Written by php-style
on 2021-09-26

정보보안기사 실기 / Snort rule 구조 - 네트워크 보안

728x90

반응형

정보보안기사 실기 / Snort rule - 네트워크 보안

Snort는 패킷을 스니핑해서 지정한 규칙과 동일한 패킷을 탐지하는 침임탐지 시스템입니다.

Snort Rule은 공격자의 공격을 탐지하기 위한 등록된 규칙으로, Rule Header와 Rule Option으로 구성되어 있습니다.

이 Snort Rule을 구성하는 Header와 Option에 대해 알아보겠습니다.

Rule Header

1. Action

명령어 내용 alert 경고 발생 및 로그 기록 log 로그 기록 pass 패킷 무시 drop 패킷 차단 및 로그 기록 reject 패킷 차단 및 로그 기록

2. Protocol

유형 내용 tcp TCP 탐지 udp UDP 탐지 ip IP 탐지 icmp ICMP 메시지 탐지 any 전체

Rule Option

- 탐지 조건

옵션 내용 예제 msg - alert가 발생하면 로그파일에 기록할 문장 설정 msg: "SYN Attack"; sid - 시그니처 아이디 지정

- 0~99는 예약되어 있고, 100 ~ 1,000,000은 snort.org에서 공식적으로 배포함. 1,000,000 이상의 값은 사용자가 지정해서 사용할 수 있음 sid:1000000001 dsize - 버퍼 오버플로우를 탐지할 때 사용

- 전송되는 패킷의 사이즈를 식별할 수 있음 content - 문자/숫자 탐지 content: "xxx"; nocase - 대소문자 구분 없이 탐지 nocase; offset - 지정한 바이트번째 부터 탐지 offset: 3; depth - 지정한 바이트까지 탐지 depth: 14; distance - content 매칭 후 지정 위치 이후 다른 content 탐색 content: "xxx"; content: "yyy"; distance: 5; within - content 매칭 후 지정 위치 안에 다른 content 탐색 content: "xxx"; content: "yyy"; within : 5; pcre - 정규화 표기 pcre: "/(http|ftp) Traffic/"