Snort 와 Suricata 및 실습

📚 목차

1. IDS란?
2. Snort vs Suricata 비교
3. 실습 환경 구성
4. Suricata 실습
5. Snort 실습
6. 캡처/로그 결과 보기
7. 결론 및 추천

---

✨ 1. IDS란?

IDS(침입 탐지 시스템, Intrusion Detection System)는 네트워크를 모니터링하여 악성 트래픽이나 공격을 탐지하는 시스템이다. 대표적인 오픈소스 IDS로는 Snort와 Suricata가 있다.

---

⚖️ 2. Snort vs Suricata 비교표

항목	Snort	Suricata
개발	Cisco	OISF
성능 구조	단일 스레드	✅ 멀티스레드
로그	텍스트 (alert)	✅ JSON (eve.json)
룰 호환	전용 룰	✅ Snort 룰 대부분 호환
사용 목적	학습용, 중소규모	✅ 고속/실무 환경 적합
분석 대상	패킷 기반	✅ HTTP, TLS, DNS 등 7계층 인식

📌 Suricata는 고성능, 자동화, 시각화 연동에 유리하며, Snort는 간단한 학습용으로 적합하다.

---

🖥️ 3. 실습 환경

역할	OS	IP	설명
IDS 서버	Ubuntu 22.04	192.168.100.129	Snort & Suricata 설치
공격자	Kali Linux 2023.3	192.168.100.133	Ping, nmap 공격 발생

---

🛠️ 4. Suricata 실습

🔹 설치

sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt update
sudo apt install suricata -y

🔹 룰 추가

sudo nano /etc/suricata/rules/local.rules

alert icmp any any -> any any (msg:"SURICATA ICMP Ping Detected"; sid:100001;)
alert tcp any any -> any any (flags:S; msg:"SURICATA Nmap SYN Scan Detected"; sid:100002;)

🔹 실행

sudo suricata -c /etc/suricata/suricata.yaml -i ens33

🔹 로그 확인

sudo tail -f /var/log/suricata/eve.json | jq 'select(.event_type=="alert")'

📸 .

ping 192.168.100.129
sudo nmap -sS 192.168.100.129

---

🛠️ 5. Snort 실습

🔹 설치

sudo apt install snort -y

🔹 룰 추가

sudo nano /etc/snort/rules/local.rules

alert icmp any any -> any any (msg:"SNORT ICMP Ping Detected"; sid:110001;)
alert tcp any any -> any any (flags:S; msg:"SNORT Nmap SYN Scan Detected"; sid:110002;)

🔹 실행

sudo snort -A console -q -c /etc/snort/snort.conf -i ens33

 

📸 

---

🔎 6. 탐지 로그 확인 예시

도구	캡처
Suricata	`tail -f /var/log/suricata/eve.json
Snort	sudo snort -A console -q -c /etc/snort/snort.conf -i ens33

Kali에서 ping, nmap 실행 후 탐지

---

✅ 7. 결론

• Snort: 학습과 교육용으로 적합, 구조 단순
• Suricata: 멀티스레드 + JSON 로그 → 실무 활용도 높음
• 실습을 통해 ICMP Ping, TCP SYN(Nmap) 스캔 탐지 가능함