Snort 환경 구성

오늘은 snort를 활용해서 실습하기 전에

 

snort 환경을 구성했다.

 

snort 환경을 구성하기 위해서는 여러 설치 프로그램이 있는데, 민감하기 때문에 버전 별 호환을 잘 고려해야 한다.

 

그렇게 환경 구성을 가이드를 완성했다.

 

[20주차] snort 환경구성.pdf

1.53MB

 

[4줄 요약]

 

1. 본인은 맥북 m2 기종을 가지고 있고, VMware을 구성할 때 64비트 운영 체제(window), ARM 프로세서로 진행했다. 

 

2.  VMware는 총  Client, Server 2개를 구축했다. 악성코드 행위 분석용 클라이언트 인 Client(Victim)와 snort 환경을 구성할 Server *두 운영 서버는 통신을 해야하기 때문에 방화벽을 열어줬음

 

3. snort 환경을 위한 프로그램 설치 버전

• Snort : 2.9.2.3 
  • 분석의 메인이 되는 도구이다. 
  • 처음에는 2.9.20을 설치했지만, schemas라는 폴더가 없어서 2.9.2.3을 설치함
• Npcap : 1.8 
  • 네트워크로 전송되는 패킷을 탐지하기 위한 라이브러리 및 도구이다. 
  • 처음에는 Winpcap을 설치했지만, ARM 프로세서를 지원하지 않기 때문에, 대체재로 Npcap을 설치함
• XAMPP : 1.71
  • PHP 개발환경에 필요한 툴들을 묶어서 한 번에 설치하고 연동시켜 주는 프로그램이다.
• ADOdb : 5.20.21
  • Snort 로그 데이터를 MySQL 데이터베이스에 저장하고 PHP 스크립트를 통해 처리하는 데 사용된다.
• BASE : 1.4.5
  • Snort와 직접적으로 연결된 웹 인터페이스 도구로, Snort가 탐지한 이벤트 데이터를 시각화 하여 분석할 수 있도록 한다.
• Notepad++ : 8.6.7
  • Snort 규칙과 구성 파일을 수정하는 데 사용되는 코드 편집기이다. Snort의 작동 방식과 필터링 규칙을 조정하는 데 필수적이다.

4.  Snort.conf 설정이 필요하고, 설정을 다하면 cmd 창에서 "snort.exe -W" 으로 Snort 네트워크 인터페이스 확인한다. 이후, "snort.exe -T -c c:\snort\etc\snort.conf -l c:\snort\log -i 1" 를 입력하여 Snort.conf 파일 검증 테스트 진행

 

---

 

snort는 되게 민감하기 때문에 환경 구성이 쉽지만은 않았다. 하지만, 여러 참고 자료와 시행착오를 통해 올바르게 환경구성을 할 수 있었다.

 

앞으로 snort 를 이용하여 실습을 진행해볼 예정이다. 

 

파이팅 해보입시다 !!