rule2alert - 스노트 룰로 패킷 만들기

 스노트룰을 파싱하여 자동으로 네트워크 데이터를 발생시켜 룰(시그니처)를 검증해주는 툴로, s2gen.pl 이라는 것이 있어요. (패킷인사이드; 스노트룰 파싱하여 패킷생성, 전송하기)

 오늘 소개해드릴 도구 rule2alert 는 스노트 룰로 패킷을 만들 수 있는 도구입니다. QA에 매우 유용하겠죠! 사용방법은 위키에 잘 나왔으니 참고하시고요. 아주 유용한 기능은 스노트룰을 파싱해서 네트워크 데이터를 만드는것 뿐만 아니라 해당 정보로 PCAP파일로 생성할 수 있다는 거예요. 또한 룰에 flow 옵션이 있다면 TCP 3-way  Handshaking 도 자동으로 생성해 줍니다 ^-^)b

도구를 테스트 하다 보면 다음과 같은 문제에 부딪히게 될거에요. 위 pcap 파일 스냅샷을 보시면 맥주소로 채워져야 할 부분이 Raw Packet data로 나오는것을 보실 수 있는데요. 즉, 데이터 링크 계층 MAC 정보가 없어서 나는 오류로 생각되요.

#tcpreplay

Warning: / [USER_PATH] /test.pcap DLT ((null)) does not match that of the outbound interface: [INTERFACE_NAME] (EN10MB)

# SNORT ERROR

ERROR: Cannot handle data link type 101

Fatal Error, Quitting..

아래는 /rule2alert/Generator/Payload.py 의 일부입니다. IP()앞에 모두 Ether()를 추가하면 문제는 쉽게 해결할 수 있어요.

  IP() => Ether(src="ff:ff:ff:ff:ff:ff", dst="ff:ff:ff:ff:ff:ff")/IP()

 참, Malware Forge 사이트에서는 rule2alert이외 다양한 IDS, PCAP 포렌식 툴들을 확인할 수 있어요. 저도 rule2alert 보다가 알게 된 사이트인데 매우 유용하네요 :)