개요
1. snort 구동
snort -i 인터페이스 -c 설정파일 -l 로그디렉토리
로그디렉토리 : /var/log/snort 디렉토리가 디폴트
shell> snort -i eth0 -c /etc/snort/snort.conf -l /var/log/snort
2. rule 문법
[Rule Hearder] [Protocol] source_ip source_port -> destination_ip destination_port (Rule_Options)
Rule Hearder : alert, log, sdrop, drop, reject pass
- alert : 알람을 발생시키고 로그에 남긴다.
- log : 로그에 남긴다
- pass : 무시한다.
- drop : iptables를 통해 패킷을 차단하고 로그에 남긴다.
- sdrop : iptables를 통해 패킷을 차단하고 로그를 남기지 않는다
- reject : drop과 동일하지만 메시지를 남긴다
* alvert vs log 차이 : alert는 alert파일에 메시지기록, log는 snort.log.xxx 파일에 기록하지만 alert파일에는 기록하지 않음
Protocol : ip, tcp, udp, icmp
Rule_Options : msg, content, depth, nocase, sid, resp, react
- resp : 지정된 응답메시지
- nocase : 대소문자 구분하지 않음
- depth : 검색할 위치 지정
3. 예제
1) icmp 기록
alert icmp any any -> any any (msg:"icmp record";sid:10000001;)
2) dns 쿼리내에 google 문자열 검출후 기록(대소문자 구분 안함)
alert udp any any -> any 53 ( msg:"dns google detection";content:"google",nocase,sid:10000002;)
'보안' 카테고리의 다른 글
| [iptables] 활용 (0) | 2019.11.05 |
|---|---|
| [snort] 활용2 (0) | 2019.11.01 |
| [wireshark] IP fragments 패킷 필터링 (1) | 2019.10.30 |
| [nmap]활용 (0) | 2019.10.29 |
| [snort] 설치 (0) | 2019.10.02 |
