스노트 룰 예제

이 예제는 생성기 ID가 1000001인 규칙입니다. classtype:icmp-event – 규칙을 미리 정의된 스노어트 범주 중 하나인 “icmp-event”로 분류합니다. 이 옵션은 규칙 구성에 도움이 됩니다. 다음은 교통 방향 연산자입니다. 여기서 규칙은 패킷이 네트워크를 통해 이동하는 방향을 정의합니다. 화살표 기호(->)는 목적지로 이동하는 소스에서 발생하는 패킷을 나타냅니다. 기호 왼쪽에 있는 모든 항목은 소스 값입니다. 기호를 사용하면 방향이 무도또는 트래픽이 양방향임을 나타냅니다. 오늘날 급변하는 공격 환경과 벡터를 통해 공격을 볼 때까지 무엇을 찾아야 할지 알 수 없습니다. 그런 다음 해당 트래픽을 검사한 후 특정 “새로운” 공격에 대한 규칙을 만들 수 있습니다. 이것이 바로 공개적으로 사용할 수 있는 기본 Snort 규칙이 만들어지는 방법입니다.

이제 로깅 모드에서 Snort를 실행하고 공격을 기반으로 트래픽을 식별할 수 있는 작업을 살펴보겠습니다. rev 키워드는 Snort 규칙의 개정을 고유하게 식별하는 데 사용됩니다. Snort 규칙 ID와 함께 개정을 통해 서명 및 설명을 구체화하고 업데이트된 정보로 대체할 수 있습니다. 이 옵션은 sid 키워드와 함께 사용해야 합니다. (섹션 참조) 이 첫 번째 예제의 규칙은 실패한 액세스 시도를 나타내는 텍스트 문자열인 “Bad command or filename”을 포함하는 패킷을 찾는 것입니다. 두 번째 예제는 파이프 기호로 표시된 육각형 데이터 내에서 값을 찾습니다. 먼저 육각 값 2A를 포함하는 일치하는 이진 패킷을 찾은 다음 리터럴 텍스트 “GOBBLE”을 한 다음 다른 2A 헥스 값다음에 찾습니다. 이 필드 바로 다음에는 소스 포트 필드가 있습니다.

여기서 사용되는 예제는 어느 것이나 FTP 포트의 경우 21과 같은 특정 숫자또는 텔넷을 통한 FTP 데이터를 나타내는 20:23과 같은 숫자 범위와 같이 쉽게 될 수 있습니다. 지정된 포트 번호보다 크거나 큰 포트의 경우 숫자 앞에 콜론을 배치하여 해당 포트 번호보다 크거나 같게 포트를 지정합니다. 마찬가지로 포트 번호 옆에 콜론을 배치하여 해당 포트보다 크거나 같을 수 있는 모든 후속 포트를 나타냅니다. 프로토콜 필드에서 ICMP를 정의할 때 포트 값이 필요하지 않습니다. 내 경우에는 받는 모든 ICMP 패킷에로드되도록 기준이 없습니다. 위의 규칙에서는 매우 필요한 서명 ID(sid)도 제공합니다. 당신이 당신의 자신의 스노어 규칙을 작성할 때 Bciy 규칙, 당신은 위의 시작해야 999999 이 옵션은 콘텐츠 옵션과 같은 문자열 일치를 수행, 만 웹 서버로 전송 URI에 대해 일치합니다. 이 예제에서는 웹 서버로 전송되는 유닉스 명령에 대해 경고합니다. 첫 번째 간단한 테스트 규칙을 만들어 보겠습니다.