snort 룰(시그니처) 설정: 헤더와 바디로 나눠짐
1) 헤더: action, 프로토콜, 출발지 IP&port, direction(방향 ->, <-, <>), 목적지 IP&port
**action 유형: alert, log, pass, active, dynamic, drop(패킷 차단 후 로그 남김), reject(패킷 차단 후, 로그 남기고 차단했다는 메시지 전송), sdrop(패킷 차단 후 로그X)
2) 바디: 일반 옵션 설정과 페이로드 관련 설정으로 세분화됨
일반 옵션 설정: msg, reference(rule과 관련된 외부 취약점 정보 참조 시 사용), sid(99이하_시스템에서 제공하는 룰셋, 100~1,000,000_www.snort.org 가 배포하는 룰셋, 1,000,001이상_사용자 정의), classtype, priority, rev(룰 버전 정보_수정된 횟수)
페이로드 관련 설정)
① content: 페이로드에서 검사할 문자열 지정.
② uricontent: 컨텐츠 문자열을 전체 패킷과 비교하는 대신 HTTP 클라이언트 요청 URI 정보를 검사할 문자열 지정
③ offset: 페이로드에서 문자열 검사할 시작 위치 지정
④ depth: offset으로부터 문자열 검사할 범위 지정
⑤ distance: 문자열 매칭 이후 매칭된 비트의 다음 비트부터 다시 검사 시작할 위치 지정
⑥ within: distance로부터 몇 바이트 내에서 다음 content 검사할지 지정
⑦ nocase: 대소문자 구분 X
**snort rule body_event threshold(이벤트 제한) 관련 옵션
type: limit(카운드까지만 액션 수행), threshold(카운트 마다 액션 수행), both(카운트 이상 발생 시 액션 수행)
track: by_src, by_dst
count: 수행할 횟수
seconds: 수행할 단위 초
ex) threshold type limit, track by_src, count 2, seconds 10 >> 출발지 IP 주소 기준 10초 동안 두 번째 이벤트까지만 액션 수행
threshold type threshold, track by_src, count 10, seconds 5 >> 출발지 IP 주소 기준 5초 동안 10번째 이벤트마다 액션 수행
threshold type both, track by_src, count 10, seconds 1 >> 출발지 IP 주소 기준 1초 동안 10번 이상 이벤트 발생 시 액션 수행
**수리카타: 스노트의 단점을 개선하고 장점을 수용한 IDS로, 비영리단체인 OISF에서 개발. 오픈소스이며 멀티코어와 멀티스레드 처리 방식으로 대용량 트래픽을 실시간으로 처리 가능함.
'침해사고 분석 및 대응' 카테고리의 다른 글
| 침해사고 유형 별 시나리오 및 주요 취약점 (1) | 2023.12.31 |
|---|---|
| 보안 솔루션 종류 및 특징 (1) | 2023.12.31 |
| 침입차단시스템(iptables) (1) | 2023.12.31 |