정보보안기사 실기 / Snort rule - 네트워크 보안
Snort는 패킷을 스니핑해서 지정한 규칙과 동일한 패킷을 탐지하는 침임탐지 시스템입니다.
Snort Rule은 공격자의 공격을 탐지하기 위한 등록된 규칙으로, Rule Header와 Rule Option으로 구성되어 있습니다.
이 Snort Rule을 구성하는 Header와 Option에 대해 알아보겠습니다.
Rule Header
1. Action
| 명령어 | 내용 |
| alert | 경고 발생 및 로그 기록 |
| log | 로그 기록 |
| pass | 패킷 무시 |
| drop | 패킷 차단 및 로그 기록 |
| reject | 패킷 차단 및 로그 기록 |
2. Protocol
| 유형 | 내용 |
| tcp | TCP 탐지 |
| udp | UDP 탐지 |
| ip | IP 탐지 |
| icmp | ICMP 메시지 탐지 |
| any | 전체 |
Rule Option
- 탐지 조건
| 옵션 | 내용 | 예제 |
| msg | - alert가 발생하면 로그파일에 기록할 문장 설정 | msg: "SYN Attack"; |
| sid | - 시그니처 아이디 지정 - 0~99는 예약되어 있고, 100 ~ 1,000,000은 snort.org에서 공식적으로 배포함. 1,000,000 이상의 값은 사용자가 지정해서 사용할 수 있음 |
sid:1000000001 |
| dsize | - 버퍼 오버플로우를 탐지할 때 사용 - 전송되는 패킷의 사이즈를 식별할 수 있음 |
|
| content | - 문자/숫자 탐지 | content: "xxx"; |
| nocase | - 대소문자 구분 없이 탐지 | nocase; |
| offset | - 지정한 바이트번째 부터 탐지 | offset: 3; |
| depth | - 지정한 바이트까지 탐지 | depth: 14; |
| distance | - content 매칭 후 지정 위치 이후 다른 content 탐색 | content: "xxx"; content: "yyy"; distance: 5; |
| within | - content 매칭 후 지정 위치 안에 다른 content 탐색 | content: "xxx"; content: "yyy"; within: 5; |
| pcre | - 정규화 표기 | pcre: "/(http|ftp) Traffic/" |
관련 문제
17회 각각의 Snort Rule 설정의 의미를 작성하시오.
(1) msg:"GET Flooding"
답 : alert 발생 시 GET Flooding이 이벤트 이름으로 사용된다.
(2) content:"GET / HTTP1."
답 : GET / HTTP1. 문자열을 검사한다.
(3) content:"USER"; content:!"anonymous"
답 : 문자열이 USER을 포함하고 anonymous를 포함하지 않는지 검사한다.
(4) content:"|00|";depth:1
답 : 1바이트의 바이너리 값이 00인지 검사한다.
14회 다음은 공개 IDS 소프트웨어인 snort의 관제 규칙(rule)이다. 각각의 질문에 답하시오.
alert any any - > any 80 ( msg "XSS"; content "GET"; offset:1; depth:3: content:"/login.php.. XSS"; distance 1;)
위와 같은 snort 룰을 등록하였는데 아래 접근이 탐지되지 않았다.
Content :"/Login.php?id=...";
1) content:"GET"; offset:1 depth:3 의미
답 : 1바이트 띄고 3바이트 검사해서 get 찾아라
2) content:"/login.php XSS"; distance 1; 의미
답 : 이전거 찾은 위치에서 1byte 넘어가서 다음 content 찾아라
3) 탐지되지 않은 접근이 탐지되도록 하려면 어떻게 수정해야 하는가?
답 : nocase 추가
11회 모든 네트워크 대역에서 Telnet으로 접속하는 패킷 중 14번째 자리까지 'anonymous'가 포함된 트래픽에 대해서 'Dangerous' 메시지로 경고하는 snort rule을 만드시오.
답 : alert tcp any any -> any 23 (msg: "Dangerous"; content: "anonymous"; depth: 14; sid: 1000001;
'자격증 > 정보보안기사' 카테고리의 다른 글
| 정보보안기사 실기 / Apache 웹 서버 보안 설정 - 애플리케이션 보안 (0) | 2021.09.27 |
|---|---|
| 정보보안기사 실기 / 3. IPSec (IP Security) - 애플리케이션 보안 (0) | 2020.10.21 |
| 정보보안기사 실기 / 2. 정보보호 위험 평가 - 정보보안 관리 및 법규 (0) | 2020.10.19 |
| 정보보안기사 실기 / 1. 접근 통제 - 정보보안 일반 (0) | 2020.10.19 |
| 정보보안기사 실기 / study 목록 (0) | 2020.10.19 |