IDS(Intrusion Detection System)
IPS(Intrusion Prevention System)
NIDS/IPS(Network IDS/IPS - 네트워크기반 IDS/IPS) : 보통 라우터와 방화벽 사이에 설치되서 외부의 네트워크 탐지가 주
HIDS/IPS(Host IDS/IPS - 호스트기반 IDS/IPS) : 스위치 단에 연결되서 내부의 호스트 부분 탐지가 주
kali-Linux (데비안) :
여러 해킹기술을 가진 리눅스로 graphic 사용 가능, ova파일로 이미지 파일을 저장해놓으면 새로 설치할 필요없이 바로 사용가능
리눅스 명령어:
pwd(print working directory)
ls -l (long format)
ls -t(time) 시간순
ls -a(all) 숨긴 파일까지 전부
ls -r(reverse) 시간 역순
ls -S(Size) 파일 크기 순
chmod (u/g/o)(+/-)(r/w/x) 파일이름
rm -rf (recursive/force) 하위경로 강제 삭제
cp test test1 /root -> 그냥 test,test1을 /root 디렉토리에 그대로 복사가능
cp test test1 은 test를 test1이름으로 복사
cp test /root/test1 test를 root에 test1로 복사
cp -r test /root/test 디렉토리 복사
cp -u 업데이트된 부분만 복사
mv
vi
a,i,o - 쓰기
w - 다음 문자 앞
b - 이전 문자 앞
:숫자 - 라인으로 이동
G 마지막 줄
gg 첫 줄
$ 현재 라인의 맨 뒤
x 커서 글자 삭제
X 커서 앞에 글자 삭제
dd 라인 삭제
yy 라인 복사 p,P 붙여넣기
u 이전으로 돌아가기 ctrl+r 돌아가기 이전
:/(패턴) ex):/aaa 시 aaa로 시작하는거 찾음 n - 다음 패턴 N - 이전으로 패턴
tar czf - 압축까지 해서
tar xzf 압축도 풀면서
snort
sudo ip link
sudo ethtool -k [랜카드 이름] (인터페이스 상세)
sudo systemctl daemon-reload (데몬파일들 다시 실행)
systemctl status snort3-nic (서비스 파일 확인)
systemctl start snort3-nic
systemctl enable snort3-nic (부팅시 시작)
sudo snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/snort/rules/local/rules -i enp0s3 -A alert_fast -s 65535 -k none
suricata
systemctl status suricata
tail -f /var/log/suricata/suricata.log (tail -f(follow) 실시간으로 밑의 줄들 감시)
Suricata 설치 - 패키지 관리도구를 활용한 설치 : Rocky9
dnf update -y
dnf upgrade -y
dnf install(remove)(list) -y epel-release(저장소)
dnf install -y suricata
------------------------------------------------------------------
ip --brief addr
------------------------------------------------------------------
vi /etc/suricata/suricata.yaml (환경설정파일)
HOMENET 설정 하고
622번줄 인터페이스 실제 인터페이스로 변경
vi /etc/sysconfig/suricata
옵션에 인터페이스 실제 인터페이스로 변경
------------------------------------------------------------------
suricata -c /etc/suricata/suricata.yaml - 룰 업데이트 명령어
systemctl status suricata - 상태확인
systemctl enable --now suricata - 서비스 start / enable 동시
------------------------------------------------------------------
로그위치
var/log/suricata/suricata.log
tail -f : 실시간 로그 확인 옵션
curl : 웹주소 요청해서 결과 받아오는 명령어
------------------------------------------------------------------
ls -al /var/lib/suricata/rules/
cat /var/lib/suricata/rules/suricata.rules
------------------------------------------------------------------
suricata-update list-sources - 룰 제공받는 소스 정보
suricata-update enable-source et/open
suricata-update
systemctl restart suricata - 서비스 리스타트 명령어
------------------------------------------------------------------
룰 경로(반드시 룰은 이경로에있어야함)
/etc/suricata/rules
1. vi /etc/suricata/rules/local.rules 룰 생성
2. vi /etc/suricata/suricata.yaml - 환경설정에 룰 적용
3. 2187~9번 라인 룰 추가
- /etc/suricata/rules/local.rules
4. suricata -T -c /etc/suricata/suricata.yaml -v
5.
json 형식 로그볼때 필요한 프로그램
dnf install -y jq
tail -f /var/log/suricata/eve.json | jq 'select(.evnet_type=="alert")'