Nirsa

• 스노트 "ERROR: Cannot decode data link type 239" 에러 발생

해당 에러는 해외 포럼을 참고해보면 ./configure 시 옵션을 사용하여 해결하는 방법으로 되어있기도 하지만, 저의 경우 ./configure에서 변경하지 않고 -i 옵션을 사용하여 인터페이스를 설정해주니 에러가 해결 되었습니다.

snort -v -c /etc/snort/snort.conf -i ens36

• 스노트 "WARNING: No Preprocessors configured for policy 0" 경고 발생

해당 에러는 snort 프로세서가 활성화되지 않아 발생 합니다. snort 실행 시 아래와 같이 -v -c 옵션을 주는것으로 간단히 해결할 수 있습니다.

옵션을 준 후 snort.conf 파일의 위치 경로에 따라서 작성해주시고 다시 실행시켜보면 "WARNING: No Preprocessors configured for policy 0" 경고가 사라지는것을 확인할 수 있습니다.

snort -v -c /etc/snort/snort.conf

• Snort 설치 및 기본 설정

# 1. 의존성 관련 프로그램 설치
yum -y install http://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/d/daq-2.0.6-1.el7.x86_64.rpm
yum -y install gcc gcc-c++ flex bison zlib libpcap pcre libdnet tcpdump
yum -y install ftp://ftp.pbone.net/mirror/archive.fedoraproject.org/epel/7/x86_64/Packages/l/libnghttp2-1.31.1-1.el7.x86_64.rpm

mkdir /snort
cd /snort
wget http://ftp.psu.ac.th/pub/snort/libdnet-1.12.tgz
tar zxvf libdnet-1.12.tgz
cd libdnet-1.12
./configure
make
make install

yum -y install https://www.snort.org/downloads/snort/snort-2.9.16-1.centos7.x86_64.rpm

• rules를 직접 만들어서 테스트하기 위해 기존 rules 제거

• Snort Test

저의 경우 테스트하기 위해 GNS로 간단히 snort를 inline 방식으로 구성 해두었습니다. 아래 명령어를 입력하여 local.rules 파일에 ICMP 패킷을 감시하는 정책을 넣어두고 실제 동작까지 확인 하였습니다.

echo "alert icmp any any -> any any ( msg:"ICMP Detected"; sid:1000001; )" \
> /etc/snort/rules/local.rules

snort -v -c /etc/snort/snort.conf -i [interface]