IPtable 은 포트를 열거나 포트를 닫아주는 방화벽이다.
IDS 는 어떤것이 불법적인 패킷인지를 찾아주는 것이다.
크게 두가지 네트워크 , 호스트 IDS 로 나뉜다.
방어를 해주기 보다는 누가 어디에서 공격을 시도해주는지 찾아주는 것이다.
Snort 라는 IDS ( snort.org ) 관련문서 : http://twoseven.kr/linux2/files/snort.pdf
패킷을 수집시 DB 로 만들거나 파일로 저장할 수 있다.
우리가 주로 보는 것은 N/W에서 불법적인 Packet 이 무엇인지 보여준다.
그래서 '침입탐지' 서비스 라고 한다. Internet ----- Router 뒤에 라우터와
IPtable은 단순 방화벽이어서 단순 열고 닫고 밖에 할 수 없다.
IDS에서 찾은 것을 차단해 주면 되는 것이다.
밖에서 공격을 할 때에는 Server 가 무엇인지에 대한 정보를 수집해야 된다.
수집까지도 NIDS 가 찾아주는 것이다.
- 네트워크 탐지 시스템으로 사용.
# ./snort -vde -l /var/log/snort -K pcap => 의 결과 생성된 로그 파일.
IDS 는 어떤것이 불법적인 패킷인지를 찾아주는 것이다.
크게 두가지 네트워크 , 호스트 IDS 로 나뉜다.
방어를 해주기 보다는 누가 어디에서 공격을 시도해주는지 찾아주는 것이다.
Snort 라는 IDS ( snort.org ) 관련문서 : http://twoseven.kr/linux2/files/snort.pdf
패킷을 수집시 DB 로 만들거나 파일로 저장할 수 있다.
우리가 주로 보는 것은 N/W에서 불법적인 Packet 이 무엇인지 보여준다.
그래서 '침입탐지' 서비스 라고 한다. Internet ----- Router 뒤에 라우터와
IPtable은 단순 방화벽이어서 단순 열고 닫고 밖에 할 수 없다.
IDS에서 찾은 것을 차단해 주면 되는 것이다.
밖에서 공격을 할 때에는 Server 가 무엇인지에 대한 정보를 수집해야 된다.
수집까지도 NIDS 가 찾아주는 것이다.
- open source NIDS
실시간 네트워크 트랙픽 분석과 로깅을 할수 있다.
프로토콜 분석, 다양한 공격을 탐지할 수 있다.
버퍼오버플로오 스탤스 스캔 , CGI 공격, OS 핑거프린터 시도를 포함한 다양한 공격을 탐지해 낼수 있다.
# ./snort -vde -l /var/log/snort -K pcap
세가지 주 사용방법.
- tcpdump 와 같은 packet sniffer 로 사용.
- 패킷 logger 로 사용(network traffic 디버깅에 유용하다)
// 파일로 저장하는 방식
# ./snort -v
// 불법적인 패킷을 찾는 역할이므로 가장 중요한 역할이다.
SERVER[/var/log/snort]# file snort.log.1311734318
snort.log.1311734318: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 1514)
# ./snort -vde -l /var/log/snort -K pcap => 의 결과 생성된 로그 파일.
'Computer Engineering > LINUX' 카테고리의 다른 글
| LINUX#2 (0) | 2011.10.16 |
|---|---|
| LINUX#2 - 다시 한 번 시작해 봅시다 ^^ (0) | 2011.10.15 |
| LINUX#2 - 방화벽 (0) | 2011.07.28 |
| LINUX#2 - Apache(2) (0) | 2011.07.28 |
| LINUX#2 - Apache (0) | 2011.07.27 |