¿ù°£ Àα⠰Խù°

°Ô½Ã¹° 160°Ç
   
Snort Rule Header
±Û¾´ÀÌ : ÃÖ°í°ü¸®ÀÚ ³¯Â¥ : 2010-06-22 (È­) 10:51 Á¶È¸ : 11067
±ÛÁÖ¼Ò :
                          

Ãâó : http://blog.naver.com/white00one/40088337728

  • Rule Header
    • Rule Header´Â Snort Signatrue ÀÇ ÇÙ½É ºÎºÐ
    • ±ÔÄ¢ °Ë»ç ÈÄ Çൿ, ÇÁ·ÎÅäÄÝ, Ãâ¹ßÁö¿Í ¸ñÀûÁöÀÇ IP, Port, ³×Æ®¿öÅ©¸¦ Æ÷ÇÔ
      • Rule Action + Protocol + Ãâ¹ßÁö Á¤º¸ + ¸ñÀûÁö Á¤º¸
    • Snort¿¡¼­´Â ¼¼°¡ÁöÀÇ ÆÐƾ ¸ÅĪ ¾Ë°í¸®ÁòÀ» Á¦°øÇÏ°í ÀÖÀ¸¸ç »ç¿ëÀÚ°¡ ¼±Åà °¡´É
      • Aho-Corasick, Wu-Manber,Boyler-Moore ¾Ë°í¸®Áò
    • SnortÀÇ ±ÔÄ¢ ÆÄÀÏÀº ´Ù¸¥ ±ÔÄ¢ ÆÄÀÏÀ» Æ÷ÇÔÇÒ¼ö ÀÖÀ½
      • Include <complete_path_and_filename>

 

  • Rule Action
    • °¢ Rule ActionÀº ¼­·Î ´Ù¸¥ ¸ñÀû°ú °á°ú¸¦ ¹ß»ý½ÃÅ´
    • ÆÐŶ°ú ±ÔÄ¢ÀÌ ÀÏÄ¡ÇÒ °æ¿ì ŽÁö ¿£Áø¿¡¼­ ÇÒ ÀÏÀ» Á¤ÇÔ
    • Rule ActionÀ» Á¤ÇÒ떄´Â RuleÀÇ ¸ñÀû°ú Á߿伺À» °í·Á
    • Rule Action Áß 'Pass'¾×¼ÇÀº ±â¾÷ ³×Æ®¿öÅ©¿¡¼­ °ÅÀÇ »ç¿ëÇÒÀÏÀÌ ¾øÀ¸³ª, ƯÁ¤ ³×Æ®¿öÅ©·ÎºÎÅÍ Æ®·¡ÇÈÀ» ¹«½ÃÇÏ°í ½ÍÀ» ¶§ À¯¿ëÇÏ°Ô »ç¿ëµÊ
    • Custom Rule Action
      • Ruletype suspicious

              type log 
              output log_tcpdump:suspicious.log
        }
    • ±âº» Rule Action

Rule Action

¼³¸í

alert

log ¾×¼Ç°ú µ¿ÀÏÇÑ ¹æ¹ýÀ¸·Î ÆÐŶÀ» ·Î±×·Î ÀúÀåÇÑµÚ »ç¿ëÀÚ°¡ ¼³Á¤ÇÑ ¹æ¹ý´ë·Î »ç¿ëÀÚ¿¡°Ô °æ°í¸¦ º¸³½´Ù. AlertÀº Ä¡¸íÀûÀÎ °ø°Ý¿¡ ´ëÇؼ­¸¸ »ç¿ëÇϴ°ÍÀ» ±ÇÀåÇÑ´Ù. ¸¹Àº Alert·Î±×´Â ·Î±×ºÐ¼®¿¡ ¾î·Á¿òÀ» ÁØ´Ù

log

ÆÐŶ¿¡ ´ëÇÑ ·Î±×¸¦ ÀúÀåÇÑ´Ù.

pass

pass¾×¼ÇÀº ÆÐŶÀ» ¹«½ÃÇÑ´Ù. ¸» ±×·¡µ¹ ¾ÇÀÇÀûÀÎ ÆÐŶÀÌ ¾Æ´Ï¶ó°í
ÆÇ´ÜµÉ °æ¿ì »ç¿ëÇÏ¸é µÈ´Ù

activate

Snort ÀÇ ±âº» ¾×¼Ç Áß °¡Àå °­·ÂÇÑ ±ÔÄ¢À¸·Î alertÀ» ¹ß»ý½ÃŲÈÄ
´Ù¸¥ dynamic ±ÔÄ¢À» È°¼ºÈ­ÇÑ´Ù. Áï, º¹ÀâÇÑ ÆÐŶÀ̳ª °ø°ÝÀÇ °æ¿ì
activate ¾×¼ÇÀ» Àû¿ëÇϸé Á»´õ È¿°úÀûÀΠŽÁö°¡ °¡´ÉÇÏ°í ÇϳªÀÇ
µ¥ÀÌÅÍ¿¡ ´ëÇؼ­ ´Ù¾çÇÑ °Ë»ç ¹æ¹ýÀ» Àû¿ëÇÒ¼ö ÀÖ´Ù.

dynamic

dynamic¾×¼ÇÀº óÀ½¿¡ ºñÈ°¼ºÈ­ »óÅ·ΠÀÖ´Ù°¡ activate ¾×¼Ç¿¡ ÀÇÇØ
È°¼ºÈ­ µÈ´Ù. È°¼ºÈ­ µÈ ÀÌÈÄ¿¡´Â log¾×¼Ç ±ÔÄ¢°ú µ¿ÀÏÇÏ´Ù.

drop

iptable¿¡ ÀÇÇØ ÆÐŶÀ» °ÅºÎÇÏ°í ·Î±×¸¦ ³²±ä´Ù.

reject

iptable¿¡ ÀÇÇØ ÆÐŶÀ» °ÅºÎÇÏ°í ·Î±×¸¦ ³²±äÈÄ, ÇÁ·ÎÅäÄÝÀÌ TCP³ª
ICMPÆ÷Æ®ÀÏ °æ¿ì TCP¸¦ º¸³½´Ù.

sdrop

iptable¿¡ ÀÇÇØ ÆÐŶÀ» °ÅºÎÇÏ°í ·Î±×¸¦ ³²±âÁö ¾Ê´Â´Ù.

 

  • Rule Protocol
    • TCP, UDP,IP,ICMP ³× °¡ÁöÀÇ ÇÁ·ÎÅäÄÝÀ» Áö¿ø

      (ARP, ICRP,GRE,OSPF,RIP,IPXµî °³¹ß Áß)

    • Rule Action ´ÙÀ½¿¡ °ø¹éÀ¸·Î ±¸ºÐÇÏ¿© ¿øÇÏ´Â ÇÁ·ÎÅäÄÝ ÁöÁ¤
    • ÇϳªÀÇ Rule¿¡´Â ÇϳªÀÇ ÇÁ·ÎÅäÄݸ¸ÀÌ ÁöÁ¤ÇÒ¼ö ÀÖÀ½
    • ÇÁ·ÎÅäÄÝ ÁöÁ¤ÀÇ ¿¹
      • log tcp any any -> any any (tcpÀÇ ¾Æ¹« IP, ¾Æ¹« Æ÷Æ®¿¡¼­ ¾Æ¹« IP ¾Æ¹« port·Î µé¾î°¡´Â ÆÐŶ¿¡ ´ëÇÑ ·Î±×¸¦ ³²°Ü¶ó)

 

  • IP Address
    • ÇÁ·ÎÅäÄÝ ´ÙÀ½Àº Ãâ¹ßÁö¿Í ¸ñÀûÁö¿¡ ´ëÇÑ IP ÁÖ¼Ò ÀÔ·Â
    • IP ÁÖ¼Ò´Â CIDR¸¦ »ç¿ëÇؼ­ ÁöÁ¤Çϰųª ´ÜÀÏ IP,ÁÖ¼Ò¸¦ÁöÁ¤ÇÒ¼ö ÀÖÀ½
      • CIDR¹æ½ÄÀº ƯÁ¤ ³×Æ®¿öÅ© ¼¼±×¸ÕÆ®³ª ÀÏÁ¤ÇÑ IP ÁÖ¼Ò ´ë¿ªÀ» ÁöÁ¤ÇØ ÁÙ¼ö ÀÖÀ½
      • 192.168.100.0/24 : 192.168.100.0 ~ 192.168.100.255
      • 192.168.100.1/32 : ´ÜÀÏ IP ÁÖ¼Ò¸¦ CIDR·Î Ç¥Çö

         

    • Snort ±ÔÄ¢¿¡¼­ ÀϹݵµ¸ÞÀÎ À̸§À» »ç¿ëÇÒ¼ö ¾øÀ¸¹Ç·Î CIDRÀÇ Ç¥Çö ¹æ½ÄÀÇ ÀÌÇØ°¡ ÇÊ¿äÇÔ
    • '!' ºÎÁ¤ ¿¬»êÀڷΠƯÁ¤ ³×Æ®¿öÅ© ´ë¿ªÀ» Á¦¿Ü½Ãų ¶§ »ç¿ë
    • '[]' : ´ÜÀÏ IP¿Í ³×Æ®¿öÅ© ´ë¿ª µî ¿¬¼ÓÀûÀÌÁö ¾ÊÀº IPÁÖ¼Ò¸¦ ÁöÁ¤ÇÒ¼ö ÀÖÀ½
    • 'any' : ¸ðµç ÁÖ¼Ò¸¦ °¡¸®Å°´Â ¿ÍÀϵå Ä«µå·Î À¯´ÏÄÚµå ¶Ç´Â ¹öÆÛ ¿À¹öÇ÷οì¿Í °°Àº so,¿ÜºÎ¿¡¼­ ¸ðµÎ ÇàÇØÁú¼ö ÀÖ´Â ±â¼úÀûÀÎ Ãë¾àÁ¡À» ãÀ» ¶§ À¯¿ëÇÔ
    • IP ÁÖ¼ÒÀÇ Àç»ç¿ë¼ºÀ» À§Çؼ­ º¯¼ö¸¦ »ç¿ëÇÔ
    • ´Ù¾çÇÑ IP ÁÖ¼Ò ÁöÁ¤ÀÇ ¿¹
      • alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111 (tcp 192.168.1.0/24°¡ ¾Æ´Ñ ¾Æ¹« Æ÷Æ®¿¡¼­ 192.168.1.0/24 IP¿¡ 111 Æ÷Æ®·Î µé¾î¿À´Â ¸ðµç ÆÐŶ¿¡ ´ëÇØ alert À» ³²°Ü¶ó)
      • alert tcp ![192.168.1.0./24, 10.1.1.0/24] any -> [192.168.1.0/24, 10.1.1.0/24] 111 ( tcp 192.168.1.0/24¿Í 10.1.1.0/24 IP°¡ ¾Æ´Ñ ¾Æ¹« Æ÷Æ®¿¡¼­ 192.168.1.0/24¿Í 10.1.1.0/24IPdml 111¹ø Æ÷Æ®·Î µé¾î¿À´Â ÆÐŶ¿¡ ´ëÇØ alertÀ» ³²°Ü¶ó

 

  • Port
    • IP ÁÖ¼Ò ÇÒ´ç¿¡¼­ »ç¿ëµÈ ºÎÁ¤ ¿¬»êÀÚ(!)¿Í ¿ÍÀϵå Ä«µå(any)¹®ÀÚ¸¦ µ¿ÀÏÇÏ°Ô »ç¿ë
    • ':' : ¿¬¼ÓµÈ port ¹øÈ£¸¦ ÁöÁ¤ÇÒ °æ¿ì »ç¿ë
    • Æ÷Æ® ¹øÈ£´Â tcp¿Í udp ±ÔÄ¢¿¡¼­¸¸ »ç¿ëµÇ³ª, snort ŽÁö ¿£ÁøÀÌ Á¤»óÀûÀ¸·Î µ¿ÀÛÇϱâ À§Çؼ­´Â Æ÷Æ® Á¤º¸°¡ ÇÊ¿äÇϹǷΠŸ ÇÁ·ÎÅäÄÝ¿¡µµ 'any'¸¦ »ç¿ë
    • port ¹øÈ£ ÁöÁ¤ÀÇ ¿¹
      • log udp any any -> 192.168.1.0/24 1:1024 (UDP ¸ðµç ÁÖ¼ÒIP ÀÇ ¸ðµç port¿¡¼­ 192.168.1.0/24 IPÀÇ 1¹øºÎÅÍ 1024¹øÆ÷Æ® ·Î µé¾î¿À´Â ¸ðµç ÆÐŶÀÉ ·Î±×¸¦ ³²±ä´Ù)
      • log tcp any :1024 -> 192.168.1.0/24 500: (tcp ¸ðµç ÁÖ¼ÒÀÇ 1024¹ø±îÁöÀÇ port¿¡¼­ 192.168.1.0/24 ÁÖ¼Ò¿¡¼­ 500¹øport ºÎÅÍ µé¾î¿À´Â ¸ðµç ÆÐŶ¿¡ ´ëÇØ ·Î±×¸¦ ³²±ä´Ù)

 

  • ¹æÇâ ¿¬»êÀÚ
    • ¹æÇâ ¿¬ÀÜÀÚ´Â ÆÐŶÀÇ ¹æÇâÀ» Ç¥½Ã
    • '->' ¿¬»êÀÚ´Â ¿ÞÂÊ¿¡ ÀÖ´Â ³»¿ëÀÌ Ãâ¹ßÁö¿¡ ´ëÇÑ Á¤º¸À̸ç, ¿À¸¥ÂÊ ³»¿ëÀº ¸ñÀûÁö¿¡ ´ëÇÑ Á¤º¸¸¦ ³ªÅ¸³¿
    • '<>' ¿¬»êÀÚ´Â Ãâ¹ßÁö¿Í ¸ñÀûÁö »çÀÌ¿¡¼­ ¿À°¡´Â ¸ðµç ÆÐŶÀ» ³ªÅ¸³¿
    • '<>'¿¬»êÀÚ´Â '->' ¿¬»êÀÚ¿¡ ºñÇؼ­ IDS¿¡ ¸¹Àº ºÎÇϸ¦ °¡Á®¿È
      • '<>'¿¬»êÀÚ´Â ´ë·®ÀÇ Æ®·¡ÇÈÀ» ¹ß»ý½ÃÅ°Áö ¾Ê´Â ³×Æ®¿öÅ©¿¡ Àû¿ë
    • ¹æÇâ ¿¬»êÀÚÀÇ ¿¹
      • log tcp !192.168.1.0/24 any <> 192.168.1.0/24 23 (tcp 192.168.1.0/24ÀÇ ÁÖ¼Ò°¡ ¾Æ´Ñ ¸ðµç Æ÷Æ®¿¡¼­ 192.168.1.0/24ÁÖ¼ÒÀÇ 23 Æ÷Æ®·Î ¿À°í°¡´Â ¸ðµç ÆÐŶ¿¡ ´ëÇØ ·Î±×¸¦ ³²±ä´Ù)

 

  • Activate ±ÔÄ¢°ú Dynamic ±ÔÄ¢
    • Activate ±ÔÄ¢Àº ÀÚ½ÅÀÌ È°¼ºÈ­ µÉ °æ¿ì ´Ù¸¥ Dynamic ±ÔÄ¢À» È°¼ºÈ­ ½ÃÅ´
    • Activate ±ÔÄ¢Àº °æ°í¸¦ ¹ß»ý½ÃÅ°°í ¿¬°üµÈ Dynamic ±ÔÄ¢À» È°¼ºÈ­ ½ÃÄÑ log¸¦ ³²±æ¼ö ÀÖÀ½
    • Activate ±ÔÄ¢¿¡¼­ 'activates'µÚ¿¡ ¿À´Â °ª°ú Dynamic±ÔÄ¢¿¡¼­ 'activated_by'µÚ¿¡ ¿À´Â °ªÀÌ ÀÏÄ¡Çϸé Activate ±ÔÄ¢¿¡ ÀÇÇؼ­ Dynamic ±ÔÄ¢ÀÌ È°¼ºÈ­ µÊ
    • 'count'´Â dynamic ±ÔÄ¢ÀÌ È°¼ºÈ­ µÇ´Â ºóµµ¼ö ÁöÁ¤
    • Activate ±ÔÄ¢°ú Dynamic ±ÔÄ¢ÀÇ ¿¹
      • activate tcp any any -> !$HOME_NET 23(activates :23; msg: "Telnet Access!";)

        dynamic tcp any any -> !$HOME_NET 23(activated_by: 23; count: 20;)

        [tcp ¸ðµç ÁÖ¼ÒÀÇ ¸ðµç Æ÷Æ®¿¡¼­ $HOME_NETÀÌ ¾Æ´Ñ 23¹ø Æ÷Æ®·Î µé¾î¿À´Â ÆÐŶÀÌ activates°¡ 23ÀÌ¸é ¸Þ½ÃÁö¸¦ ¶ç¾î¶ó. tcp ¸ðµç ÁÖ¼ÒÀÇ ¸ðµç Æ÷Æ®¿¡¼­ $HOME_NETÀÌ ¾Æ´Ñ 23¹ø Æ÷Æ®·Î µé¾î¿À´Â ÆÐŶ activates °¡ 23À̸é 20¹ø À¸·Î È°¼ºÈ­ µÇ´Â ºóµµ¼ö¸¦ ÁöÁ¤Ç϶ó]

      • activate tcp ! $HOME_NET any -> $HOME_NET 143 (flags : PA; content : "|E8C0FFFFFF|/bin"; activates: 1; msg: "IMAP buffer overflow!";)

        dynamic tcp !$HOME_NET any -> $HOME_NET 143 (activated_by:1; count: 50)

        [tcp $HOME_NETÀÌ ¾Æ´Ñ ¸ðµç Æ÷Æ®¿¡¼­ $HOME_NET ÀÇ 143Æ÷Æ®·Î °¡´Â flags °¡ PAÀÌ°í content°¡ "|E8C0FFFFFF|/bin"ÀÌ°í activates°¡ 1À̸é msg¸¦ ¶ç¾î¶ó. tcp $HOME_NETÀÌ¾Æ´Ñ ¸ðµç Æ÷Æ®¿¡¼­ $HOME_NETÀÇ 143¹øÆ÷Æ®·Î µé¾î¿À´Â ÆÐŶÁß activates°¡ 1À̸é 50¹øÀ¸·Î È°¼ºÈ­µÇ´Â ºóµµ¼ö¸¦ ÁöÁ¤]


À̸§ Æнº¿öµå
ºñ¹Ð±Û (üũÇÏ¸é ±Û¾´À̸¸ ³»¿ëÀ» È®ÀÎÇÒ ¼ö ÀÖ½À´Ï´Ù.)
¿ÞÂÊÀÇ ±ÛÀÚ¸¦ ÀÔ·ÂÇϼ¼¿ä.
   

 



 
»çÀÌÆ®¸í : ¸ðÁö¸®³× | ´ëÇ¥ : ÀÌ°æÇö | °³ÀÎÄ¿¹Â´ÏƼ : ·©Å°´åÄÄ ¿î¿µÃ¼Á¦(OS) | °æ±âµµ ¼º³²½Ã ºÐ´ç±¸ | ÀüÀÚ¿ìÆí : mojily°ñ¹ðÀÌchonnom.com Copyright ¨Ï www.chonnom.com www.kyunghyun.net www.mojily.net. All rights reserved.