Snort2Pcap
안녕하십니까 teamFast 관리자 협군 입니다.
오늘은 간단하게 만들어 사용하고 있는 툴 중에 하나를 공개하려 합니다.
snort 관련 업무 하시는 분들이 사용하시면 좋을것 같습니다.
제가 편하기 위해 만든 툴이기 때문에 저와 저희팀 밖에 사용하지 않아 주석이 부족하며, 제가 정식 개발자가 아니라 소스가 난잡할 수 있음을 먼저 말씀드립니다.
1. 왜 만들었나??
snort 룰에 관련된 업무를 하다보니 탐지테스트를 할 경우가 많습니다.
이럴 때 패턴ID에 맞게 PCAP을 보유하고 있으면 가장 나이스한 경우가 되겠지만 그렇치않을 경우에는 패턴을 보고 탐지되는 패킷을 따로 제작하여야 하는 번거러움이 있습니다.
전 참 귀찮을걸 싫어합니다.
그래서 생각했습니다.
"snort 룰을 보고 packet을 재생해주거나 pcap파일을 만들어 주는 녀석이 있으면 좋을텐데.."
2. 뭘로 만들었나?
python 을 이용하여 만들었습니다.
테스트 환경은 python 2.6.4에서 개발하였고 테스트 하였습니다.
3. 에러 없이 잘돌아가느냐?
업무외적인 시간에 만들었기 때문에 시간이 없어 flowbit을 포함한 몇몇 룰들은 정상동작하지 않을수 있습니다.
제 업무에 사용할 때는 오류 없이 잘돌아가고 탐지도 잘 됩니다.
4. 어떻게 공개할 것인가?
파이썬 소스폴더를 압축해서 공개 할 것입니다.
다시한번 말씀드리지만 제가 편하기 위해 만든 툴이기 때문에 저와 저희팀 밖에 사용하지 않아 주석이 부족하며, 제가 정식 개발자가 아니라 소스가 난잡할 수 있음을 먼저 말씀드립니다.
5. 어떻게 사용하는가?
아래명령어를 입력하고 변환파일명 -> 소스IP -> 목적지IP -> 변환
실행후에 아래와 같은 결과물이 생성됩니다.
6.어디서 다운받아야 되는가?
다운로드 : Snort2Pcap.zip
7. 사용하다 안되면 어떻게 해야되는가?
해당 툴에 대해 더는 업데이트 및 수정 예정은 없으나 사용하시다가 오류나는 부분은 캡쳐를 떠서 보내주시면 답변을 드리겠습니다.
보내주실 곳 : hjung@future.co.kr, cert@future.co.kr, hyoub9un@gmail.com
댓글 없음:
댓글 쓰기