전체 글 (13) 썸네일형 리스트형 snort rule 설정 Rule 구조 - header header option action protocol s.ip s.port -> d.ip d.port option ※ Rule은 /etc/snort/rules/local.rules에 추가한다. - action alert : 경고 발생, 로그 기록 log : 로그 기록 pass : 무시 drop : 방화벽을 통해 패킷 차단, 로그 기록 reject : 방화벽을 통해 패킷 차단, 로그 기록(응답 후 차단) sdrop : drop 과 동일 단 로그 없음 active : alert 발생, 대응하는 dynamic rule을 활성화 dynamic : active에 의해 활성화 시에만 작동, log와 동일 - protocol tcp, udp, ip, icmp, any - s.ip [d... snort 설치 - IDS(Intrusion Detection System) 시 스템에서 snort는 A-BOX에 해 당한다. - R-BOX를 강화시키고 여러가지 보안 기능을 포함하는 시스템을 IPS (Intrusion Prevention System) 라 한다. - E-box : daq(Data AcQuisition system) - D-box : barnyard2, MySQL snort는 snort.org에서 제공 - 2.9.0 부터 DB에 대한 connect 기능이 제공되지 않는다. - snort, DAQ( Data Acquisition Package)는 다양한 배포본이 제공된다. - sniffer등으로도 사용 가능하다. 설치 과정 1. 관련 패키지 설치 2. daq 설치 3. snort 설치 4. 기본 환경 설정.. ARP Redirect 실습 ARP Redirect란? 위조된 ARP reply 패킷을 공격 대상에게 브로드캐스트로 주기적으로 보내 공격자의 MAC 주소를 라우터의 MAC주로라고 속이는 것이다. ARP Redirect 공격은 기본 2계층에서 실시된다. ARP Redirect는 LAN의 모든 호스트 대 라우터 공격이다. 공격자 자신만은 원래 라우터의 MAC 주소를 알고 있어야 하며, 받은 모든 패킷을 다시 라우터로 릴레이 해 주어야 한다. 구성과 계획 구성 계획 1. 필요한 툴 : dsniff(arpspoof를 사용하기 위함), fragrouter(패킷의 포워딩) 2. 공격 대상의 패킷을 가로채기 위해 arpspoof를 사용하여 자신의 MAC주소를 라우터(게이트웨이)의 MAC주소로 속임 3. fragrouter를 사용하여 받은 패킷들.. 이전 1 2 3 4 5 다음 목록 더보기
