[침입탐지시스템 실습] ① SNORT 설치 및 ping 트래픽 탐지 (CentOS)

1️⃣ 실습 개요

VirtualBox에 설치된 CentOS 환경에서 SNORT를 직접 설치하고, ICMP 패킷을 탐지하는 룰을 추가해 침입 탐지 기능을 실습해보았다. 원격 접속은 PuTTY를 활용하였다.

🔹 실습 환경

• 가상화 도구: VirtualBox
• OS: CentOS
• 원격 접속: PuTTY
• IDS 툴: SNORT 2.9.20

---

2️⃣ SNORT 설치

🔹1. EPEL 저장소 추가

• ``EPEL``: CentOS에서 사용할 수 있는 추가 오픈소스 패키지 저장소
• SNORT 설치에 필요한 라이브러리와 툴이 기본 저장소에 없기 때문에, EPEL을 먼저 설치해줘야 함

yum install epel-release

 

• ``/etc/yum.repos.d/`` 디렉터리 내에 EPEL 관련 파일이 추가됨.

---

🔹2. 의존성 및 필수 패키지 설치

• SNORT가 의존하는 개발도구 및 라이브러리들을 설치

yum install wget gcc gcc-c++ libnetfilter_queue-devel git flex bison zlib zlib-devel \
pcre pcredevel libdnet* libpcap* nghttp2 xz-devel libtool libsfbpf* daq* -y

패키지	설명
``wget``	웹에서 파일 다운로드 도구 (SNORT 설치파일 받기용)
``gcc``, ``gcc-c++``	C/C++ 컴파일러 (SNORT 소스 빌드 시 필요)
``libnetfilter_queue-devel``	패킷 큐 처리 라이브러리 (패킷 필터링 시 필요)
``git``	소스코드 다운로드용
``flex``, ``bison``	SNORT 룰 파싱기 빌드에 필요한 도구들
``zlib``, ``zlib-devel``	압축 관련 라이브러리
``pcre``, ``pcre-devel``	정규표현식 처리 라이브러리
``libdnet*``	저수준 네트워크 라이브러리
``libpcap*``	패킷 캡처 라이브러리 (SNORT의 핵심 구성 요소)
``nghttp2``, ``xz-devel, libtool``	일부 빌드 환경에서 종속성 요구됨
``libsfbpf*``	Berkeley Packet Filter 관련 (snort 2.9.20 이후 필요)
``daq*``	SNORT 패킷 캡처 엔진 라이브러리 (DAQ = Data Acquisition Library)

---

🔹3. SNORT 설치

• snort.org에서 제공하는 공식 SNORT 2.9.20 버전 설치

rpm -ivh https://snort.org/downloads/snort/snort-2.9.20-1.centos.x86_64.rpm

• ``-i``: install (설치)
• ``-v``: verbose (설치 진행 상화 표시)
• ``-h``: hash (진행 상황을 ``#####``로 표시)

---

🔹4. 라이브러리 실볼릭 링크 설정

• SNORT 설치 후 확인을 위해 버전 정보를 출력하는 ``snort -V`` 명령어를 입력
• ``libdnet.1`` 파일이 없다는 에러메시지가 출력됨

 

• SNORT가 ``libdnet.``를 찾지 못하기 때문에 ``ln-s`` 명령어를 이용해 심볼릭 링크를 생성해줌

ln -s /usr/lib64/libdnet.so.1.0.1 /usr/lib64/libdnet.1

---

3️⃣ SNORT 디렉토리 구조

🔹1. 설치 경로 확인

• SNORT 바이너리와 관련된 파일들의 위치 확

whereis snort

---

🔹2. SNORT 실행 구조

• 📂 /usr/sbin/snort (실행파일)
  • ⚙️ snort.conf (설정파일)
  • 📂 /rules
    • 📑 local.rules (룰파일)

---

4️⃣ 설정파일 수정

vi /etc/snort/snort.conf

🔹1. 체크섬 모드(checksum_mode) 변경

• IP/TCP 체크섬 검사는 탐지에 불필요하거나 가상화 환경에서 오류를 일으킬 수 있으므로 none으로 비활성화한다

[변경 전]
# Configure IP / TCP checksum mode
config checksum_mode: all

[변경 후]
# Configure IP / TCP checksum mode
config checksum_mode: none

---

🔹2. dynamic rules 설정 주석 처리

• 동적 룰 로딩 경로를 비활성화하여 SNORT가 동적 룰을 로드하지 않도록 한다

[변경 전]
# path to dynamic rules libraries
dynamicdetection directory /usr/local/lib/snort_dynamicrules

[변경 후]
# path to dynamic rules libraries 
#dynamicdetection directory /usr/local/lib/snort_dynamicrules

---

🔹3. white/blacklist 설정 주석 처리

[변경 전]
# Reputation preprocessor. For more informations see README.reputation
preprocessor reputation: \
	memcap 500, \
    priority whitelist, \
    nested_ip inner, \
    whitelist $WHITE_LIST_PATH/white_list.rules, \
    blacklist $BLACK_LIST_PATH/black_list.rules
    
[변경 후]
# Reputation preprocessor. For more informations see README.reputation
preprocessor reputation: \
	memcap 500, \
    priority whitelist, \
    nested_ip inner #, \
    #whitelist $WHITE_LIST_PATH/white_list.rules, \
    #blacklist $BLACK_LIST_PATH/black_list.rules

---

🔹4. 탐지로그 저장 설정

• 탐지 결과를 unified2 포맷으로 저장하고, 파일명은 alert.log로 지정한다
• barnyard2와의 연동을 위해 필요하다

[변경 전]
# unified2
# Recommended for most installs
# output unified2: filename merged.log, limit 128, nostmap, mpls_event_typtes, vlan_ebent_types

[변경 후]
# unified2
# Recommended for most installs
output unified2: filename alert.log, limit 128

---

🔹5. 룰설정

• /etc/snort/rules/local.rules만 사용할 예정이므로, 다른 기본 룰 설정들을 모두 주석 처리한다
• vi 명령어 ``:548,651norm i#``으로 548~651줄 모두 주석처리

---

5️⃣ 룰 파일 설정

• 사용자 정의 룰 파일을 여러 탐지 룰을 추가한다

vi /etc/snort/rules/local.rules

• 모든 ICMP 패킷 중 타입 8(``ping 요청``)을 탐지하는 룰
• 탐지 시 ``"ping-request"`` 메시지를 출력한다

alert icmp any any -> any any (msg:"ping-request"; itype:8; sid:1000000; rev:1;)

---

6️⃣ 실행 및 테스트

🔹1. SNORT 실행

• SNORT를 인터페이스 ``eth1``에서 설정파일을 사용하여 실행한다
• ``-A fast``는 탐지 메시지를 빠른 텍스트 형식으로 출력한다

 

💡SNORT 실행 명령어

• snort ``-i`` [랜카드] ``-c`` [설정파일]
• snort ``-r`` [pcap 파일] ``-c`` [설정 파일] (캡쳐 트래픽 읽기 모드)

 

snort -i eth1 -c /etc/snort/snort,conf -A fast

 

• 실행 후 ``Commencing packet processing`` 문구가 출력되면 SNORT가 정상적으로 실행되고 있는 것이다
• SNORT 종료는 ``Ctrl+C`` 키로 가능하다. 

 

• 종료 시, 콘솔 로그에서 ``Alerts`` 값과 ``Logged`` 값 확인 가능하다
• 현재 아무런 이벤트가 없었으므로 ``0``으로 기록 된다

---

🔹2. Ping 명령으로 테스트 트래픽 발생

• 로컬(호스트) PC에서 CentOS로 ping 명령어를 실행해 ICMP 트래픽을 생성한다
• 앞서 설정한 ICMP 탐지 룰이 작동하는지 확인하기 위한 테스트이다

---

🔹3. 탐지 결과 확인

• SNORT 콘솔 로그에서 Alerts: 4, Logged: 4와 같은 메시지가 출력되면 설정한 룰이 정상적으로 작동한 것이다
• 트래픽이 없을 경우 Alerts: 0, Logged: 0으로 표시된다

---

🔹4. 로그 파일 확인

• SNORT가 생성한 alert 로그 파일을 열어 탐지된 경고 메시지를 직접 확인할 수 있다

ls /var/log/snort

vi /var/log/snort/alert

---

🔹5. 트래픽 및 패킷 구조 확인

• 패킷을 분석하기 위한 ``tcpdump` 툴을 설치한다

yum install tcpdump -y

 

• SNORT가 생성한 binary 로그 파일을 tcpdump로 분석하여, 캡처된 실제 패킷의 내용을 출력해볼 수 있다

tcpdump -nxr /var/log/snort/snort.log.1743484460

---