본문 바로가기
툴/Snort

Snort 플러그인

by ITPro 2010. 11. 30.

탐지 플러그인

Snort는 탐지엔진에서 플러그인 구조를 사용하고 있는데(detection-plug-ins 하위 폴더에 존재) 탐지 플러그인의 구조는 다른 개발자가 Snort 규칙과 연결된 플러그인을 쉽게 작성할 수 있도록 되어있다. 예를 들어 snortsam 프로그램이 있는데 이 프로그램은 공격을 탐지할 경우 방화벽을 재구성하여 패킷 차단이 가능하다.


-공격지 주소를 1시간동안 차단

alert tcp $EXTERNAL_NET any -> $HOME_NET 21

(msg : "FTP EXPLOIT wu-ftpd 2.6.0 site exec format string overflow Linux"; flow:to_server, established; content: "|31c031db31c9b046cd8031c031db|"; reference:bugtraq,1387; reference:cve,CAN-2000-0573; reference arachnids,287; classtype:attempted-admin; sid:344; rev:4; fwsam; src, 1 hour;)


출력과 로그

-출력 플러그인은 패킷 디코드 엔진, 전처리기의 경고 발생 등 여러 곳에서 자신을 호출할 수 있다는 점에서 Snort의 다른 구성요소와는 다르다.

-출력 플러그인은 output-plugins 디렉터리에 정이되어 있으며 spo_라는 이름으로 시작한다.

-Snort는 여러 옵션을 동시에 지원 가능한데 개별 규칙마다 출력 형태를 서로 다르게 정의할 수도 있고 규칙에 여러 출력 플러그인을 정의해 놓으면 경고를 여러 출력으로 보낼 수 있다.


반응형

' > Snort' 카테고리의 다른 글

Snort 모드  (0) 2010.11.30
Snort를 스니퍼로 사용  (0) 2010.11.30
Snort 규칙  (1) 2010.11.30
Snort 규칙 생성기 동작 과정  (0) 2010.11.30
Snort 전처리기  (0) 2010.11.30

바로가기