4. Snort Rule 실습

- 개요

• Snort: 대표적인 네트워크 침입 탐지/방어 시스템(IDS/IPS).
• 패킷 단위에서 공격 패턴을 탐지하는 룰 기반.

- 기초 연습 절차

1. 환경 준비: Snort 설치 후 네트워크 트래픽 캡처 환경 구축.

2. 기본 룰 작성:

   alert tcp any any -> any 80 (msg:"Suspicious HTTP Traffic"; content:"/cmd.exe"; nocase; sid:1000001;)
   

   → 웹 트래픽 중 cmd.exe 문자열 포함시 탐지.

3. 실행: snort -c snort.conf -i eth0

4. 테스트: 브라우저에서 http://target/cmd.exe 접속 → 알람 발생 확인.

# 학습 포인트

• 서명 기반(Signature-based) IDS/IPS의 기초.
• APT 공격 중 C2 통신, 데이터 유출 트래픽 탐지에 활용 가능.

5. 패킷 분석 기초

- 도구

• Wireshark (GUI 기반)
• tcpdump (CLI 기반)

- 연습 절차

1. 트래픽 캡처 (ex. tcpdump -i eth0 -w traffic.pcap).
2. Wireshark로 열기 → 프로토콜 계층별 분석.