 엔진(Detective Engine) : 룰 기반 탐지 엔진으로, 사전에 정의된 탐지 룰과의 매칭 여부를 확인한다.
- 로깅(Alert Logging) : 정책에 따른 로그를 기록한다.
SNORT를 설정할 수 있는 모드는 총 세 가지이다.
- 스니퍼(Sniffer) 모드 : 네트워크 패킷을 읽어서 콘솔에 표시한다. 이 모드는 출력을 화면에 지속적으로 쏟아내고, 때문에 이 모드에서는 데이터를 보존하기가 어렵다. 따라서 작은 규모의 네트워크에서만 사용하는 것이 좋다.
- 패킷 로거(Packet Logger) 모드 : 패킷을 디스크에 저장한다. 디스크는 사전에 지정된 곳으로 설정되며, 저장된 패킷은 차후에 탐지 · 분석이 가능하다.
- 침입 탐지(Network IDS/IPS) 모드 : 네트워크 트래픽을 분석하고 공격을 탐지한다. 설정에 따라 공격에 대응하기도 한다. 세 모드 중 가장 복잡하고, 조작의 범위가 방대한 모드이다.
참조
https://www.snort.org/
http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node1.html
https://m.blog.naver.com/kimjs6873/220597782024
http://blog.plura.io/?p=5607
'project' 카테고리의 다른 글
| ELK Stack --1 (0) | 2020.01.15 |
|---|---|
| 빅데이터(Big Data) (0) | 2020.01.14 |
| SNORT --2: 설치 (0) | 2020.01.11 |
| IDS/IPS (0) | 2020.01.09 |
| 방화벽(Firewall) (0) | 2020.01.07 |