탐지 플러그인
Snort는 탐지엔진에서 플러그인 구조를 사용하고 있는데(detection-plug-ins 하위 폴더에 존재) 탐지 플러그인의 구조는 다른 개발자가 Snort 규칙과 연결된 플러그인을 쉽게 작성할 수 있도록 되어있다. 예를 들어 snortsam 프로그램이 있는데 이 프로그램은 공격을 탐지할 경우 방화벽을 재구성하여 패킷 차단이 가능하다.
-공격지 주소를 1시간동안 차단
alert tcp $EXTERNAL_NET any -> $HOME_NET 21
(msg : "FTP EXPLOIT wu-ftpd 2.6.0 site exec format string overflow Linux"; flow:to_server, established; content: "|31c031db31c9b046cd8031c031db|"; reference:bugtraq,1387; reference:cve,CAN-2000-0573; reference arachnids,287; classtype:attempted-admin; sid:344; rev:4; fwsam; src, 1 hour;)
출력과 로그
-출력 플러그인은 패킷 디코드 엔진, 전처리기의 경고 발생 등 여러 곳에서 자신을 호출할 수 있다는 점에서 Snort의 다른 구성요소와는 다르다.
-출력 플러그인은 output-plugins 디렉터리에 정이되어 있으며 spo_라는 이름으로 시작한다.
-Snort는 여러 옵션을 동시에 지원 가능한데 개별 규칙마다 출력 형태를 서로 다르게 정의할 수도 있고 규칙에 여러 출력 플러그인을 정의해 놓으면 경고를 여러 출력으로 보낼 수 있다.
'툴 > Snort' 카테고리의 다른 글
| Snort 모드 (0) | 2010.11.30 |
|---|---|
| Snort를 스니퍼로 사용 (0) | 2010.11.30 |
| Snort 규칙 (1) | 2010.11.30 |
| Snort 규칙 생성기 동작 과정 (0) | 2010.11.30 |
| Snort 전처리기 (0) | 2010.11.30 |
