스노트룰을 파싱하여 자동으로 네트워크 데이터를 발생시켜 룰(시그니처)를 검증해주는 툴로, s2gen.pl 이라는 것이 있어요. (패킷인사이드; 스노트룰 파싱하여 패킷생성, 전송하기)
오늘 소개해드릴 도구 rule2alert 는 스노트 룰로 패킷을 만들 수 있는 도구입니다. QA에 매우 유용하겠죠! 사용방법은 위키에 잘 나왔으니 참고하시고요. 아주 유용한 기능은 스노트룰을 파싱해서 네트워크 데이터를 만드는것 뿐만 아니라 해당 정보로 PCAP파일로 생성할 수 있다는 거예요. 또한 룰에 flow 옵션이 있다면 TCP 3-way Handshaking 도 자동으로 생성해 줍니다 ^-^)b
도구를 테스트 하다 보면 다음과 같은 문제에 부딪히게 될거에요. 위 pcap 파일 스냅샷을 보시면 맥주소로 채워져야 할 부분이 Raw Packet data로 나오는것을 보실 수 있는데요. 즉, 데이터 링크 계층 MAC 정보가 없어서 나는 오류로 생각되요.
#tcpreplay
Warning: / [USER_PATH] /test.pcap DLT ((null)) does not match that of the outbound interface: [INTERFACE_NAME] (EN10MB)
# SNORT ERROR
ERROR: Cannot handle data link type 101
Fatal Error, Quitting..
아래는 /rule2alert/Generator/Payload.py 의 일부입니다. IP()앞에 모두 Ether()를 추가하면 문제는 쉽게 해결할 수 있어요.
IP() => Ether(src="ff:ff:ff:ff:ff:ff", dst="ff:ff:ff:ff:ff:ff")/IP()
참, Malware Forge 사이트에서는 rule2alert이외 다양한 IDS, PCAP 포렌식 툴들을 확인할 수 있어요. 저도 rule2alert 보다가 알게 된 사이트인데 매우 유용하네요 :)
출처 : http://www.hackthepacket.com/entry/rule2alert-스노트-룰로-패킷-만들기
'Security > Snort' 카테고리의 다른 글
[Snort] 설치 (0) | 2014.02.11 |
---|---|
[Snort] SnortReport 설치 (0) | 2014.02.11 |
[Snort] 사용 방법 (0) | 2014.02.11 |
[Snort] User Manual (0) | 2014.02.11 |
스노트(snort) 룰을 이용한 PCAP파일 생성 및 IPS탐지 TEST (0) | 2014.02.11 |
댓글