안녕하세요 000씨 전 정철이라고 합니다. 이렇게 만나서 먼저 반갑다는 말씀 드립니다.
또 좋은 문서 보내주셔서 감사드립니다. Snort 은 제가 참 오래전부터 관심있게 보아온 프로그램입니다. 대학원 졸업논문도 Snort rule을 어떻게 만들고 분석하는지에 관련된 내용이었습니다.그리고 요즈음 대부분의 NIDS 프로그램이 이 Snort의 rule를 많이 참조해서 제작되고 있을 정도로 신뢰를 받고 있고 있습니다.
먼저 보내주신 내용들에 대해 하나씩 답변을 드리겠습니다.
제 비디오에선 CentOS 6.5를 사용했는데 님께선 6.4 를 사용하셨다고 했는데 OS는 거의 차이가 없습니다. 보내주신 문서는 CentOS 5.x 버전이라 약간의 차이가 있을 것 같구요. (주-문서 상단은 5.x라고 되어 있는데, 실제로는 6.4에 설치가 된것임)참고로 오늘 CentOS 7에 Snort-2.9.7 버전을 설치해보았는데
단지 daq, libdnet, libpcap 를 설치하고서 snort를 설치했는데 아무런 에러없이 바로 설치되었습니다. 단 5분도 걸리지 않았습니다. 기회가 되시면 CentOS 7를 설치하신 후 업데이를 하신 후 설치해 보시기 바랍니다. 훨씬 쉽게 설치가 가능할 것 같습니다.
Snort의 로그를 하둡이나 자바를 이용하여 구현하거나 하셨다고 했는데 제가 추천하는 방법은 먼저 Snort를 이용한 이런 기능을 구현하는 다른 프로그램들이 여러가지가 있습니다. 먼저 이러한 프로그램들을 사용해 보시고 어떻게 구현이 되는지 이해하신 후에 만약 프로그래밍 능력이 되신다면 다른 방법으로 시도해보시길 추천드립니다. 시간이 넉넉하시다면요..
하둡을 이용해 로그를 저장하고 구현하는 것은 저도 아직 보지 못했는데 아주 좋은 시도라고 생각합니다.
DDoS 를 이용한 핑에 대한 문의를 하셨는데 Snort은 보통 그 자체가 아니라 방화벽과 같이 구현이 되어야 더 효과적입니다. DDoS 및 MAC 변조 같은 경우 가장 좋은 방법은 Snort이 제공하는 Rule를 보시고 그대로 따라서 하시는 것이 좋은데 이것이각 회사마다 달라서 일괄적으로 적용하긴 어렵습니다. 일단 방화벽에서 사설 아이피 및 초당 특정 프로토콜에 대한 부하가 많은 경우 자동으로 그 대역을 막거나 그 서비스를 일시 정지 시키는 방법들이 있습니다. Snort는 이러한 차단기능이 없거나 부족해서 실제 IPS 로서의 기능은 어렵다고 볼 수 있습니다.
웹사이트 공격의 경우 그 아이피가 소수라면 모르지만 대량이라면 추적한다는 것이 불가능하다고 할 수 있습니다. 여러 장비들을 동원해서 빠른 시간내에 이러한 아이피가 유효한지 알 수 있겠지만 이것은 복불복이라고 할 수 있습니다. 보장할 수 없다는 것이죠.
질문에 대해서 자세한 답변을 드리지 못해 죄송하네요..
전 나중에 꼭 Snort 관련 서적을 출판해보고자 합니다. 매우 흥미로운 주제라서요. 한국에 현재 Snort 관련 책자가 모두 번역인 걸로 알고 있는데 사용자들의 눈높이에 맞춘 서적을 출판해 보는 것이 제 목표중 한가지입니다. 그때되면 도움을 청하도록 하겠습니다.
리눅스 관련 여러 프로그램들이 윈도우에 비해서 설치 및 사용이 어려운 것이 사실인데 그런데 그만큼 흥미롭고 깊은 지식을 얻는 다는 것이 윈도우에 비할 바가 아니라고 감히 말씀드리고 싶습니다. 1999년부터 리눅스를 사용하기 시작했는데 윈도우 서버도 공부해 보았는데 비교가 되지 않습니다. 부디 열심히 하셔서 뛰어난 Linuxer 가 되시길 바랍니다.
정 철
P.S.: 혹시 지금 공부하시는 학원이 어디인가요? 전 쌍용교육센터에서 오랫동안 근무했습니다.
-----------------------------------------------------------------------------------------------------------
리눅스에 snort을 설치하는데 하도 오류가 나서 유투브 강연자에게 메일을 보내서 받았던 겁니다.
snort으로 프로젝트 하셨던 분들도 여럿 계셨고, 계속 파고 들만한 재미가 있는 것 같았거든요.
다른 분과 얘기해봤더니.. 하둡이랑 연동하였을 경우 로그파일이 통째로 저장되고, 그걸 그 파일째를 디비로 검색하는 그런거였구요... 만약 핑이 하나가 간다면, 그 핑하나의 로그기록만을 디비 레코드로 저장하는 것과는 다른 것 같구요. (저장되는 사이즈를 줄이면 된다고 했던 것 같은데.. 잘 모르겠습니다. 제 노트북에는 더 이상 vmware에 뭔가를 더 설치하는게 좀 위험하거든요. 성능이 안 따라줌 ㅠㅜ)
인터넷을 검색해보니 하둡과 관련해서 디비에 대한 기사 http://www.oss.kr/oss_news/86458
(어휴... 이제 겨우 mysql 명령어 몇개 익힌 저로선 뭔말인지 ㅠㅜ)
이런 기사도 있더라구요 http://www.oss.kr/index.php?mid=oss_news&document_srl=80532&sort_index=readed_count&order_type=desc
교보문고에 가니깐... 하둡이랑 관련된 것 같은데... 지역의 전염병 발생률을 자동으로 통계를 내거나 하는 그런 시스템을 만들기도 하던데.... 이런 것들이 다 관련이 있을까요?? (잘은 모르겠지만, 노드에 뭔가를 하고 그런 식이었던 것 같은데 ㅠㅜ )
여튼 리눅스 로그분석에서 이렇게 까지 뻗어 나오네요.