스노트 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
16번째 줄: | 16번째 줄: | ||
=== Rule Header === | === Rule Header === | ||
* 액션 | * 액션 | ||
** alert: 경고를 발생시킨다. | ** alert : 경고를 발생시킨다. | ||
** log: 로그를 기록한다. | ** log : 로그를 기록한다. | ||
** pass: 패킷을 무시한다. | ** pass : 패킷을 무시한다. | ||
** active: alert를 발생시키고 대응하는 dynamic을 유효화 한다. | ** active : alert를 발생시키고 대응하는 dynamic을 유효화 한다. | ||
** dynamic: active에 의해 유효화된 경우 한쪽의 패킷을 기록한다. | ** dynamic : active에 의해 유효화된 경우 한쪽의 패킷을 기록한다. | ||
* 송수신 IP, port | * 송수신 IP, port | ||
** 211.11.22.33 80 | ** 211.11.22.33 80 | ||
31번째 줄: | 31번째 줄: | ||
=== Rule Option === | === Rule Option === | ||
세미콜론(;)을 이용하여 옵션과 옵션을 구분한다. | 세미콜론(;)을 이용하여 옵션과 옵션을 구분한다. | ||
* msg: 지정한 메시지가 이벤트 명으로 사용된다. | * msg : 지정한 메시지가 이벤트 명으로 사용된다. | ||
* dsize: dzise:<바이트, dsize:바이트<>바이트 와 같이 상한선, 하한선, 범위를 지정할 수 있다. | * dsize : dzise:<바이트, dsize:바이트<>바이트 와 같이 상한선, 하한선, 범위를 지정할 수 있다. | ||
* content: 문자, 바이너리로 패턴을 탐지한다. | * content : 문자, 바이너리로 패턴을 탐지한다. | ||
** content:"문자" | ** content:"문자" | ||
** content:| 00 01 0A AA | | ** content:| 00 01 0A AA | | ||
** content: "| 90 90 90 | /bin/sh" | ** content: "| 90 90 90 | /bin/sh" | ||
* offset: 검색을 시작할 byte수를 지정한다. | * offset : 검색을 시작할 byte수를 지정한다. | ||
* depth: offset부터 시작하여 검색할 byte수를 지정한다. | * depth : offset부터 시작하여 검색할 byte수를 지정한다. | ||
* nocase: 대소문자를 구별하지 않는다. | * nocase : 대소문자를 구별하지 않는다. | ||
* flags: [[TCP 제어 플래그]]를 지정한다. F, S, FA, FSA 등으로 지정 가능하다. | * flags : [[TCP 제어 플래그]]를 지정한다. F, S, FA, FSA 등으로 지정 가능하다. | ||
* pcre: 정규식을 사용한다. | * pcre : 정규식을 사용한다. | ||
* threshold: 패킷의 발생량을 기반으로 탐지한다. | * threshold : 패킷의 발생량을 기반으로 탐지한다. | ||
** 아직까지 흔히 사용 되고 있지만 공식적으론 사용을 권장하지 않는다. | ** 아직까지 흔히 사용 되고 있지만 공식적으론 사용을 권장하지 않는다. | ||
** 비슷한 기능을 하진 detection_filter 사용이 권장된다. | ** 비슷한 기능을 하진 detection_filter 사용이 권장된다. |