[3주차(11.14~11.21)] 피드백 기반 개발 정의 및 탐지

받은 피드백

- 탐지 룰을 가지고 수리카타를 띄어보고 트래픽이 어떻게 작용되는지, 어느정도 트래픽을 정하는지
- 패킷 흐르게끔 설정하고 탐지를 하나 선정해서 탐지를 해보고
어떻게 되는지

[계획 수정]
탐지 트래픽 쪽을 해보는 것이 목표라서 개발쪽으로 과제를 드리고자 한거,
daemon을 직접 개발 해보고 서비스 데몬을 직접 만들어보고
인터페이스에 들어오는 패킷을 직접 read해보고
read해본 수리카타 라이브러리를 통해서
내가 넣은 정책으로 비교해보고

리턴하고 나서
이번에 개발한 데몬에서 리턴값을 가지고
이런 것이 탐지되었는지 로그를 쌓거나, 알람을 띄운다던지
이런걸 개발을 해봐야함

--> 유사하게 만들기(개발쪽으로 과제를 하는게 중요)
수리카타의 로직, 라이브러리, 기능을 어떻게 활용할 것인지?
제품 개발을 통해서 이 라이브러리를 어떻게 활용할 수 있는지

기존 수리카타처럼 모든게 다 되는걸 바라는게 아니라
특정 TCD에 TCAP 을 읽어서 탐지를 하겠다~~
구현해서 리뷰 (개발적인 부분)

ex)))
- C로 개발 진행
- 프로그램을 하나 만들어서 주기적으로 인터페이스,  이더넷(?)ens~~ 그쪽으로 들어오는 패킷을 read해서 패킷을 수리카타 모듈에 태워보기

프로그램을 짤 때, 탐지 룰을 로드하는 기능을 메모리에 올려놓고
패킷을 로드하는 기능을 정책에 넣어서 탐지가 되면
탐지된 정보를 받아서 어떻게 활용할 건지
[ 로그를 DB쌓는다는지, 화면에 출력을 해준다던지,
 이런 프로그램을 개발을 해 보고 싶은 부분임 ]

방향을 다시 잡아서 진행 다시 해보기
수리카타 써보는거를 다음주까지해서
문서로 정리를 했으니,

C언어
지원할 기능 - 패킷 읽는 기능, 수리카타 모듈 룰 읽어오느  기능, 룰에 태우는 기능 ,로그할 수 있는 기능
구조도 설계 해서 과제를 다시 진행하기

################ 인지 할 부분 #################
- 개발 계획 잡고 개발을 하는 것이 목적
- 언어는 무조건 C

 

네트워크 트래픽 모니터링 성공

sudo tcpdump -i enp4s0