[Snort] 1. 스노트(Snort) 개요 및 동작 방식

스노트(Snort)는 인트라넷 및 인터넷 기반의 무료 및 오픈 소스 기반의 네트워크 침입 탐지 시스템입니다.

스노트는 인터넷 상에서 발생하는 데이터 패킷을 실시간으로 분석하여 보안 이슈를 탐지하는데 사용됩니다.

 

스노트는 1998년에 마틴 로시(Martin Roesch)에 의해 개발되었습니다.

이후로 스노트는 전 세계적으로 널리 사용되며, 대부분의 운영 체제에서 실행될 수 있고, 유연성이 높아 다양한 용도로 사용됩니다.

 

스노트는 패킷 스니핑(packet sniffing)과 패킷 필터링(packet filtering) 기술을 사용하여 네트워크 상에서 전송되는 데이터를 모니터링하고, 이를 분석하여 보안 취약점을 탐지합니다.

 

스노트는 다양한 탐지 기술을 사용하여 침입을 탐지하며, 이러한 탐지 기술은 다양한 탐지 규칙(rule)을 통해 정의됩니다. 이 규칙은 스노트가 데이터 패킷을 분석하고, 특정 패턴이나 행위를 탐지할 때 활용됩니다.

 

스노트는 오픈 소스 라이선스로 배포되어 있어 누구나 무료로 다운로드 및 사용이 가능합니다. 또한, 스노트는 다양한 플러그인과 확장 기능을 제공하여 사용자의 요구에 맞게 커스터마이징이 가능합니다.

 

 

스노트는 다음과 같은 단계로 동작합니다.

1. 패킷 수집(Sniffer)
   • 스노트는 네트워크 상에서 발생하는 모든 패킷을 수집합니다. 이를 위해 네트워크 인터페이스를 선택하고, 해당 인터페이스를 통해 수신되는 모든 패킷을 캡처합니다.
2. 패킷 디코더(Packet Decoder)
   • 스노트는 캡처된 패킷을 디코딩하여, 이에 대한 다양한 정보를 추출합니다. 이 정보에는 송신자 및 수신자 IP 주소, 포트 번호, 전송 프로토콜 등이 포함됩니다.
3. 전처리기(Preprocessor)
   • 스노트는 수집한 패킷에 대해 다양한 전처리기를 적용하여, 패킷의 내용을 정제하고 처리합니다. 전처리기는 패킷의 압축 해제, IP 조각화 처리, 이상 패킷 필터링 등의 작업을 수행합니다. 전처리기가 패킷을 정제하고 처리함으로써, 스노트는 정확한 침입 탐지를 위한 기반을 제공합니다.
4. 탐지 엔진(detection engine) 
   
   • 탐지 엔진은 전처리기로 정제된 패킷을 이용하여 사전에 작성된 규칙(rule)을 적용하고, 침입 여부를 판단합니다.
5. 경고 / 로그(Alert / Log)
   • 침입 탐지 시 해당하는 정보를 로그 파일에 남기거나, 경고(alert)를 발생시킵니다. 경고는 즉시 또는 이메일, SMS 등을 통해 사용자에게 전달될 수 있으며, 로그 파일에는 탐지된 이벤트에 대한 상세한 정보가 기록됩니다.
     스노트는 이러한 경고 및 로그를 활용하여 보안 전문가가 침입을 탐지하고, 이에 대한 조치를 취하도록 돕습니다. 경고와 로그를 통해, 보안 이슈가 발생한 시점, 발생한 위치, 공격 유형, 공격자의 IP 주소 등을 파악할 수 있습니다. 이는 보안 전문가가 보안 이슈를 신속하게 파악하고 대응하는 데 중요한 정보를 제공합니다.

 

Snort rule에 대해 좀더 자세한 포스팅을 보시려면 아래 링크를 확인 부탁드립니다.

https://greensul.tistory.com/281 

[Snort] #2 Snort Rule 기초 - RTN, OTN, General Option