티스토리 뷰

네트워크

snort rules

삼전동해커 2020. 10. 12. 19:38

snort는 패킷 탐지 기반 IDS이다.

Plug-in 형태로 기능을 추가할 수 있다.


Rule

공격자의 공격을 탐지하기 위한 시그니처이다.
수신되는 패킷과 Rule을 비교해 일치하면 패킷을 차단한다.(오용탐지)
Rule Header와 Rule Option으로 구성되고 Header에는 Action Protocol,IP 주소,포트 등으로 구성.
Rule Option은 탐지할 조건으로 구성.

스니퍼
네트워크 인터페이스에 입력되는 패킷을 수신 받는다.
normal mode에서 패킷은 목적지의 mac주소가 자신의 mac주소와 동일한 것만 수신받음.
따라서 스니퍼는 primiscuos mode를 사용해 네트워크에 전송되는 모든 패킷을 수신한다.
TCP,UDP,IP,ICMP의 프로토콜을 수신 받는다.

전처리기
입력되는 패킷에 대해 특정 행위가 탐지될 경우 탐색엔진으로 전송한다.

탐색엔진
등록된 Rule과 동일한지 여부를 확인하는 패턴 검색.
등록된 Rule과 일치하면 로그를 기록하거나 alert를 발생시킨다.

경고 및 로깅
탐지된 패킷을 alert.ids로 전송한다.



Rule Header
action,protocol,direction으로 구성되어 있다.

1)처리방법
alert : alert를 발생시키고 탐지 정보를 로그 파일에 기록한다.
log: 패킷에 대해서 로그를 기록한다.
pass : 패킷을 무시한다.
activate : alert를 생성하고 그때 다른 dynamic rule을 active한다.
dynamic : activate rule에 의해 active됨.

2)프로토콜
TCP,UDP,ICMP,IP 설정 시 해당 프로토콜 탐지.

3)ip와 프로토콜
송신자와 수신자의 IP와 프로토콜을 보여준다.

4)direction
송신자와 수신자의 방향을 알려준다.

Rule Option
세부적인 탐지 조건을 설정하는 부분. 여러 개 설정시에는 ;으로 구분한다.

탐지조건
msg : alert가 발생하면 msg가 설정된 문장을 로그파일에 기록한다.
sid : 시그니처 아이디를 지정하는 것. 0~99는 지정되어 있다.1,000,000 이상의 값으로 사용자가 지정해 사용.
dsize : 버퍼 오버플로우 탐지 시 사용. 지정 크기보다 큰 패킷 탐지
ex) dsize:100<>500 100보다 크고 500보다 작은 패킷 탐지
nocase : 패킷 탐지 시 대소문자를 구분하지 않는다.

1)content
전송되는 페이로드를 검색해서 지정한 문자열이 있는지 확인함. 단순 문자열은 대소문자를 구분하고, 바이너리 문자열을 16진수를 |로 둘러쌓아 지정한다.
ex) content : "/bin/sh"    content : "| 00 01 02 AA AB |" 

2)flags
tcp 프로토콜에서 syn,fin,ack,urg 등을 지정해 패킷 탐색.
ex)flags : S   flags : SF


3)flow

tcp 연결이 확립된 세션을 탐지하기 위해서 established를 지정한다.


4)itype,icode

ICMP의 echo type에 따라 패킷 탐지. echo request의 경우 8, echo reply의 경우 0으로 설정.


5)sameip

Land attack 방지를 위해 송수신 ip가 같은 경우는 차단한다.


6)session

프로토콜 세션의 평문 데이터를 화면에 출력한다.printable로 설정.

ex)session : printable


7)threshold

동일한 패킷이 일정 시간내에 발생하면 탐지하는 것으로 무작위 공격방어.

limit : count 동안 최대 회수를 지정.

threshold : 회수마다 계속 탐지

both : 패킷이 계속 탐지될 경우 한번만 탐지.

by_src : 출발지의 패킷만 탐지.



'네트워크' 카테고리의 다른 글

무선 LAN  (0) 2020.10.12
VPN  (0) 2020.10.12
침입탐지 시스템(IDS)  (0) 2020.10.06
syn flooding,icmp land attack,ping of death  (0) 2020.08.12
와이어샤크 패킷 필터링  (0) 2020.08.11
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
«   2024/11   »
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
글 보관함