snort rule 설정

실습> snort rule 설정

1. 첫 번째 조건
설정 파일 : /etc/snort/rules/local.rules
룰 번호 (sid) : 1000001
출발지(192.168.108.102)에서 목적지(192.168.108.100)으로 가는 icmp 메세지를 경보/로깅

Host OS(192.168.108.1) 에서 192.168.108.100 으로 ping을 보내면 경보/로깅에 남지 않는다.
Attacker (192.168.108.102) 에서 192.168.108.100 으로 ping을 보내면 경보/로깅에 남는다.

-- 정답 --

-- /etc/snort/rules/local.rules --
alert icmp 192.168.108.102 any -> 192.168.108.100 any ( msg:"ICMP ping test"; sid: 1000001; )
-- /etc/snort/rules/local.rules --

Victim2# snort -A console -q -i ens33 -u snort -g snort -c /etc/snort/snort.conf 

C:\Users\user1>ping 192.168.108.100  <-- Host OS 에서 보내면 alert가 출력되지 않는다.

Attacker# ping -c 2 192.168.108.100  <-- Attacker 에서 보내면 alert가 출력된다.

01/13-21:43:41.348509  [**] [1:1000001:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.102 -> 192.168.108.100
01/13-21:43:42.371496  [**] [1:1000001:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.102 -> 192.168.108.100

2. 두 번째 조건
설정 파일 : /etc/snort/rules/local.rules
룰 번호 (sid) : 1000002
출발지(192.168.108.100)에서 목적지(8.8.8.8)로 가는 icmp 메세지를 경보/로깅

Victim2# ping 192.168.108.102 <-- ping을 보내면 경보/로깅에 남지 않는다.
Victim2# ping 8.8.8.8         <--  ping을 보내면 경보/로깅에 남는다.

#alert icmp 192.168.108.102 any -> 192.168.108.100 any ( msg:"ICMP ping test"; sid: 1000001; )
alert icmp 192.168.108.100 any -> 8.8.8.8 any ( msg:"ICMP ping test"; sid: 1000002; )

Victim2# ping -c 4 192.168.108.102   <-- ping을 보내면 경보/로깅에 남지 않는다.
Victim2# ping -c 4 8.8.8.8  <--  ping을 보내면 경보/로깅에 남는다.

콘솔에는 아래처럼 남는다.
Victim2# snort -A console -q -i ens33 -u snort -g snort -c /etc/snort/snort.conf 
01/13-21:51:47.227165  [**] [1:1000002:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.100 -> 8.8.8.8
01/13-21:51:48.229842  [**] [1:1000002:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.100 -> 8.8.8.8
01/13-21:51:49.232015  [**] [1:1000002:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.100 -> 8.8.8.8
01/13-21:51:50.233558  [**] [1:1000002:0] ICMP ping test [**] [Priority: 0] {ICMP} 192.168.108.100 -> 8.8.8.8