Snort

오늘은 Snort에 대해서 이론적으로 조사를 진행했다.

 

앞으로 이를 활용해서 또 다른 실습을 진행할 예정이다.

 

 

[19주차] snort.pdf

0.25MB

 

 

[4줄 요약]

 

1. Snort는 98년 Martin Roesch에 의해 개발된 오픈 소스 기반 네트워크 침입 차단 시스템(NIPS) 이면서 네트워크 침임 탐지 시스템(NIDS)이다. 시그니처 기반 탐지 시스템으로서 패턴과 매칭이 될 경우 탐지되는 방식을 사용하는 시스템이다.

 

2. snort는 3가지 기능을 수행한다.

• Sniffer : 네트워크 트래픽을 캡쳐하는 기능
• Packet Logger : 나중에 분석할 수 있도록 네트워크 트래픽을 파일에 기록하는 기능
• IDS / IPS : 네트워크 트래픽을 분석 후 침입 탐지 및 차단 기능

3. Snort 동작 구조

 

Sniffer -> Preprocessor -> Detection Engine -> Alert/Logging

 

4. Snort Rule Signature은 크게 2가지로 구분된다.

• Rule header
  • Action : 패턴이 매칭이 되었을 경우 할 행동을 정의
  • Protocol : 탐지 할 프로토콜의 종류를 정의 (소문자로 작성해야 한다.)
  • Direction : 탐지할 방향을 정의
  • Source IP & Port / Destination & Port : 출발지, 목적지, IP, Port 정의
• Rule Option
  • 일반 옵션 : 규칙에 대한 정보를 제공하는 옵션으로 매칭하는 동안 어떠한 영향도 미치치 않는 옵션
  • Payload : Payload는 Snort Rule에서 실질적으로 악성 패킷을 탐지하는 옵션
  • HTTP 옵션 : content 옵션 값이 탐색할 범위를 HTTP 영역으로 한정할 때 사용하는 옵션
  • 흐름 옵션 : 패턴을 매칭할 때 적용해야 하는 트래픽의 방향을 지정하는 옵션

---

 

이번 계기로 Snort의 이론적인 내용을 알 수 있었다. 

 

앞으로 있을 실습에서 본격적으로 활용하면서 다뤄볼 예정이다.

 

다음 주도 화이팅!!