회사 업무 중 누군가가 덤프 해준 pcap 파일을 빠르게 분석해야 하는 경우 유용한 도구 없을까 찾아보니까, 역시 깃허브에 누군가 올려 두었다. 

 - 깃허브 : https://github.com/shendo/websnort

 - 리드더독스 : https://websnort.readthedocs.io/en/latest/

 

아래와 같이 설명이 되어 있다.

Websnort is an Open Source web service for analysing pcap files with intrusion detection systems such as snort and suricata.

(Websnort는 snort 및 suricata와 같은 침입 탐지 시스템으로 pcap 파일을 분석하기위한 오픈 소스 웹 서비스입니다.)

 

파이썬으로 만들어져 있으며,  웹 bottle로만들어진 웹서버를 실행시킨후 pcap 파일을 업로드 해주면, 내부적으로 Snort나 Suricata IDS를 실행하여 매칭되는 시그니쳐를 뿌려주는 형태로 되어 있다.

 

설치난이도는 "하"로 윈도우에 쉽게 설치 및 구동이 가능하였다.

 

설치를 위해 먼저

pip install websnort

를 입력하여 설치한다.

 

깃허브에서는 "websnort"명령어로 실행히 가능하다 헀지만 안되고, 설치된 디렉터리 "C:\Python27\Lib\site-packages\websnort"로 이동하 python web.py 명령어를 치면 아래와 같은 화면을 웹 브라우저에서 확인 할 수 있다.

 

스노트를 설치하고 websnoft의 conf 디렉터리의 websnort.conf를 적절하게 수정한다. 나는 이래와 같이 설정하였다.

# Websnort - Web submission API for analysing pcap files with snort
# Copyright (C) 2013-2015 Steve Henderson
#
# This program is free software: you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation, either version 3 of the License, or
# (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program.  If not, see <http://www.gnu.org/licenses/>.

# Example configuration of snort on windows, installed in C:\snort
[websnort]
ids = snort

[snort]
module = snort
ruleset = default
path = C:\Snort\bin\snort.exe
config = \snort\etc\snort.conf
extra_args =

 

설정후 Pcap를 올린후 submit하면 아래와 같이 ids에 매칭되는 시그니쳐를 보여준다.

 

cmd창에서는 snort가 실행되는 것을 볼 수 있다.

 

restapi도 사용가능.