이제 설치한 snort를 정상적으로 탐지를 하는지 테스트 해보자
ICMP (Ping)을 탐지하는 Rule을 추가해보자
# vim /etc/snort/rules/local.rules
맨 아랫 줄에 아래와 같이 추가해준다.
alert icmp any any -> any any ( msg:"ICMP Test"; sid:100001; )
알림 프로토콜종류 소스IP 소스PORT -> 목적지IP 목적지PORT (msg:"알림로그메세지"; sid:다른 rule의 sid와 겹치지 않는 고유 숫자; 그리고 기타 옵션)
vim /etc/snort/sid-msg.map
맨 아랫 줄에 아래와 같이 추가해준다.
100001 || ICMP Test
(local.rules에서 사용했던 sid 번호와 msg를 써주자 || 는 파이프 문자다)
이제 snort를 실행햅자
snort -c /etc/snort/rules/local.rules
그리고 로그를 확인해 보기 위하여 터미널을 새로 하나 열거나
xshell을 이용하여 연결을 한 다음
tail -f /var/log/snort/alert 을 입력하고 대기한다.
# tail -f /var/log/snort/alert
이제 snort로 Ping을 보내보면
아래와 같이 로그가 올라오는 걸 볼 수 있다.
4번의 Ping을 보냈지만 8개가 올라올 것이다
그건 any any -> any any 이고 icmp 모두를 알림하게 설정했기 때문이다
(그림에서 보듯 ECHO와 ECHO REPLY 2종류다)
간단하게 snort가 제대로 작동하는지만 테스트 해보았는데,
snort의 rule설정은 엄청 다양하게 할 수 있다.
자세한 Rule 설정은
http://semidntmd.tistory.com/136 링크에 있는
블로그 PDF 자료를 참조하자
BASE / Barnyard2 설치는 실패해서
계속 시도 중이다.
잘 된다면 올리고 안된다면 그냥 이렇게 사용하자..