Ãâó : http://blog.naver.com/misman95/80041665451
½Ã±×³×óÀÇ ±¸Á¶
SnortÀÇ ½Ã±×³×ó´Â rules¶ó´Â È®ÀåÀÚ¸¦ °¡Áø ÆÄÀÏ¿¡ ±â¼úµÇ¾î ÀÖ´Ù. ÀÌ ½Ã±×³×ó´Â Ç¥1°ú °°Àº ±¸Á¶·Î µÇ¾î ÀÖ¾î 1Çà¿¡ 1°³ÀÇ ½Ã±×³×ó¸¦ ±â¼úÇÑ´Ù.
½Ã±×³×ó´Â ·ê Çì´õ¿Í ·ê ¿É¼ÇÀÇ 2°¡Áö ¼½¼ÇÀ¸·Î ºÐ·ùµÈ´Ù. ·ê Çì´õ¿¡´Â ó¸® ¹æ¹ý, ÇÁ·ÎÅäÄÝ, IPÁÖ¼Ò, Æ÷Æ® ¹øÈ£ µîÀÇ Ã³¸® ´ë»óÀ¸·Î¼ÀÇ ÆÇ´Ü ±âÁظ¦ ±â¼úÇÑ´Ù. ·ê ¿É¼Ç¿¡´Â alert ¸Þ½ÃÁö³ª ÆÐŶ ³»ºÎÀÇ Á¶»ç ³»¿ëÀ» ±â¼úÇÑ´Ù. ½Ã±×³×ó´Â Ç¥1°ú °°ÀÌ ÀüºÎ 8°³·Î ºÐ·ùµÈ´Ù. ¶ÇÇÑ, ·ê ¿É¼Ç ºÎºÐÀº ±â¼úÇÏÁö ¾Ê¾Æµµ Á¤´çÇÑ ½Ã±×³×ó·Î ÀνĵȴÙ. °¢ ºÎºÐ¿¡ ±â¼úÇØ¾ß ÇÒ ³»¿ëÀ» Ç¥1ÀÇ ¹øÈ£¿¡ µû¶ó Çؼ³ÇÑ´Ù.
¨ç action
action¿¡´Â ÆÐŶ ó¸® ¹æ¹ýÀ» alert, log, pass, activate, dynamic Áß¿¡¼ 1°³¸¦ ÁöÁ¤ÇÑ´Ù. °¢°¢ÀÇ actionÀÇ Àǹ̴ ǥ2¿Í °°´Ù.
dynamic ½Ã±×³×ó´Â ´Üµ¶À¸·Î µ¿ÀÛÇÏÁö ¾Ê°í, activate½Ã±×³×ó°¡ ÀÖ¾î¾ß¸¸ ÇÑ´Ù(¼·Î »ó¹Ý°ü°è). Activate¿Í dynamicÀº È®ÀåµÈ tag¶ó´Â ·ê ¿É¼Ç¿¡ ÀÇÇØ Ä¡È¯µÇ¹Ç·Î, »ç¿ëÇÏÁö ¾Ê´Â °ÍÀÌ ÁÁ´Ù.
¨è protocol
protocol¿¡´Â ÆÐŶÀÇ ÇÁ·ÎÅäÄÝÀ» tcp, udp, icmp, ip Áß¿¡¼ ¼±ÅÃÇÑ´Ù.
¨é¨ì IP address
IP address¿¡´Â ¨é¿¡ ¼Û½ÅÀÚ, ¨ì¿¡ ¼ö½ÅÀÚÀÇ IPÁÖ¼Ò¸¦ ÁöÁ¤ÇÑ´Ù. ÀÓÀÇÀÇ IPÁÖ¼ÒÀÎ any¸¦ ÁöÁ¤ÇÒ ¼öµµ ÀÖ´Ù. IPÁÖ¼Ò´Â 192.168.0.24¿Í °°Àº Çü½ÄÀ¸·Î ³Ý¸¶½ºÅ©µµ ÇÔ²² ÁöÁ¤ÇÑ´Ù. ƯÁ¤ È£½ºÆ®¸¸ ÁöÁ¤ÇÏ´Â °æ¿ì¿¡´Â 10.1.1.20/32¿Í °°ÀÌ ³Ý¸¶½ºÅ©¸¦ 32 ºñÆ®·Î ÇÑ´Ù.
µ¿½Ã¿¡ ¿©·¯ IPÁÖ¼Ò¸¦ ÁöÁ¤ÇÏ´Â °æ¿ì, 192.168.0.0/24, 10.0.0.0/8°ú °°Àº Çü½ÄÀ» »ç¿ëÇÏ¸é µÈ´Ù. !192.168.0.0/24¿Í °°ÀÌ ±â¼úÇϸé not 192.168.0.0/24¸¦ ÀǹÌÇÏ°Ô µÈ´Ù.
¶ÇÇÑ, snort.conf¿¡¼ ÁöÁ¤ÇÑ º¯¼ö¸¦ ÂüÁ¶ÇÒ ¼öµµ ÀÖ´Ù. ¿¹¸¦ µé¾î, HOME_NETÀ» ÂüÁ¶ÇÏ·Á¸é, $HOME_NET¶ó°í ±â¼úÇÑ´Ù.
¨ê¨í port
port¿¡´Â ¼Û¼ö½ÅÀÚÀÇ Æ÷Æ® ¹øÈ£¸¦ ÁöÁ¤ÇÑ´Ù. Çϳª¸¸ ÁöÁ¤ÇÏ´Â °æ¿ì¿¡´Â 25³ª 80°ú °°ÀÌ ¼öÄ¡¸¦ ±âÀÔÇÑ´Ù. ÄÝ·Ð(:)À» »ç¿ëÇϸé Æ÷Æ® ¹üÀ§¸¦ ÁöÁ¤ÇÒ ¼ö ÀÖ´Ù. ¿¹¸¦ µé¾î, 1:1024¶ó°í ±â¼úÇÑ °æ¿ì, 1~1024±îÁöÀÇ Æ÷Æ® ¹øÈ£¸¦ ÁöÁ¤ÇÏ°Ô µÈ´Ù. :500(500¹ø ÀÌÇÏÀÇ ¸ðµç Æ÷Æ®), 6000:(6000¹ø ÀÌ»óÀÇ ¸ðµç Æ÷Æ®)¿Í °°ÀÌ ÁöÁ¤ÇÒ ¼öµµ ÀÖ´Ù.
IPÁÖ¼Ò¿Í µ¿ÀÏÇÏ°Ô ¿©±â¿¡¼µµ any(ÀÓÀÇÀÇ Æ÷Æ®)³ª !(ÁöÁ¤ÇÑ ÀÌ¿ÜÀÇ Æ÷Æ®)¸¦ »ç¿ëÇÒ ¼ö ÀÖ´Ù.
¨ë direction
direction¿¡´Â ÆÐŶÀÇ ¹æÇâÀ» ³ªÅ¸³»´Â ±âÈ£¸¦ ÁöÁ¤ÇÑ´Ù. ->¸¦ ÁöÁ¤Çϸé ÁÂÃøÀÌ ¼Û½ÅÀÚ IPÁÖ¼Ò, ¿ìÃøÀÌ ¼ö½ÅÀÚ IPÁÖ¼ÒÀÓÀ» ÀǹÌÇÑ´Ù.
<>´Â ¼Û¼ö½ÅÀÚ ±¸º° ¾øÀÌ ÁöÁ¤ÇÑ IPÁÖ¼Ò »çÀÌÀÇ ¸ðµç ÆÐŶÀÌ ´ë»óÀÌ µÈ´Ù.
¨î option
option¿¡ ÁöÁ¤ÇÒ ¼ö ÀÖ´Â ·ê ¿É¼ÇÀº ¸Å¿ì ¸¹À¸¹Ç·Î, ÀÚÁÖ »ç¿ëµÇ´Â °Í¸¸ Çؼ³ÇÑ´Ù(Ç¥3). ¸ðµç ¿É¼Ç¿¡ °üÇÑ ¼³¸íÀº SnortÀ¥»çÀÌÆ®¸¦ ÂüÁ¶Ç϶ó.
¡¤msg
ÁöÁ¤ÇÑ ¸Þ½ÃÁö°¡ alert¹ß»ý½Ã³ª ·Î±× º¸Á¸½Ã¿¡ À̺¥Æ®¸íÀ¸·Î¼ »ç¿ëµÈ´Ù.
¡¤dsize
ÆÐŶÀÇ ÆäÀ̷εå Å©±â¸¦ È®ÀÎÇÏ°í, »çÀÌÁîÀÇ ¹üÀ§³ª »óÇÏÇÑÀ» ÁöÁ¤ÇÒ ¼ö ÀÖ´Ù. ¿¹¸¦ µé¾î, dsize: 400<>500; À̶ó°í Çϸé, 400¹ÙÀÌÆ®¿¡¼ 500¹ÙÀÌÆ®ÀÇ ÆäÀ̷εå Å©±â¸¦ °®´Â ÆÐŶÀ» ÁöÁ¤ÇÏ°Ô µÈ´Ù.
dsize¿É¼ÇÀ» ÁöÁ¤ÇÏ¸é °£´ÜÈ÷ ¹öÆÛ ¿À¹öÇ÷ο츦 °¨½ÃÇÒ ¼ö ÀÖ´Ù.
¡¤content
content´Â °¡Àå Áß¿äÇÑ ·ê ¿É¼ÇÀ¸·Î, ÆÐŶÀÇ ÆäÀÌ·Îµå ³»ºÎ¸¦ °Ë»öÇÏ´Â ¹®ÀÚ¿À» ÁöÁ¤ÇÑ´Ù.
°Ë»ö ¹®ÀÚ¿¿¡´Â ÅؽºÆ® µ¥ÀÌÅÍ¿Í ¹ÙÀ̳ʸ® µ¥ÀÌÅ͸¦ ÁöÁ¤ÇÒ ¼ö ÀÖ´Ù. ÅؽºÆ® µ¥ÀÌÅÍÀÇ °æ¿ì¿¡´Â ´Ü¼øÈ÷ °Ë»öÇÒ ¹®ÀÚ¿À» ÁöÁ¤ÇÏ¸é µÈ´Ù. ¹ÙÀ̳ʸ® µ¥ÀÌÅÍÀÇ °æ¿ì¿¡´Â 16Áø¼ö·Î Ç¥½ÃÇÑ µ¥ÀÌÅ͸¦ ¡°|¡± ·Î µÑ·¯ ½Ò ÇÊ¿ä°¡ ÀÖ´Ù. ¶ÇÇÑ, ÅؽºÆ® µ¥ÀÌÅÍ´Â ¸ÅĪÇÒ ¶§¿¡ ´ë¼Ò¹®ÀÚ ±¸º°ÇÏ´Â °Í¿¡ ÁÖÀÇÇÑ´Ù.
ÅؽºÆ®ÀÎ °æ¿ì content: ¡°/bin/sh¡±;
¹ÙÀ̳ʸ®ÀÎ °æ¿ì content: ¡° | 00 01 02 AA AB FF |¡±;
È¥ÇÕ½ÃŲ °æ¿ì content: ¡° | 90 90 90 | /bin/sh¡±;
¡¤offset
content¿É¼Ç¿¡¼ ÁöÁ¤ÇÑ ¹®ÀÚ¿ÀÇ °Ë»ö °³½Ã À§Ä¡ÀÇ ¿É¼ÂÀ» ÁöÁ¤ÇÑ´Ù.
¡¤depth
ÆÐÅÏ ¸ÅĪÀ» ½Ç½ÃÇÒ ÆäÀ̷εåÀÇ ±íÀ̸¦ ÁöÁ¤ÇÑ´Ù. »óÇÑÀ» ¼³Á¤ÇÏ´Â °ÍÀ̹ǷÎ, ¸ÅĪ ó¸®ÀÇ ºÎÇÏ´Â °æ°¨µÇÁö¸¸, Á¦ÇÑÀ» ¾ö°ÝÇÏ°Ô Çϸé false negative°¡ ¹ß»ýÇϱ⠽±´Ù.
¡¤nocase
ÅؽºÆ® µ¥ÀÌÅÍÀÇ ÆÐÅÏ ¸ÅĪÀ» ÇÒ ¶§¿¡ ´ë¹®ÀÚ¿Í ¼Ò¹®ÀÚÀÇ ±¸º°À» ÇÏÁö ¾Ê´Â´Ù. º¸Åë ÅؽºÆ® µ¥ÀÌÅÍÀÇ ÆÐÅÏ ¸ÅĪÀº ´ë¹®ÀÚ¿Í ¼Ò¹®ÀÚ¸¦ ±¸º°Çϱ⠶§¹®¿¡ ÀÌ°ÍÀ» ³ë¸° °ø°ÝÀ» °ËÁöÇÒ ¼ö ¾ø´Â °¡´É¼ºÀÌ ÀÖ´Ù. nocase¿É¼ÇÀ» ÁöÁ¤Çϸé ÀÌ¿Í °°Àº ¹Ì°ËÃâÀ» ¸·À» ¼ö ÀÖ´Ù.
¡¤flags
ÆÐŶ¿¡ ¼³Á¤µÇ¾î ÀÖ´Â TCPÇ÷¡±×¸¦ ÁöÁ¤ÇÑ´Ù(Ç¥4). º¹¼öÀÇ °ªÀ» ¼³Á¤ÇÏ´Â °æ¿ì¿¡´Â flags: FS; ¿Í °°ÀÌ ³ª¿ÇÑ´Ù. ¶ÇÇÑ +(or), *(and), !(not) µîÀÇ ÆĶó¹ÌÅ͸¦ »ç¿ëÇÒ ¼ö ÀÖ´Ù.