Snort Rule 구조

SPAN 모드 mirror 모드라고도 함

인라인 모드 →  실시간으로 탐지하기위함

 

명령모드

네트워크 침입탐지모드를 가장 많이 사용

나머지 2개는 거의 안씀

 

 

preprocessor 에서 Stream 은 데이터

 

Snort는 사용자가 정한 룰을 기반으로 패킷을 탐지

RTN (Rule header)  →  구조 외우기

OTN (option 영역)

 

 

 

 

 

 

icmp 가 ping..?

any로 하면 전체 변수에서 탐지를 해서 속도가 느려짐 

 

RTN(Rule header)

Q.    alert tcp 192.168.0.22  > 222.111.222.123.80    이 rule 헤더는 뭐가 잘못됐을까?

A. 방향 지시 > 가 아니라 ->

출발지도 잘못됨

alert tcp 192.168.0.22 any  -> 222.111.222.123.80

 

 

 

alert tcp 192.168.0.22/24 any  -> 222.111.222.123.80   >> 출발지 192.168.0.0(1 ~ 254)까지 모두 탐지

룰 작성시 목적지에 CIDR를 잘 사용하지 않음, 목적지가 명확함 (보통 WEB Server향하기 때문)

 

 

 

다 알아야 함 ↓ (보라색 빼고)

 

흐름옵션에서 to_server, to_client 를 많이 씀 from 은 잘 안씀

 

Q. TCP의 연결 초기화 과정은??  3-way handshaking을 거침  syn  >  syn/ack  > ack   이 이후에 통신이 이루어짐

tcp rule header에 established ......   놓침

TCP는 신뢰 기반의 protocol, 연결 지향형