티스토리 뷰
안녕하세요 보쌈 입니다.
오늘은 우리가 네트워크보안 에서 주로 많이 사용하는 IPS 기능에 대해 말씀 드리려고 합니다.
사실 방화벽은 아직도 Legacy FW로 운영하는게 많다보니 5-Tuple 위주로 방화벽 정책을 설정 합니다.
그래서 잘하는 사람이나 초보자나 별 차이가 없는데요
네트워크보안 엔지니어의 수준 차이는 페이로드를 건들수 있냐? 없냐? 에서 가르마가 타집니다.
그래서 오늘의 주제를 3줄로 요약 하면
Snort 와 Suricata의 차이점을 실무자/초보자 관점으로 정리해 보았고, 룰셋 구성 -> 테스트 -> 결과 까지 한번에 안내
공식 룰 소스 HTTP 실전 예시 제공
Pcap 10 선을 뽑아보았습니다.
우선, 2가지 엔진에 대해 비교 해보겠습니다
Snort3 VS Suricata
| 항목 | Snort 3 | Suricata |
| 아키텍쳐 | Snort2에 대비하여 성능 향상☝ HyperScan으로 패턴매칭 가속 가능 |
Multi-Thread는 기본 제공 고속 캡쳐/검사 기능 제공 |
| 룰 | Snort룰 | 기본적으로는 Snort 문법을 계승하되 자체 키워드 제공(e.g : http.method) |
| 로그 | Text 제공 | Json 등 구조화, 커스텀 시 Text 제공 |
실무자 관점에서는 고속/안정/언어생태계 등을 고려했을떄 Snort3 , 혼용,가시성등 옵션관점에서는 Suricata
초보자라면 무조건 suricata가 진입장벽이 낮답니다
설치 및 동작 모드
1) Snort3 버전 확인 및 DAQ 조회
snort -V
snort --daq-list(*DAQ 는 Snort가 패킷을 받아오는 입/출력 드라이버 층(data Acquisition)입니다. DAQ 조회는 내 Snort가 어떤 드라이버에 들어있는지 리스트로 확인 하는 방법입니다
2) Pcap 구동 방법
○ Snort3
snort -c /etc/snort/snort.lua -R local.rules -r sample.pcap -A alert_fast
○ Suricata
suricata -r sample.pcap -S local.rules -l ./logs
그리고 한가지 실무관점에서 응용 사항으로는
tcpreplay를 통해 패킷을 재생하는 방법도 있습니다.
tcpreplay -i eth0 ./pcaps/sample.pcap
Checklist
1) 초보자 체크리스트
- 오프라인 분석 부터 : suricata -r / snort -r 로 pcap -> 탐지 여부 확인
- 로컬룰 파일 하나로 시작 -> 동작 확인 후 ET/Community 추가
- HTTP로 룰에 대한 감을 먼저 잡고 -> DNS / TLS로 확장 하여 룰 정의
- EVE JSON 출력 확인 -> 눈으로 로깅 품질
2) 실무자 체크리스트
- 룰 소스 버전 , 라이선스 분리
- Snort3 <--> Suricata 비호환 키워드 목록화
- Snort3 HyperScan / 정책 프리셋 튜닝 , Suricata AF_Packet 최적화
- pcap 재생환경분리 TCL(테스트케이스 ) 정의
TroubleShooting
1) 알람이 너무 많다면?
flow , 서비스 한정 하여 로깅을 해보자
그리고 적절한 옵션을 두고 로깅을 줄여보자
예를 들어 Content만 때려 박으면 너무 많은 알람이 오겠죠?
2) 성능은 HyperScan으로 해결
3) 룰 마이그레이션시 인식이 안된다면 ?? -> Snort / Suricata 두 엔진의 Fast_Pattern 차이와 일부 비호환되는 부분을 확인 해보자
마지막으로 PCAP10선
- Wireshark Sample Captures(공식 모음) — 다양한 프로토콜 샘플. Wireshark Wiki
- Wireshark 자동 빌드 캡처(대용량 다수, 퍼지 데이터 포함) — 처리 성능 스트레스용. Wireshark
- Malware-Traffic-Analysis(최신 트래픽 연습) — 2025년 자료까지 주기적 업데이트. malware-traffic-analysis.net+1
- CTU-13 Botnet Dataset — 혼합/봇넷 트래픽 시나리오. Stratosphere Laboratory
- Netresec PCAP 링크 모음 — 공개 PCAP 리포지터리 허브. Netresec
- SQLi 공격 트래픽이 담긴 교육용 PCAP(Cisco NetAcad 실습 자료) — 웹 공격 룰 검증. NetAcad
- DNS/ICMP 터널링 실습용 PCAP(학습 포스트) — 터널 탐지 룰 시험. Medium
- Emotet/Trickbot 계열 감염 PCAP(연도별) — C2/스팸 전개 패턴 관찰. malware-traffic-analysis.net+1
- Stratosphere IPS MCFP — 장기간 악성/정상 혼재 캡처. Stratosphere Laboratory
- 공개 PCAP 리스트 정리(커뮤니티 큐레이션) — 대체 소스 탐색용. Cyberspatial
'보안 > Snort' 카테고리의 다른 글
| IPS 엔지니어가 알아야 할 정보 : 침입 방지 시스템 심층 분석 (1) | 2025.01.09 |
|---|---|
| [IPS] PCRE Rule Testing 방법 (0) | 2020.04.28 |
- Total
- Today
- Yesterday
- 조달네트워크
- ssh강화방법
- 침입방지시스템
- 계정보안강화
- IPS
- fido2인증
- ssh키설정
- 막창
- python
- 태광네트웍정보
- ssh서버보안
- 복잡한비밀번호정책
- 리눅스ssh보안
- 드라이브스윙
- 다단계 인증
- 파이썬
- 보안엔지니어
- 리듬찾기
- snort3
- puttyssh보안
- tcpdump
- 골프드라이브
- 시스원
- 강력한비밀번호관리
- 스윙박자
- 정보보안초보
- sshroot로그인차단
- 아이티윈
- 골프리듬감
- 방화벽엔지니어
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |