2011년 12월 27일 화요일

[TOOL] snort2pcap

Snort2Pcap

안녕하십니까 teamFast 관리자 협군 입니다.

오늘은 간단하게 만들어 사용하고 있는 툴 중에 하나를 공개하려 합니다.

snort 관련 업무 하시는 분들이 사용하시면 좋을것 같습니다.

제가 편하기 위해 만든 툴이기 때문에 저와 저희팀 밖에 사용하지 않아 주석이 부족하며, 제가 정식 개발자가 아니라 소스가 난잡할 수 있음을 먼저 말씀드립니다.


1. 왜 만들었나??

snort 룰에 관련된 업무를 하다보니 탐지테스트를 할 경우가 많습니다.

이럴 때 패턴ID에 맞게 PCAP을 보유하고 있으면 가장 나이스한 경우가 되겠지만 그렇치않을 경우에는 패턴을 보고 탐지되는 패킷을 따로 제작하여야 하는 번거러움이 있습니다.

전 참 귀찮을걸 싫어합니다.

그래서 생각했습니다.

"snort 룰을 보고 packet을 재생해주거나 pcap파일을 만들어 주는 녀석이 있으면 좋을텐데.."


2. 뭘로 만들었나?

python 을 이용하여 만들었습니다.

테스트 환경은 python 2.6.4에서 개발하였고 테스트 하였습니다.


3. 에러 없이 잘돌아가느냐?

업무외적인 시간에 만들었기 때문에 시간이 없어 flowbit을 포함한 몇몇 룰들은 정상동작하지 않을수 있습니다.

제 업무에 사용할 때는 오류 없이 잘돌아가고 탐지도 잘 됩니다.


4. 어떻게 공개할 것인가?

파이썬 소스폴더를 압축해서 공개 할 것입니다.

다시한번 말씀드리지만 제가 편하기 위해 만든 툴이기 때문에 저와 저희팀 밖에 사용하지 않아 주석이 부족하며, 제가 정식 개발자가 아니라 소스가 난잡할 수 있음을 먼저 말씀드립니다.


5. 어떻게 사용하는가?

아래명령어를 입력하고 변환파일명 -> 소스IP -> 목적지IP -> 변환



실행후에 아래와 같은 결과물이 생성됩니다.



6.어디서 다운받아야 되는가?

다운로드 : Snort2Pcap.zip


7. 사용하다 안되면 어떻게 해야되는가?

해당 툴에 대해 더는 업데이트 및 수정 예정은 없으나 사용하시다가 오류나는 부분은 캡쳐를 떠서  보내주시면 답변을 드리겠습니다.

보내주실 곳 : hjung@future.co.kr, cert@future.co.kr, hyoub9un@gmail.com 

2011년 12월 21일 수요일

[ TOOL ] ReplayPcap ver 0.2

안녕하세요 TeamFast 관리자 협군 입니다.

회사 업무 때문에 정신없이 지내다 이제서야 버그 수정을 했네요.

그럼 수정사항부터 말씀드리겠습니다.

ReplayPcap ver 0.2 수정사항

- XP 에서 지원되지 않는 함수 제거
- IPv6 패킷의 요약정보가 잘못보이던 버그 수정
- 패킷요약정보 출력시 IP 헤더를 가진 패킷을 제외한 패킷에 대한 출력 버그 수정
- List / Pcap 파일 루프 입력시 프로그래스바의 진행상황과의 동기화 버그 수정
- Route 모드 시에 출발지 IP와 목적지 IP에 매칭되지 않는 패킷 재생되지 않는 버그 수정
- 파일리스트 추가시 비정상적인 리스트 출력 버그 수정
- 파일리스트 삭제시 전체가 삭제되던 버그 수정
- 그외...

이상입니다.

아직 제가 계획한 툴의 완성도에 너무 부족하지만 열심히 공부하고 수정해서 쓰기 편하고 유용한 툴로 나아가겠습니다.

ReplayPcap ver 0.2 download : Download

ReplayPcap 메뉴얼 111221 download : Download

버그사항 및 문의사항은  "cert@future.co.kr" 또는 "hjung@future.co.kr", "hyoub9un@gmail.com" 으로 보내주시면 성실히 답변드리겠습니다.