1. 스노트(snort)란?
snort는 NIDS/NIPS 도구로, 네트워크 패킷을 모니터링 하여 악성 활동을 탐지하고 차단할수 있는 오픈소스 도구이다.
여기서 NIDS는 네트워크 침입 탐지 시스템, Network Intrusion Detection System을 의미하고, NIPS는 네트워크 침입 방지 시스템, Network Intrusion Prevention System를 의미한다.
2. 스노트 룰 작성(Snort Rule Sigture)
네트워크 패킷을 탐지하기 위해서는 룰 시그니처를 작성해야 한다. snort 시그니처는 크게 룰 헤더와 룰 옵션으로 나뉘며, 룰 헤더에서는 룰 발생 조건을 작성할 때 어떤 행위를 할 것인지 작성하고 룰 옵션에서는 룰 헤더에서 표현하지 못한 세부적인 행위와 조건을 작성한다.
2.1 룰 헤더(Rule Header)
[Action] [Protocol] [Source Address] [Source Port] [Direction] [Destination Address] [Destination Port]
Action
룰 조건을 만족했을때, 어떤 행위를 할 것인지를 작성하는 부분
Protocol
탐지할 프로토콜의 종류를 작성하는 부분
탐지할 프로토콜의 종류를 작성하는 부분
Source address, Destination address
IP 주소를 작성하는 부분
Source port, Destination port
포트번호를 작성하는 부분
포트번호를 작성하는 부분
Direction
패킷의 방향을 의미
패킷의 방향을 의미
2.2 룰 옵션(Rule Option)
해당 내용은 방대하기 때문에 자주 사용되는 3가지만 작성하였다.
참고자료
[1] https://itcase.tistory.com/entry/18-Snort
[2] https://velog.io/@pingu_9/Snort
[3] https://pdev37.tistory.com/25
[4] https://cyvatar.ai/write-configure-snort-rules/