posted by 초식사자 2010.11.30 10:39

구성 요소

설명

패킷 캡처/디코드 엔진

먼저, Snort는 libpcap 라이브러리를 통해 네트워크 트래픽을 캡처하고 디코드 엔진은 패킷을 분석하여 링크-계층 프로토콜용 패킷 구조를 채운다음 TCP와 UDP 포트와 같은 상위-계층 프로토콜용 패킷 구조를 채운다.

전처리 플러그인

디코드 엔진을 거친 다음 패킷은 전처리기로 전송되는데 전처리기는 패킷이 탐지엔진에 도착하기 전에 패킷을 검사하고 조작한다. 각 전처리기는 패킷의 내용을 검사하고, 경고를 보내고, 수정하는 등 작업을 수행한다.

탐지 엔진

전처리기 플러그인을 거친 다음 패킷은 탐지 엔진으로 전송된다. 탐지 엔진은 각 패킷을 간단한 검사를 통해 규칙파일의 항목과 비교한다. 탐지 플러그인은 패킷에 대한 추가 탐지 기능을 제공한다. 규칙에 들어 있는 각 키워드 옵션은 추가 검사를 수행할 수 있는 탐지 플러그인과 연결돼 있다.

출력 플러그인

마지막으로 Snort는 이전 단계들에서 생성한 경고들을 출력한다.


' > Snort' 카테고리의 다른 글

Snort 패킷 디코딩 과정  (0) 2010.11.30
Snort.conf 설정 (/etc/snort/snort.conf)  (0) 2010.11.30
Snort 시스템 보호  (0) 2010.11.30
유용한 Snort 추가 프로그램  (0) 2010.11.30
Snort 구성 요소  (0) 2010.11.30
Snort 빌드 configure 옵션  (0) 2010.11.30

댓글을 달아 주세요