Kali 에서 snort 설치하기 (+snort 란?)

##########
## snort 
##########

참고 : https://ko.wikipedia.org/wiki/스노트
https://ko.wikipedia.org/wiki/호스트_기반_침입_탐지_시스템

IDS 종류 : NIDS, HIDS

snort 제작사 Cisco에서는 snort가 최신 공격패턴을 탐지할 수 있도록 룰셋을 만들어서 배포하며 
룰셋은 커뮤니티 버전(무료), 일반가입자 버전(무료), 구독자 버전(유료) 3가지가 존재한다.
유료가입자는 기술 지원과 함께 바로 룰셋 업데이트를 적용 받지만 일반 사용자는 30일이 지난 후 
동일한 룰셋을 다운받을 수 있다.)
Community rules  : 커뮤니티 버전(무료)으로 누구나 다운로드 받을 수 있다.
Registered rules : 일반가입자 버전(무료)으로 회원등록 후 다운로드 받을 수 있다. 
Subscriber rules : 구독자 버전(유료)으로 비용을 지불해야 다운로드 받을 수 있다.

실습> Kali에서 snort 설치하기

1. snort 설치
snort 를 설치한다.
Attacker# apt -y install snort
Attacker# which snort
Attacker# snort --help
USAGE: snort [-options] <filter options>
Options:
        -A         Set alert mode: fast, full, console, test or none  (alert file alerts only)
                   "unsock" enables UNIX socket logging (experimental).

2. snort 룰 등록
Attacker# vi /etc/snort/rules/local.rules
alert icmp any any -> any any (msg:"ICMP ping test"; sid: 1000001;)

3. snort 실행
snort를 실행해서 침입탐지 시스템을 가동한다.
Attacker# snort -i eth0 -c /etc/snort/snort.conf 
  :
  :(생략)

4. ping 통신 확인
C:\Users\user1>ping 192.168.108.102

5. 접속 로그 확인
/var/log/ 로그 디렉터리에 snort.alert.fast 파일에 기록된다.
Attacker snort# tail -f snort.alert.fast
01/13-04:15:49.568728  [**] [1:1000001:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.1 -> 192.168.108.102
01/13-04:15:49.568806  [**] [1:1000001:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.102 -> 192.168.108.1
01/13-04:15:50.582940  [**] [1:1000001:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.1 -> 192.168.108.102
01/13-04:15:50.582978  [**] [1:1000001:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.102 -> 192.168.108.1