snort

Snort 구조

Sniffer

Proprocessor

Detection Engine

Alert/Logging

 

룰 헤더와 룰 옵션으로 구성됨

1. 룰 헤더

alert	alert를 발생시키고 탐지 정보를 로그파일에 기록
drop	패킷 차단, 로그 기록
sdrop	패킷을 차단하지만, 로그에 기록하지 않음(silent drop)
reject	drop + ICMP port unreachable 메세지 전송
log	패킷에 대해서 로그를 기록
pass	패킷 무시

 

1-1. 프로토콜

TCP|ICMP|UDP|IP의 프로토콜 설정

 

1-2. IP와 PORT

송신자와 수신자의 ip, port를 설정

*subnetmask로 설정할 수 있는데 IP/subnet으로 작성하여야 함

 

1-3. 방향

->: 송신자에서 수신자로 보내는 패킷

<>: 송신자와 수신자를 구분하지 않고 탐지

*<- 은 없음

 

2. 룰 옵션

msg	alert 발생 시 msg가 설정된 문장을 로그파일에 기록함
sid	시그니처 아이디를 지정하는 것으로, 0~99은 예약되어 있음
nocase	대소문자를 구분하지 않음
content	페이로드 중 지정한 문자열이 있는지 확인하는 옵션 - content: "문자열"; - content:"|hex값|"; !:입력한 값과 일치하지 않으면 탐지함 -> content: !"choideu";
	offset: payload에서 패턴 매칭할 시작 위치
	depth: payload에서 패턴 매칭할 끝 위치로, offset 기준
	distance:이전 content가 검색된 지점에서 다음 컨텐츠를 시작 위치 지정
	within: 다음 content를 검색할 마지막 위치 지정으로 distance 지정 시 distance 기준, 미지정 시 이전 content가 검색된 지점에서 시작
flags	TCP 프로토콜 중 flag를 탐지할 때 사용함 - flags: SA; //Syn, Ack 플래그를 탐지할 때 사용함
itype	ICMP 프로토콜의 type 헤더 탐지 - itype: 0; //ICMP echo reply
sameip	Land attack을 막는 옵션 - sameip;
threshold	설정한 시간 내에 일정 수가 발생하면 탐지, brute force attack을 방어함
	threshold: type both|limit|threshold; both: 매 seconds마다, count 동안 횟수만큼 트래픽 발생 시 한번만 탐지 limit: 매 seconds마다, count 횟수에 해당시 마다 계속 탐지 threshold: 매 seconds마다, count 동안 횟수 번째 트래픽까지 계속 탐지(= 횟수 마다 탐지)
	track by_src: 출발지 패킷 track by_dst: 목적지 패킷
	count: 패킷 발생량
	seconds: 임계 시간

https://www.dailysecu.com/news/articleView.html?idxno=10240

 

https://www.dailysecu.com/news/articleView.html?idxno=10240

-> limit와 both는 로그 축약에 목적이 있음

 

*depth후에 작성된 content옵션에 대해서 distance는 depth 이후에 대해서가 아닌 검출된 content 이후부터 counting됨

payload : 1234567890abcdef

옵션	검출범위
content:"34";offset:2;depth:5;content:"0ab";distance:3;within:5	1234 567 890abcdef

처음 content:"34"; offset: 2; depth: 5;은 처음 2byte 후부터 5byte이내에 탐지 -> 34567에서 탐지하라는 말임 그럼 "34"가 탐지됨 -> 그 후 content의 distance 옵션은, 8이 아닌 5부터 시작이라는 말임