posted by 초식사자 2010.11.30 14:02

Snort 침입 탐지 모드

-Snort를 기본 IDS 모드로 실행하면 기본 출력은 log 하위 디렉터리의 alert라는 파일에 저장된다.


경고 모드

-패킷이 alert 규칙과 일치했을 경우 Snort는 다음 2가지 작업을 수행한다.

경고 보관소(alert facility)로 이벤트를 출력한다.

설정된 로깅모드로 가능한 많은 데이터를 기록한다.


alert facility 옵션

옵션

설명

Full

경고 메시지와 전체 패킷 헤더를 포함한다. (기본값)

Fast

타임스탬프, 경고 메시지, 출발지와 목적지 IP, Port만으로 구성된 간단한 형태의 경고를 만든다.

Syslog

syslog로 로그를 기록한다. 기본적으로 로그는 LOG_AUTHPRIV와 LOG_ALERT에 저장된다.

Unixsock

UNIX도메인 소켓을 만들어 그곳으로 경고를 보낸다.

SMB

WinPopup 메시지를 전송한다.


로깅 모드

-로깅 모드는 경고를 생성하지 않고 패킷 정보를 기록하기만 한다.

-Snort 규칙에서 log,dynamic 키워드를 사용하거나 alert 키워드의 부가 기능으로 호출될 수 있다.

-기본적으로 /var/log/snort에 로그가 저장되지만 -l 옵션으로 변경 가능하다.


' > Snort' 카테고리의 다른 글

Snort 변수  (0) 2010.11.30
Snort 로그  (0) 2010.11.30
Snort 모드  (0) 2010.11.30
Snort를 스니퍼로 사용  (0) 2010.11.30
Snort 플러그인  (0) 2010.11.30
Snort 규칙  (1) 2010.11.30

댓글을 달아 주세요