snort
설정 파일 : snort.conf
network
preprossesor
rule
rule의 구성
#헤더
#body
헤더부분에는 alert udp $EXTERNAL_NET any
-> $HOME_NET 161
161은 포트번호
EXTERNAL_NET은 소스다 -> 모든 포트로 들어오는 포트 (UDP를 사용하는)
161으로 나가는 패킷에 대해서 경고를 울려라고
body는
msg:"SNMP public access ...."
content:"Public" Classtype
reference :ee... <- 공격에 대한 자세한 정보를 어디서 참고하라
sid <- 룰번호 어떤 룰을 참고 했는지
rev <- 룰의 버전정보
스니퍼모드 : snort -v
snort -vde
d: 응용프로그램수준까지 가서 Hex 나 binary로 변환해서 로그에 남겨라
e: MAC주소도 포함시켜라
BPF 모드 : 화면에 출력하지 않고 원하는 패킷만 골라서 볼 수 있는 버클리 패킷 필터 모듈을 제공한다
snort -vde port 110 and host 192.12831~~
화면에 출력하지 않고 로그에만 남기도록 : snort -l /var/log/message
IDS모드
Full과 Fast
Full : 아무런 옵션없이 -> 모든 헤더의 정보들이 다 출력되게
Fast : 시간, 경고 메시지, 소스/목적지 IP & 포트
IDS모드 실행
snort -d -l -c /usr/local/snort/snort.conf -A full
full이나 fast쓰려면 -A로 한다.
snort는 오용탐지,,, 오용탐지는 rule에 기반한다.
공개 open rule
rule 설정시
화설표가 항상 -> 이 방향으로만 하게 되어있다
소스 -> 목적지
<- 는 안쓴다
책 보시게나
URIContent
설정 파일 : snort.conf
network
preprossesor
rule
rule의 구성
#헤더
#body
헤더부분에는 alert udp $EXTERNAL_NET any
-> $HOME_NET 161
161은 포트번호
EXTERNAL_NET은 소스다 -> 모든 포트로 들어오는 포트 (UDP를 사용하는)
161으로 나가는 패킷에 대해서 경고를 울려라고
body는
msg:"SNMP public access ...."
content:"Public" Classtype
reference :ee... <- 공격에 대한 자세한 정보를 어디서 참고하라
sid <- 룰번호 어떤 룰을 참고 했는지
rev <- 룰의 버전정보
스니퍼모드 : snort -v
snort -vde
d: 응용프로그램수준까지 가서 Hex 나 binary로 변환해서 로그에 남겨라
e: MAC주소도 포함시켜라
BPF 모드 : 화면에 출력하지 않고 원하는 패킷만 골라서 볼 수 있는 버클리 패킷 필터 모듈을 제공한다
snort -vde port 110 and host 192.12831~~
화면에 출력하지 않고 로그에만 남기도록 : snort -l /var/log/message
IDS모드
Full과 Fast
Full : 아무런 옵션없이 -> 모든 헤더의 정보들이 다 출력되게
Fast : 시간, 경고 메시지, 소스/목적지 IP & 포트
IDS모드 실행
snort -d -l -c /usr/local/snort/snort.conf -A full
full이나 fast쓰려면 -A로 한다.
snort는 오용탐지,,, 오용탐지는 rule에 기반한다.
공개 open rule
rule 설정시
화설표가 항상 -> 이 방향으로만 하게 되어있다
소스 -> 목적지
<- 는 안쓴다
책 보시게나
URIContent