snort rule 만드는법

 

snort rule 만드는법

Snort는 네트워크 공격을 탐지하고 방지하는 데 사용할 수 있는 오픈소스 IDS(침입 탐지 시스템)이다. 

---

Snort rule을 만드는 기본 프로세스

 

1. 모니터링할 트래픽 결정: 모니터링할 트래픽을 식별하고 이에 대한 특정 규칙을 만든다.
2. 규칙 헤더 정의: 프로토콜, 원본 및 대상 IP 주소와 포트를 포함하는 규칙의 헤더를 정의한다.
3. 규칙 옵션 만들기: 일치 항목이 발견될 때 수행할 내용, 방향 및 작업을 지정하는 규칙의 옵션을 정의한다.
4. 규칙 테스트 및 미세 조정: 규칙을 테스트하여 올바르게 작동하는지 확인하고 조정한다.

---

HTTP GET 요청을 탐지하는 Snort rule 만들기

 

alert tcp any any -> any 80 (msg:"HTTP GET Request"; flow:to_server,established; content:"GET"; http_method; sid:1000001;)

 

• alert: 규칙이 트리거될 때 경고를 생성하도록 Snort에 지시
• tcp any any -> any 80: 규칙이 일치할 트래픽을 정의하는 규칙의 헤더다. 이 경우 모든 소스 포트에서 모든 대상 포트 80(HTTP)으로의 TCP 트래픽과 일치한다.
• (msg:"HTTP GET Request";): 규칙이 트리거될 때 경고에 포함될 메시지를 지정함.
• flow:to_server,established;: 설정된 TCP 연결의 일부이고 클라이언트에서 서버로 이동하는 패킷만 일치하도록 Snort에 지시.
• content:"GET"; http_method;: 이 옵션은 요청의 HTTP 메서드와 일치한다. 이거같은 경우 "GET" 메서드와 일치한다.
• sid:1000001;: 고유 식별자를 할당

---