반응형

정보보안기사 실기 / Snort rule - 네트워크 보안

 

Snort는 패킷을 스니핑해서 지정한 규칙과 동일한 패킷을 탐지하는 침임탐지 시스템입니다. 

Snort Rule은 공격자의 공격을 탐지하기 위한 등록된 규칙으로, Rule Header와 Rule Option으로 구성되어 있습니다.

 

이 Snort Rule을 구성하는 Header와 Option에 대해 알아보겠습니다. 

Rule Header

1. Action

명령어 내용
alert 경고 발생 및 로그 기록
log 로그 기록
pass 패킷 무시
drop 패킷 차단 및 로그 기록
reject 패킷 차단 및 로그 기록

2. Protocol 

유형 내용
tcp TCP 탐지
udp UDP 탐지
ip IP 탐지
icmp ICMP 메시지 탐지
any 전체

 

Rule Option

- 탐지 조건

옵션 내용 예제
msg - alert가 발생하면 로그파일에 기록할 문장 설정 msg: "SYN Attack";
sid - 시그니처 아이디 지정
- 0~99는 예약되어 있고, 100 ~ 1,000,000은 snort.org에서 공식적으로 배포함. 1,000,000 이상의 값은 사용자가 지정해서 사용할 수 있음
sid:1000000001
dsize - 버퍼 오버플로우를 탐지할 때 사용
- 전송되는 패킷의 사이즈를 식별할 수 있음
 
content - 문자/숫자 탐지 content: "xxx";
nocase - 대소문자 구분 없이 탐지 nocase;
offset - 지정한 바이트번째 부터 탐지 offset: 3;
depth - 지정한 바이트까지 탐지 depth: 14;
distance - content 매칭 후 지정 위치 이후 다른 content 탐색 content: "xxx"; content: "yyy"; distance: 5;
within - content 매칭 후 지정 위치 안에 다른 content 탐색 content: "xxx"; content: "yyy"; within: 5;
pcre - 정규화 표기 pcre: "/(http|ftp) Traffic/"

 

관련 문제

17회 각각의 Snort Rule 설정의 의미를 작성하시오.

(1) msg:"GET Flooding"
답 : alert 발생 시 GET Flooding이 이벤트 이름으로 사용된다.

 

(2) content:"GET / HTTP1."
답 : GET / HTTP1. 문자열을 검사한다.

 

(3) content:"USER"; content:!"anonymous"
답 : 문자열이 USER을 포함하고 anonymous를 포함하지 않는지 검사한다.

 

(4) content:"|00|";depth:1
답 : 1바이트의 바이너리 값이 00인지 검사한다.

 

14회 다음은 공개 IDS 소프트웨어인 snort의 관제 규칙(rule)이다. 각각의 질문에 답하시오.
alert any any - > any 80 ( msg "XSS"; content "GET"; offset:1; depth:3: content:"/login.php.. XSS"; distance 1;)

위와 같은 snort 룰을 등록하였는데 아래 접근이 탐지되지 않았다.
Content :"/Login.php?id=...";

1) content:"GET"; offset:1 depth:3 의미

답 : 1바이트 띄고 3바이트 검사해서 get 찾아라


2) content:"/login.php XSS"; distance 1; 의미

답 : 이전거 찾은 위치에서 1byte 넘어가서 다음 content 찾아라


3) 탐지되지 않은 접근이 탐지되도록 하려면 어떻게 수정해야 하는가?

답 : nocase 추가

 

11회 모든 네트워크 대역에서 Telnet으로 접속하는 패킷 중 14번째 자리까지 'anonymous'가 포함된 트래픽에 대해서 'Dangerous' 메시지로 경고하는 snort rule을 만드시오.

 

답 : alert tcp any any -> any 23 (msg: "Dangerous"; content: "anonymous"; depth: 14; sid: 1000001;

반응형

+ Recent posts