-A console 사용하기

실습>  -A console 사용하기

탐지를 로그에 안남기고 콘솔로 화면에 접속 로그를 출력하고 싶다면 -A console 옵션을 사용한다.
-i : 인터페이스 옵션
-u : 사용자 옵션
-g : 그룹 옵션
-c : 설정파일 옵션
-q : 조용히
-A console : 실행한 화면으로 출력한다.
Victim2# snort -A console -q -i ens33 -u snort -g snort -c /etc/snort/snort.conf

Attacker# ping -c 1 192.168.108.100

Victim2#  snort -A console -q -i ens33 -u snort -g snort -c /etc/snort/snort.conf
01/13-20:36:31.563060  [**] [1:1000001:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.102 -> 192.168.108.100
01/13-20:36:31.563127  [**] [1:1000001:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.100 -> 192.168.108.102
^C

local.rules 파일을 수정한다.
Victim2# vi /etc/snort/rules/local.rules 
alert icmp any any -> 192.168.108.100 any (msg:"ICMP ping test"; sid: 1000001;)

Victim2#  snort -A console -q -i ens33 -u snort -g snort -c /etc/snort/snort.conf

Attacker# ping 192.168.108.100 -c 1

Victim2#  snort -A console -q -i ens33 -u snort -g snort -c /etc/snort/snort.conf
01/13-20:40:48.866967  [**] [1:1000001:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.102 -> 192.168.108.100


실습> snort 룰 복사하기

Attacker (Kali)   : 192.168.108.102
Victim2  (CentOS) : 192.168.108.100

Kali linux에서 snort를 설치하면 여러 룰 파일이 존재하고 이 룰 파일을 CentOS에 복사해서 
사용하면 된다.
Attacker# apt install snort
Attacker# scp /etc/snort/rules/attack-responses.rules 192.168.108.100:/etc/snort/rules

복사된 룰을 설정파일에서 찾아서 주석을 해제한다.
Victim2# vi /etc/snort/snort.conf
  :
include $RULE_PATH/attack-responses.rules


-T : 테스트 옵션
-c : 설정파일 옵션
Victim2# snort -T -c /etc/snort/snort.conf