FAST

[TOOL] snort2pcap

2011-12-27T00:13:00.000-08:00

Snort2Pcap

안녕하십니까 teamFast 관리자 협군 입니다.

오늘은 간단하게 만들어 사용하고 있는 툴 중에 하나를 공개하려 합니다.

snort 관련 업무 하시는 분들이 사용하시면 좋을것 같습니다.

제가 편하기 위해 만든 툴이기 때문에 저와 저희팀 밖에 사용하지 않아 주석이 부족하며, 제가 정식 개발자가 아니라 소스가 난잡할 수 있음을 먼저 말씀드립니다.

1. 왜 만들었나??

snort 룰에 관련된 업무를 하다보니 탐지테스트를 할 경우가 많습니다.

이럴 때 패턴ID에 맞게 PCAP을 보유하고 있으면 가장 나이스한 경우가 되겠지만 그렇치않을 경우에는 패턴을 보고 탐지되는 패킷을 따로 제작하여야 하는 번거러움이 있습니다.

전 참 귀찮을걸 싫어합니다.

그래서 생각했습니다.

"snort 룰을 보고 packet을 재생해주거나 pcap파일을 만들어 주는 녀석이 있으면 좋을텐데.."

2. 뭘로 만들었나?

python 을 이용하여 만들었습니다.

테스트 환경은 python 2.6.4에서 개발하였고 테스트 하였습니다.

3. 에러 없이 잘돌아가느냐?

업무외적인 시간에 만들었기 때문에 시간이 없어 flowbit을 포함한 몇몇 룰들은 정상동작하지 않을수 있습니다.

제 업무에 사용할 때는 오류 없이 잘돌아가고 탐지도 잘 됩니다.

4. 어떻게 공개할 것인가?

파이썬 소스폴더를 압축해서 공개 할 것입니다.

다시한번 말씀드리지만 제가 편하기 위해 만든 툴이기 때문에 저와 저희팀 밖에 사용하지 않아 주석이 부족하며, 제가 정식 개발자가 아니라 소스가 난잡할 수 있음을 먼저 말씀드립니다.

5. 어떻게 사용하는가?

아래명령어를 입력하고 변환파일명 -> 소스IP -> 목적지IP -> 변환

실행후에 아래와 같은 결과물이 생성됩니다.

6.어디서 다운받아야 되는가?

다운로드 : Snort2Pcap.zip

7. 사용하다 안되면 어떻게 해야되는가?

해당 툴에 대해 더는 업데이트 및 수정 예정은 없으나 사용하시다가 오류나는 부분은 캡쳐를 떠서 보내주시면 답변을 드리겠습니다.

보내주실 곳 : hjung@future.co.kr, cert@future.co.kr, hyoub9un@gmail.com

[ TOOL ] ReplayPcap ver 0.2

2011-12-21T00:45:00.000-08:00

안녕하세요 TeamFast 관리자 협군 입니다.

회사 업무 때문에 정신없이 지내다 이제서야 버그 수정을 했네요.

그럼 수정사항부터 말씀드리겠습니다.

ReplayPcap ver 0.2 수정사항

- XP 에서 지원되지 않는 함수 제거
- IPv6 패킷의 요약정보가 잘못보이던 버그 수정
- 패킷요약정보 출력시 IP 헤더를 가진 패킷을 제외한 패킷에 대한 출력 버그 수정
- List / Pcap 파일 루프 입력시 프로그래스바의 진행상황과의 동기화 버그 수정
- Route 모드 시에 출발지 IP와 목적지 IP에 매칭되지 않는 패킷 재생되지 않는 버그 수정
- 파일리스트 추가시 비정상적인 리스트 출력 버그 수정
- 파일리스트 삭제시 전체가 삭제되던 버그 수정
- 그외...

이상입니다.

아직 제가 계획한 툴의 완성도에 너무 부족하지만 열심히 공부하고 수정해서 쓰기 편하고 유용한 툴로 나아가겠습니다.

ReplayPcap ver 0.2 download : Download

ReplayPcap 메뉴얼 111221 download : Download

버그사항 및 문의사항은 "cert@future.co.kr" 또는 "hjung@future.co.kr", "hyoub9un@gmail.com" 으로 보내주시면 성실히 답변드리겠습니다.

[ TOOL ] ReplayPcap - 수정사항

2011-11-21T19:12:00.000-08:00

안녕하십니까 FAST 관리자 '협군' 입니다.

먼저 gilgil 님께서 보내주신 버그 리포팅에 대해 진심으로 감사드립니다. (_ _ )

----------------------------------------------------------------------------------

버그 내용:

flow view 버그 및 icmp 처리시 오류

처리 내용:

flow view - IP 추출기능 수정

icmp 처리 - icmp 처리 기능 추가

----------------------------------------------------------------------------------

약간의 변경사항이 있어서 다시 작성해 드립니다.^^

ReplayPcap ver 0.1

------------------

소개

----

본 프로그램은 pcap, cap, acp 등의 확장자를 가지는 패킷 저장 파일을 재생하는 툴이다.

원하는 패킷을 선택하여 지정한 네트워크 카드로 재생한다.

패킷의 재생 속도를 제어할 수 있고 IPv4 패킷을 IPv6 주소로 재생할 수 있는 것이 특징이다.

설치

----

본 프로그램은 별도의 설치가 필요 없으며 실행파일을 실행하여 동작한다.

윈도우 모든 버전의 환경에서 동작 가능하다.

운영체제

--------

windows XP/7( 테스트 진행 상황에 따라 변동 될 수 있음 )

필요라이브러리

--------------

winpcap 라이브러리( 4.1.2 테스트 완료 , 테스트진행 상황에 따라 변동 될 수 있음 )

버전

----

v0.1 : 최초 프로그램 버전

사용법

------

자세한 사용법은 본 프로그램의 메뉴얼을 참조한다.

작성자

------

정협

버그리포팅에 대해서는 최대한 빠르게 적용을 할 것 입니다.

다시 한번 gilgil 님께 감사드립니다. (^ ^ )

ReplayPcap Download:
http://www.future.co.kr/board/lib/down.php?fname=ReplayPcap_ver_0.1_111122.exe&db=board20&number=22

ReplayPcap Manual:

http://www.future.co.kr/board/lib/down.php?fname=ReplayPcap메뉴얼-111122.pdf&db=board20&number=23

[ TOOL ] ReplayPcap

2011-11-20T21:32:00.000-08:00

안녕하십니까 FAST 관리자 '협군' 입니다.

저희 팀에서 Packet 관련된 테스트를 진행 할 때 사용하는 툴을 공유할까 합니다.

툴 이름은 ReplayPcap 이며 현재 버젼은 0.1 이며 간략한 내용은 아래와 같습니다.

ReplayPcap ver 0.1

------------------

소개
----
본 프로그램은 pcap, cap, acp 등의 확장자를 가지는 패킷 저장 파일을 재생하는 툴이다.
원하는 패킷을 선택하여 지정한 네트워크 카드로 재생한다.
패킷의 재생 속도를 제어할 수 있고 IPv4 패킷을 IPv6 주소로 재생할 수 있는 것이 특징이다.

설치
----
본 프로그램은 별도의 설치가 필요 없으며 실행파일을 실행하여 동작한다.
윈도우 모든 버전의 환경에서 동작 가능하다.

운영체제
--------
windows XP/7( 테스트 진행 상황에 따라 변동 될 수 있음 )

필요라이브러리
--------------
vs2008 재배포 패키지
최신 winpcap 라이브러리

버전
----
v0.1 : 최초 프로그램 버전

사용법
------
자세한 사용법은 본 프로그램의 메뉴얼을 참조한다.

작성자
------
정협

해당 툴은 현재 릴리즈 버젼이 아니며 전문 개발자가 아닌 사람( '협군' ) 이 만들어서 사소한

버그들이 많이 존재 할 수 있습니다.

버그 및 기능 개선 의견은 cert@future.co.kr 또는 hjung@future.co.kr 으로 보내주시면

확인 후 성실히 답변 드리도록 하겠습니다.

툴의 공유 목적은 네트워크 보안장비 테스트/ Packet 관련된 테스트 등에 사용하시면 유용할

것이라 생각됩니다.( 저희도 그렇게 이용을 하고 있습니다. )

이후 업데이트 및 변경되는 점은 블로그를 통해 다시 게시하도록 하겠습니다.

감사합니다.

ReplayPcap download : http://www.future.co.kr/board/lib/down.php?fname=ReplayPcap_ver_0.1.exe&db=board20&number=22

ReplayPcap manual : http://www.future.co.kr/board/lib/down.php?fname=ReplayPcap%B8%DE%B4%BA%BE%F3-111116.pdf&db=board20&number=23

[알림] 안녕하세요. Team FAST 입니다.

2011-11-15T23:59:00.000-08:00

안녕하세요. Team FAST 입니다.

FAST 는 Future Systems Threat Analysis & Security Response Team 의 약자로

Team Fast 블로그는 (주)퓨쳐시스템 침해대응센터 분석팀에서 운영하는 블로그입니다.

앞으로 Team Fast 블로그는 양질의 보안관련 정보를 제공할 수 있도록 하겠습니다.

누구에게나 열려있는 블로그로 언제나 많은 방문 부탁드립니다.

그럼 앞으로 좋은 정보로 찾아뵙겠습니다.

2011.11.16 Team FAST 블로그 운영자