스노트 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
4번째 줄: | 4번째 줄: | ||
* 침입탐지시스템 중 가장 널리 사용된다. | * 침입탐지시스템 중 가장 널리 사용된다. | ||
== | == Signature == | ||
[액션] [송신 IP] [송신 port] [방향] [수신 IP] [수신 port] ([룰 옵션]) | [액션] [송신 IP] [송신 port] [방향] [수신 IP] [수신 port] ([룰 옵션]) | ||
* | * 룰 헤더와 룰 옵션으로 구성된다. | ||
* 룰 옵션은 | * 룰 옵션은 선택사항이다. | ||
=== Rule Header === | === Rule Header === | ||
* 액션 | * 액션 | ||
** alert: 경고를 발생시킨다. | ** alert : 경고를 발생시킨다. | ||
** log: 로그를 기록한다. | ** log : 로그를 기록한다. | ||
** | ** path : 패킷을 무시한다. | ||
** active: alert를 발생시키고 대응하는 dynamic을 유효화 한다. | ** active : alert를 발생시키고 대응하는 dynamic을 유효화 한다. | ||
** dynamic: active에 의해 유효화된 경우 한쪽의 패킷을 기록한다. | ** dynamic : active에 의해 유효화된 경우 한쪽의 패킷을 기록한다. | ||
* 송수신 IP, port | * 송수신 IP, port | ||
** 211.11.22.33 80 | ** 211.11.22.33 80 | ||
27번째 줄: | 21번째 줄: | ||
** '$HOME_NET' 와 같이 snort.conf에서 지정한 변수를 참조할 수도 있다. | ** '$HOME_NET' 와 같이 snort.conf에서 지정한 변수를 참조할 수도 있다. | ||
* 방향 | * 방향 | ||
** -> 또는 <> | ** -> 또는 <> 또는 <- | ||
=== Rule Option === | === Rule Option === | ||
세미콜론(;)을 이용하여 옵션과 옵션을 구분한다. | 세미콜론(;)을 이용하여 옵션과 옵션을 구분한다. | ||
* msg: 지정한 메시지가 이벤트 명으로 사용된다. | * msg : 지정한 메시지가 이벤트 명으로 사용된다. | ||
* dsize: dzise:<바이트, dsize:바이트<>바이트 와 같이 상한선, 하한선, 범위를 지정할 수 있다. | * dsize : dzise:<바이트, dsize:바이트<>바이트 와 같이 상한선, 하한선, 범위를 지정할 수 있다. | ||
* content: 문자, 바이너리로 패턴을 탐지한다. | * content : 문자, 바이너리로 패턴을 탐지한다. | ||
** content:"문자" | ** content:"문자" | ||
** content:| 00 01 0A AA | | ** content:| 00 01 0A AA | | ||
** content: "| 90 90 90 | /bin/sh" | ** content: "| 90 90 90 | /bin/sh" | ||
* offset: 검색을 시작할 byte수를 지정한다. | * offset : 검색을 시작할 byte수를 지정한다. | ||
* depth: offset부터 시작하여 검색할 byte수를 지정한다. | * depth : offset부터 시작하여 검색할 byte수를 지정한다. | ||
* nocase: 대소문자를 구별하지 않는다. | * nocase : 대소문자를 구별하지 않는다. | ||
* flags: [[TCP 제어 플래그]]를 지정한다. F, S, FA, FSA 등으로 지정 가능하다. | * flags : [[TCP 제어 플래그]]를 지정한다. F, S, FA, FSA 등으로 지정 가능하다. | ||
* pcre: 정규식을 사용한다. | * pcre : 정규식을 사용한다. | ||
* threshold: 패킷의 발생량을 기반으로 탐지한다 | * threshold : 패킷의 발생량을 기반으로 탐지한다. | ||
== | |||
== 패턴매칭 == | |||
* 바이너리(Binary) 비교 방법 | * 바이너리(Binary) 비교 방법 | ||
* 텍스트(Text) 비교 방법 | * 텍스트(Text) 비교 방법 | ||
** 바이너리 비교 방법에 비해 속도가 느리지만 유연한 매칭이 가능하다. | ** 바이너리 비교 방법에 비해 속도가 느리지만 유연한 매칭이 가능하다. | ||