[Snort] 스노트(ISP) 설명 및 기초 문법 정리

● 스노트란?

 IPS와 IDS에서 사용하는 오픈소스 기반의 보안 엔진으로 네트워크 침입 탐지 시스템이다.

 

● 스노트 기초 문법 

ACTION

HEADER (5tuple + 방향)

OPTION (필수 및 선택)

기초 문법의 형식은 위와 같다.

스노트는 header와 option의 설정에 따라 일치하는 패킷을 구분하고

이에 일치할 시 action 값에 따라 패킷을 처리한다.

(예시)  alert ip any any <> any any (distance: 2; within: 10; content:"abc"; msg: "hi"; sid: 1;)

 

○ ACTION

action의 종류에는 크게 탐지, 차단, 통과가 있으며

alert, pass, drop, rejct, rejectsrc, rejectdst, rejectboth가 있다.

 

○ HEADER

header에 들어가는 정보는 5tuple과 방향으로 

protocol, source ip, source port, 방향, destination ip, destination port이다.

이때 화살표는 패킷을 검사할 방향을 정한다.

-> 또는 <> 만 가능하며 <- 이 화살표는 사용할 수 없다.

 

○ OPTION

option은 필수옵션과 선택옵션으로 나눠지며 더 효율적인 검색을 위해 사용된다.

option은 무조건 ()안에 들어가 있어야 하며 옵션종류 : 옵션값; 의 형식을 따른다.

이를 다른말로 키워드 : 값이라고도 하는데 무조건 ':'로 식별하고 ';'으로 끝내야 하니 주의해야한다.

종류로는 msg, sid, rev, classtype, reference, priority등등 다양하다.

 

(예시)  alert ip any any <> any any (distance: 2; within: 10; content:"abc"; msg: "hi"; sid: 1;)