[Suricata] 설치 & rule 만들어보기

[Suricata] 설치 & rule 만들어보기

P.study/설치 2020. 5. 31. 22:29
suricata가 도데체 무엇인고....

아브라카다브라도 아니고 정말 신기한 이름일세...

[ 개념 ]

Suricata

IDS (침입탐지시스템) / IPS (침입방지시스템) 이 가능한 오픈소스 기반의 툴.

서비스등에서 발생하는 보안과 관련된 각종 로그 및 이벤트를 통합해서 모니터링할때 사용.

Snort

실시간 traffic 분석 및 packet logging 할때 사용.

Snort 와 Suricata 차이점

Snort Single-Thread 지원

Suricata Multi-Thread 지원

rule

suricata를 이용해서 해당 사이트의 로그를 나만의 방식으로 설정하고 싶을때 작성

suricata rule 작성 관련 규칙 ↓

https://suricata.readthedocs.io/en/suricata-4.1.4/rules/intro.html

4.1. Rules Format — Suricata 4.1.0-dev documentation

Signatures play a very important role in Suricata. In most occasions people are using existing rulesets. This Suricata Rules document explains all about signatures; how to read, adjust and create them. drop (msg:”ET TROJAN Likely Bot Nick in IRC (USA +..

suricata.readthedocs.io

[ Suricata 설치 ( 칼리 리눅스 ) ]

1. Suricata 설치

sudo apt install suricata

2. Suricata 설치 확인

suricata

이 사진과 비슷하게 나오면 설치 성공!

[ 실습 ]

1. rule 파일 만들기 - 확장자명이 .rules 인 파일을 생성 & 작성한다.

ex) test.rules (tistory.com 관련 룰 작성)

vi test.rules

alert tcp any any -> any 80 (msg:"tistory.com access"; content:"GET /"; content:"Host: "; content:"tistory.com"; sid:10001; rev:1;)

더보기

전송계층 : TCP

포트 : 80

content : "GET", "Host: ", "tistory.com"

지정 번호 : 10001번

rev : 1 (응답?)

2. Suricata 실행

suricata -s test.rules -i eth0

3. log 실행

로그파일 위치 : var/log/suricata/fast.log (밑에 명령어중 본인 경로를 잘 확인하고 둘중에 하나 사용하면됨. 본인은 2번째 사용)

tail -f /var/log/suricata/fast.log

tail -f fast.log

4. log 확인

tistory.com에 들어가본다.

로그 확인!

rules 파일 관련해서 더 공부를 해서 작성을 해보겠숩니다..

현재 https 의 로그확인하는 rule을 고안하는 중인데...

tcp tls... 어렵다 어려워어
저작자표시 비영리

'P.study > 설치' 카테고리의 다른 글

[Windows] Android Studio 설치 (2) 2020.05.05

리눅스에 gdb 설치하기 (0) 2020.03.21
관련글 관련글 더보기
- [Windows] Android Studio 설치
- 리눅스에 gdb 설치하기
댓글