목록Network/IPS (1)
베지밀
Snort Rule
1. SnortSnort의 기능Sniffer : Snort IDS를 통과하는 모든 패킷 수집Preprocessor : 효율적인 공격 탐지를 위해 각종 플러그인 등을 통해 매칭 여부를 확인탐지 엔진 : 룰 기반 탐지 엔진을 통해 사전에 정의된 탐지 룰과 매칭 확인Logging : 매칭된 패킷은 사전에 정의된 정책에 따라 로그를 남김 2. Snort Rule 구조Snort rule은 헤더와 옵션 구조로 이루어져 있다.룰 헤더 = RTN(Root Tree Node)1차적인 정책 설정룰 옵션 = OTN(Option Tree Node)실제로 악의적인 내용의 패킷을 탐지 → 탐지 정확도를 향상 3. Rule Header전체적인 구조Action : 탐지 후 행동들alert : 로그를 남기고(log) 경고를 발생시킴l..
Network/IPS
2025. 8. 21. 17:33