ICMP 룰 설정

우분투 환경

vi /etc/snort/rules/local.rules

위 경로에서 편집기를 사용해 룰을 추가해준다

alert icmp any any -> any any (msg:"ICMP Ping Test !!!";sid:2222222;)

추가할 룰의 내용은 위와 같다

이 Snort 규칙은 ICMP 패킷에 대한 간단한 알림(alert) 규칙이다.
이 규칙은 특정 ICMP 패킷을 감지하고 해당 패킷에 대한 "ICMP Ping Test!!!"라는 사용자 정의 메시지를 출력한다.

의미를 설명하자면

• alert : 규칙이 패킷을 발견하면 알림
• icmp : icmp 패킷을 대상으로 한다
• any any -> any any " 출발지, 목적지 IP 포트를 모두로 설정
• msg : 메시지 내용
• sid : SID를 지정, 고유 식별자 역할

snort -c /etc/snort/rules/local.rules

실행 명령이다.

• snort : snort를 실행하는 명령
• -c /etc/snort/rules/local.rules : 위에서 지정한 경로의 규칙 파일을 지정

칼리 리눅스 환경

ping 192.168.64.7 -c 5

위의 명령은 흔히 ping test라고 부르는 명령이다.
특정 IP 주소로 ICMP 패킷을 보내어 네트워크 연결 상태를 확인하는 명령이다.

따라서 192.168.64.7에 대해 총 5번의 ICMP ping이 전송된다.

해당 목적지 IP주소는 우분투의 주소이며 미리 지정한 스노트 룰에 의해
ICMP 패킷에 대한 알림이 떠야한다.

우분투 환경

snort -c /etc/snort/rules/local.rules

실행 명령

위 사진에서 볼 수 있는 것처럼 Rule Port Counts에서 ICMP가 카운트 된 것을 볼 수 있다.

그렇다면 ICMP 알림이 떠야 할 것이다.
그 알림이 저장되는 로그 저장소가 있다. 위에 사진에서 처럼
Log directory = /var/log/snort 부분에서 경로를 확인 할 수 있다.

vi /var/log/snort/alert

위의 경로에 가면 alert이 존재하고 alert에
알림이 기록된다.

위 사진처럼 알림이 로그에 저장된 것을 볼 수 있다.

여러번 시도를 해봤지만 로그에 알림이 저장되는 딜레이가 생기는 것 같다.

로그를 실시간으로 확인하고 싶다면,

snort -q -A console -b -c /etc/snort/snort.conf

콘솔로 실행한다.