호스팅 TIP > 네트워크 > SNORT 시그니처 옵션설명

호스팅 TIP

보안

시스템

프로그래밍

네트워크

월간 인기 게시물

	게시물 160건

SNORT 시그니처 옵션설명

글쓴이 : 최고관리자 날짜 : 2010-06-17 (목) 16:46 조회 : 12625

글주소 :

SNORT 시그니처 옵션

option	description
content	content:"/etc/passwd" 및 "\|fffe 011 f\|" 같이 페이로드 지정 문자열에 ‘;’, ‘\|’, '"' 포함 시 문자 앞에 ‘₩’(escape) 추가
uricontent	패킷의 리퀘스트 URI 부분만 대상, 바이너리 지정은 안됨
depth	패킷의 depth bite 안에서 지정된 문자열을 검색
offset	패킷에서 문자열 검색 시작위치를 지정(bite)
nocase	content의 대소문자 구분을 없애줌. nocase; 로 쓰임.
session	telnet,tfp 등 TCP Session 중의 사용자 입력 데이터를 뽑아낸다. Printable/all 중 선택, all은 문자열 표현이 안되면 16진수로 나타내 줌
regex	정규표현식을 위한 option으로, 아직 표준이 없는 듯 하다.
flow	TCP계층의 reassembly 시 함께 동작한다. to_server, to_client, from_server, from_client only_stream rebuild된 패킷 만 no_stream rebuild되지 않은 패킷 만 established 통신이 established 된 패킷만 stateless 상태 상관없이 활성화 되며, 비정상 무작위공격에 대비
fragbits(IP)	IP헤더에서 지정된 fragment 및 예약 bit 체크 M 분할이 덜 됐음, D 분할하지 않음, R 예약비트 (*,+,-,! 사용가능) ex) fragbits:MD+ =>남은 fragment나 fragment 하지않은 bit가 지정 되어 있나 체크
sameip(IP)	sameip; 라고 지정하며 src ip와 dst ip가 동일한지 체크
ipopt(IP)	IP option이 존재하는지 체크(IP option은 따로..)
tos, ID, ttl(IP)	ttl:3-5; tos:4; 로 지정하며 각각의 filed 에 대한 value값을 체크 tos 는 !사용가능하며, ttl은 ><= - 사용가능
seq(TCP)	seq:시퀀스넘버; 로 지정하며 지정된 시퀀스번호 체크
ack(TCP)	ack:에크넘버; 로 지정하며 지정된 에크번호 체크
flags(TCP)	flags:[!\|*\|+]<FSRPAU120>[,<FSRPAU120>]; TCP 플래그를 체크
icmp_id(ICMP)	icmp_seq:ICMP IP값; 이며 ICMP ECHO의 ICMP ID 필드값을 체크한다.
icmp_seq(ICMP)	위와 비슷하며 ICMP의 identification sequence field값을 체크함. static ICMP filed를 사용하는 은닉채널 탐지에 유용(stacheldraht DDoS agen)
icode(ICMP)	icode:[<\|>]<number>[<><number>]; 지정된 ICMP code 값 체크
itype(ICMP)	itype:[<\|>]<number>[<><number>]; 지정된 ICMP type 값 체크
sid	시그니쳐의 ID를 지정함. 0 ~ 99 ： 예약이 끝난 상태 100 ~ 1,000,000 ： Snort.org 공식 배포룰 용 1,000,000 ~ ： 커스텀룰 용 (작성한 룰)
rev	sid:1000983;rev:1; 정보 업뎃을 위한 revirsion 번호를 지정하며, sid와 함께 쓰인다.
priority	priority :숫자; 위험도를 지정한다.
classtype	classification.config의 사용이 snort.conf에 정의 되 있어야 함. configclassification:<classname>,<classdescription>,<defaultpriority> classtype:<classname>;
reference	reference:cve,CAN-2000-1574; 외부참조를 나타냄. bugtraq http://www.securityfocus.com/bid/ cve http://cve.mitre.org/cgi-bin/cvename.cgi?name= nessus http://cgi.nessus.org/plugins/dump.php3?id= arachnids (currentlydown)http://www.whitehats.com/info/IDS mcafee http://vil.nai.com/vil/dispVirus.asp?virus k=
logto	logto:"filename"; 시그니쳐에 매치되면 파일로 출력한다. 스케닝같은 복합적인 데이터를 다룰 때 용이하며, snort가 바이너리 로깅 모드일땐 작동하지 않는다.