동아리 스터디에서 ids를 만드려고 합니다만...ㅠㅠ
글쓴이: shelley / 작성시간: 금, 2007/08/10 - 9:31오후
안녕하세요 ^^*
저는 동아리 스터디에서 IDS를 만들어 보려고 합니다만,
PCAP manual과 네트워크 침입탐지와 해킹 분석 핸드북으로 스터디 하고 있습니다.
처음에는 위에있는 과정으로 스터디함과 동시에 snort사용법을 익힌 후, 직접 snort소스를 뜯어서 사용할려는 생각을 하고있었습니다.
하지만 ..... 이제와서 막상 snort소스를 보니 그 방대함에 넋을 잃었습니다...
결론은 snort보다 덜하지만 졸업작품수준정도의 ids 혹은 괜찮은 ids 소스를 얻을수 있나 여쭈어봅니다.
그동안 공부해온 목적이 물거품되는것이 가슴아픕니다......ㅠㅠ
담당교수님 볼 면목이 없네염;;
개발언어는 C언어로만 추천해 주세요
Forums:
왜 포기하시나요?
방대함이라는 것에 눌리실 필요는 없다고 생각합니다. :)
snort 보다 더 방대하고 큰 프로젝트는 셀 수 없이 많습니다.
순수한 열정이 없다면 '졸업작품'만으로 끝나겠지만,
순수한 열정으로 매일같이 노력하신다면, 분명 도움이 될 것입니다. :)
====
( - -)a 이제는 학생으로 가장한 백수가 아닌 진짜 백수가 되어야겠다.
...!
주신 조언 진심으로 깊이 생각하겠습니다.
감사합니다.
....!
jachin님이 주신 조언 깊이 생각하겠습니다.
감사합니다.
...
처음부터 SNORT를 시작하시는건 좀 무리가 있어 보입니다.
SNORT가 방대함이라기 보다 구린 코드래서 공부 보다는 구분하는데
더 많은 시간이 투자될것입니다. 오히려 차근 차근 공부하셔서 제작해
보시는게 훨씬 도움이 많이 될것 같습니다. 제가 IPS를 만들때 SNORT
를 이용해서 할까 하다 너무 구려서 그냥 버리고 새로 만들었습니다.
관련 툴들은 많이 있으니 하나 하나씩 한번 가져다가 아이디어를 한번
만들어 보세요. 먼저 SNORT 코드를 분석하지는 마시고 동작과 어떤
기능을 가지고 있는지에 대한 운용을 한번 해보세요. 여기서 기본
아이디어를 얻으시구요.
* 패턴 탐지
* 알고리즘 탐지
* 패킷 후킹및 검사
* 리포팅 혹은 차단
패턴 검증할때 정규 표현식을 어떻게 이용할지(대신에 정규 표현식은 속도가 느립니다.)
알고리즘은 어느것을 가져다 쓸지.. 이것 저것 괜찮다 싶은것들 한번 주욱 돌려보세요.
패킷 후킹은 커널에서 직접 할지 아니면 pcap을 사용할지..... 네트웍 관련 라이브러리
는 직접 제작해볼지 아니면 관련 라이브러리들을 사용할지.... 리포팅은 포맷에 맞춰서
DB로 할지 아니면 그냥 SYSLOG로 할지 등등..... 하나 하나 준비해보세요.
일단 화팅!!
댓글 달기