rule
-
[Snort] Rule 명령어Coding/개발 2020. 6. 5. 05:29
오늘은 snort rule에 관한 명령어를 정리해 볼려고 한다! 나중에 rule을 만들때 참고하면 좋을꺼 같다^^ # Action 명령어 의미 alert 로그 기록 & 경고 알림 log 로그 기록 pass 패킷 무시 drop 패킷 차단 & 로그 기록 (IPS기능) reject 패킷 차단 & 로그 기록 sdrop 패킷 차단 (로그 기록 X) # Protocol 명령어 의미 tcp TCP만 탐지 udp UDP만 탐지 ip IP 전체 탐지 icmp ICMP 메시지 탐지 any 전체 탐지 # SrcIP/DstIP 명령어 의미 $HOME_NET 내부 IP 주소 $EXITERNAL_NET 외부 IP 주소 $XXX_SERVERS 특정 서버 IP 주소 # SrcPort/DstPort 명령어 의미 ..
-
[Suricata] 설치 & rule 만들어보기P.study/설치 2020. 5. 31. 22:29
suricata가 도데체 무엇인고.... 아브라카다브라도 아니고 정말 신기한 이름일세... [ 개념 ] Suricata IDS (침입탐지시스템) / IPS (침입방지시스템) 이 가능한 오픈소스 기반의 툴. 서비스등에서 발생하는 보안과 관련된 각종 로그 및 이벤트를 통합해서 모니터링할때 사용. Snort 실시간 traffic 분석 및 packet logging 할때 사용. Snort 와 Suricata 차이점 Snort Single-Thread 지원 Suricata Multi-Thread 지원 rule suricata를 이용해서 해당 사이트의 로그를 나만의 방식으로 설정하고 싶을때 작성 suricata rule 작성 관련 규칙 ↓ https://suricata.readthedocs.io/en/suricat..