| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- AWS Elasticsearch
- ISMS
- isms-p
- hacking case
- artifacts
- forensic
- kubernetes
- 쿠버네티스
- 보안
- The Sleuth Kit
- 정보보안기사 실기
- Autopsy
- 해킹
- iam
- 실습
- CFReDS
- 포렌식
- AWS EKS Udemy
- 정보보안기사
- AWS Opensearch
- AWS
- k8s
- 보안기사
- ISMS-P 인증심사원
- AWS 쿠버네티스
- 정보보안
- TSK
- AWS EKS
- 모의해킹
- SMS-P 인증 기준 안내서 요약
- Today
- Total
Always-Try(정보보안 및 일상)
[정보보안기사][실기] Snort 본문
Snort Rule 헤더
1. 구조
- Action + Protocols + 출발지 IP 포트 + Direction + 목적지 IP 포트
- 단방향 예시) alert tcp any any -> 192.168.133.0/24 80
- 양방향 예시) log tcp $EXTERNAL_NET any <> $HOME_NET 80
- Action 종류
- alert, log, pass, activate, dynamic, drop, reject, sdrop (drop, reject는 로그 남김. sdrop은 안남김. silent)
- activate: alert을 발생시키고, 대응하는 dynamic rule을 활성화한다.
- dynamic: activate rule에 의해 활성화되고, log rule과 동일하게 동작한다.
- alert, log, pass, activate, dynamic, drop, reject, sdrop (drop, reject는 로그 남김. sdrop은 안남김. silent)
Snort Rule 바디 일반옵션
1. 일반 옵션
- msg: alert 발생 시 이벤트 이름
- reference: rule과 관련된 외부 취약점 정보 참조 시 사용
- sid: Snort Rule ID
- 99이하: 시스템에 예약된 sid
- 100 - 1,000,000 이하: snort에서 사용하는 sid
- 1,000,001 이상: 사용자 정의 rule에서 사용하는 sid
- classtype: rule에 대한 이벤트 유형 정보
- priority: rule 우선순위(위험도), 1 높음, 2 중간, 3 낮음
- rev: rule 버전 번호로 수정할 때마다 1씩 증가
Snort Rule 바디 페이로드(payload) 범위 관련 옵션
1. 페이로드(payload) 범위 관련 옵션
- content: 페이로드에서 검사할 문자열 지정
- text 형식은 "pattern", binary 형식은 "|FF FF|"
- offset/depth: 페이로드에서 content 패터 검사할 시작 위치/얼만큼 검사할 것인지
- 페이로드 처음을 0으로 간주
- distance/within: 이전 content 패터에 매치된 경우, 매치된 이후 바이트로부터 몇 바이트 떨어지 위치에서/얼만큼의 구간만큼 다음 content를 검사할 것이지 지정
- nocase: 대/소문자를 구분하지 않음(바이너리도 포함)
Snort Rule 바디 페이로드(payload)/정규표현식 관련 옵션
1. 정규표현식
- \ -> 특수문자 제거
- ^ -> 다음에 오는 문자가 문자열의 시작
- $ -> 앞에 있는 문자가 문자열의 끝
- . -> 임의의 문자 1개
- [ ] -> 집한 안에 지정한 문자들 중 하나와 일치
- | -> | 앞이나 뒤에 있는 문자열 중 하나와 일치
- * -> 앞에 있는 문자가 0회 이상 나타남
- ? -> 앞에 오는 문자가 0회 또는 1회 나타남
- + -> 앞에 오는 문자가 1회 이상 나타남
Snort Rule 바디 페이로드(payload)/HTTP 관련 옵션
1. HTTP 관련 옵션
- http_method
- http_uri
- http_header
- http_cookie
- http_client_body: 클라이언트 요청의 Body 부분을 검사(POST 요청에 대한 검사)
- http_stat_code: HTTP 응답의 status_code 부분을 검사
- HTTP/1.1 200 OK
- http_stat_msg: HTTP 응답의 status_message 부분을 검사
- HTTP/1.1 200 OK
Snort Rule 바디 Event Threshold(이벤트 제한) 관련 옵션
1. 형식
- threshod type <limit|threshold|both>, track <by_src|by_dst>, count <c>, seconds <s>
- type
- limit: 매 s초 동안 c번째 이벤트까지 action을 수행한다.
- threshold: 매 s초 동안 c번째 이벤트마다 action을 수행한다.
- both: 매 s초 동안 c번째 이벤트 시 한번만 action을 수행한다.
- track
- by_src
- by_dst
- type
Snort Rule 문제 예시 사이트 모음
https://goc1221.tistory.com/60
[ 정보보안기사 / 정보보안산업기사 ] 스노트 (Snort)
[ 정보보안기사 / 정보보안산업기사 ] 스노트 (Snort) 1. 스노트 (Snort) 네트워크 침입 탐지 시스템 2. 스노트 (Snort) 기능 - 스니퍼 : 네트워크 패킷 스니핑 - 패킷 로거 : 패킷을 로깅 - 네트워크 침
goc1221.tistory.com
https://developmentdiary.tistory.com/524
Snort 정보보안기사 실기문제모음
3회 5. “/administrator” 라는 문자열이 포함되어 있는 경우 “Web Scan Detected”란 메시지 로깅을 위한 Snort rule은 각각 무엇인가? ---------- Alert tcp any any -> 192.168.0.1 ( A ) ( ( B ) : “/admin..
developmentdiary.tistory.com
https://developmentdiary.tistory.com/524
Snort 정보보안기사 실기문제모음
3회 5. “/administrator” 라는 문자열이 포함되어 있는 경우 “Web Scan Detected”란 메시지 로깅을 위한 Snort rule은 각각 무엇인가? ---------- Alert tcp any any -> 192.168.0.1 ( A ) ( ( B ) : “/admin..
developmentdiary.tistory.com
https://shut-down.tistory.com/45
Snort Rule 정리 및 실습 예제
Snort 1. Snort란? Snort는 오픈소스로, 실시간 트래픽 분석과 패킷을 기록하는 침입 방지 시스템(IPS)이다. 2. Snort Rule Snort는 Rule 기반 탐지를 하며, 사용자가 작성한 룰대로 탐지 활동을 한다. Rule은 Rul
shut-down.tistory.com
'정보보안 자격증 + ISMS-P' 카테고리의 다른 글
| [정보보안기사][실기] IPSec VPN (AH, ESP, 전송모드 , 터널모드) (0) | 2021.10.26 |
|---|---|
| [정보보안기사][실기] 포트 스캐닝 (NMAP 옵션) (0) | 2021.10.26 |
| [정보보안기사][실기] 웹 어플리케이션 취약점(SQL Infection, XSS, CSRF, 개발 보안 안내서 등등) (0) | 2021.10.06 |
| [정보보안기사][실기] iptables 침입차단 시스템 (0) | 2021.10.01 |
| [정보보안기사][실기] 웹 로그 분석 (0) | 2021.09.30 |
