반응형 플러그인2 Snort 로그 Snort 로깅 옵션 옵션 설명 -l 로그 파일을 저장할 디렉터리 경로 -h 홈 서브넷 -b 로그를 2진 형태로 저장한다. -L 2진 로그 파일 이름 snort -dev -l /var/adm/snort/logs -h 192.168.1.0/24 -위 옵션을 사용할 경우 /var/adm/snort/logs 디렉토리에 해당 IP 주소명의 디렉토리가 생성되고 세션별로 파일이 생성된다. ex)TCP:3039-80 (TCP 프로토콜,출발지 포트:3039, 목적지 포트 80) ※로그를 2진 형태로 저장하면 데이터를 사람이 읽기 편한 형태로 로그를 바꿀 필요가 없기 때문에 Snort의 패킷 수집 속도가 빨라진다. Snort 2진 형태 로그 snort -l /var/adm/snort/logs -b -b옵션을 사용하여 로.. 2010. 11. 30. Snort 플러그인 탐지 플러그인 Snort는 탐지엔진에서 플러그인 구조를 사용하고 있는데(detection-plug-ins 하위 폴더에 존재) 탐지 플러그인의 구조는 다른 개발자가 Snort 규칙과 연결된 플러그인을 쉽게 작성할 수 있도록 되어있다. 예를 들어 snortsam 프로그램이 있는데 이 프로그램은 공격을 탐지할 경우 방화벽을 재구성하여 패킷 차단이 가능하다. -공격지 주소를 1시간동안 차단 alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg : "FTP EXPLOIT wu-ftpd 2.6.0 site exec format string overflow Linux"; flow:to_server, established; content: "|31c031db31c9b046cd8031c.. 2010. 11. 30. 이전 1 다음 반응형