posted by 초식사자 2010.11.30 13:59

탐지 플러그인

Snort는 탐지엔진에서 플러그인 구조를 사용하고 있는데(detection-plug-ins 하위 폴더에 존재) 탐지 플러그인의 구조는 다른 개발자가 Snort 규칙과 연결된 플러그인을 쉽게 작성할 수 있도록 되어있다. 예를 들어 snortsam 프로그램이 있는데 이 프로그램은 공격을 탐지할 경우 방화벽을 재구성하여 패킷 차단이 가능하다.


-공격지 주소를 1시간동안 차단

alert tcp $EXTERNAL_NET any -> $HOME_NET 21

(msg : "FTP EXPLOIT wu-ftpd 2.6.0 site exec format string overflow Linux"; flow:to_server, established; content: "|31c031db31c9b046cd8031c031db|"; reference:bugtraq,1387; reference:cve,CAN-2000-0573; reference arachnids,287; classtype:attempted-admin; sid:344; rev:4; fwsam; src, 1 hour;)


출력과 로그

-출력 플러그인은 패킷 디코드 엔진, 전처리기의 경고 발생 등 여러 곳에서 자신을 호출할 수 있다는 점에서 Snort의 다른 구성요소와는 다르다.

-출력 플러그인은 output-plugins 디렉터리에 정이되어 있으며 spo_라는 이름으로 시작한다.

-Snort는 여러 옵션을 동시에 지원 가능한데 개별 규칙마다 출력 형태를 서로 다르게 정의할 수도 있고 규칙에 여러 출력 플러그인을 정의해 놓으면 경고를 여러 출력으로 보낼 수 있다.


' > Snort' 카테고리의 다른 글

Snort 모드  (0) 2010.11.30
Snort를 스니퍼로 사용  (0) 2010.11.30
Snort 플러그인  (0) 2010.11.30
Snort 규칙  (1) 2010.11.30
Snort 규칙 생성기 동작 과정  (0) 2010.11.30
Snort 전처리기  (0) 2010.11.30

댓글을 달아 주세요