Dior2ky의 it's IT

Suricata 오랫동안 snort가 오픈소스 기반에 독보적으로 사용되어 온 가운데 광케이블을 통한 초고속 인터넷 환경과 스마트폰의 보급으로 이용량이 급증하게 된다. 따라서 대량의 트래픽이 발생하게 되고 snort는 단일 스레드만 지원하여 이를 처리하는데 어려움이 생긴다. 이를 처리하기 위해서 멀티 스레드를 지원하는 suricata가 생겨나게 된다. suricata는 비영리재단 OISF(Open Information Security Foundation)에서 개발하였다. snort는 돼지 이미지가 나온다면 suricata는 미어캣이 가장 먼저 보인다. suricata가 미어캣을 말하는 단어라고 한다. suricata의 특징을 살펴보면 멀티 코어, 멀티 스레드를 완벽 지원한다. snort의 장점을 모두 수용..

Snort(스노트) Snort는 1998년 SourceFire사의 CTO Martin Roesch에 의해 발표된 오픈소스 침입탐지시스템(IDS) Snort는 Snifferand More라는 말에서 유래되었다. Windows 뿐만 아니라 Ubuntu, Mac OS, Debian, CentOS 등 다양한 OS를 지원하고 있다. 룰을 기반으로한 패턴 매칭을 통해 침입 탐지를 수행한다. 기능 Packet sniffer: 네트워크 상의 패킷을 sniffing 하여 보여주는 기능 Packet logger: 모니터링한 패킷을 저장하고 로그에 남기는 기능 IDS / IPS: 네트워크 트래픽을 분석해 공격을 탐지 / 차단하는 기능 룰 룰은 다음과 같은 구조를 가지고 있다. [액션] [프로토콜] [송신 IP] [송신 Po..

IDS(Instrusion Detection System) 침입 탐지 시스템 IPS(Instrusion Prevention System) 침입 방지 시스템 기본적으로 IDS와 IPS 장비의 차이점은 없지만 이를 구성하는 방식에 따라 IDS와 IPS로 구분하게 된다. 구성방식 1. 미러 방식 미러 방식은 외부 망에서 패킷이 유입될 때 유입되는 경로 상에 연결하는 것이 아닌 경로에 곁가지처럼 따로 연결시키는 방식으로 TAP이나 스위치 장비를 두어 패킷을 복사하여 솔루션에 보내 패킷을 검사하도록 한다. 2. 인라인 방식 인라인 방식은 외부 망에서 패킷이 유입될 때 유입되는 경로 상에 직접 연결하여 패킷을 검사하고 비정상적이라고 판단하면 자체에서 패킷을 차단하는 방식이다. 미러 방식으로 장비를 구성하면 IDS,..