네트워크 보안 이론 6

Posted Oct 6, 2024

By many

6 min read

IDS (Snort)

Sniffer: 패킷 디코더
- 네트워크 인터페이스를 Promiscuous(무차별) 모드로 동작하여 데이터 도청 및 네트워크 트래픽 분석을 수행합니다.
Preprocessor: 전처리기
- 전달받은 패킷을 측정 플러그인으로 검사하여 특정 행위를 하는 패킷을 탐색 엔진으로 전송합니다.
Detection Engine: 탐지 엔진
- 규칙 기반의 패턴 검색을 수행하며, 패킷과 규칙이 일치할 경우 Alert/Logging으로 전달합니다.
- 규칙은 정기적으로 업데이트되며, 자신의 네트워크 환경에 맞게 커스터마이징이 가능합니다.
Alert/Logging: 경고 및 로깅
- 탐지된 이벤트는 로그 파일 또는 네트워크로 전송됩니다.

Snort의 규칙은 헤더 부분과 다양한 옵션으로 구성

액션(Action): 탐지된 패킷에 대해 수행할 동작 (alert, log, pass, drop 등)
- alert: 경고 발생
- log: 로그를 기록
- pass: 패킷을 무시
- drop: 패킷을 차단하고 기록
프로토콜(Protocol): 탐지할 프로토콜 (tcp, udp, icmp 등)
- TCP, UDP, ICMP, IP 등의 프로토콜을 탐지합니다.
출발지 IP/포트(Source IP/Port): 공격자의 IP 주소 및 포트
- any: 모든 포트
- 포트번호: 특정 포트
- 포트번호:포트번호: 포트 범위 지정
방향
- ->: 출발지에서 목적지로의 패킷 탐지
- < >: 출발지와 목적지 사이의 모든 패킷 탐지

alert tcp any any -> 192.168.1.100 80 (content:"attack"; msg:"Possible attack detected!"; sid:1000001;)

msg: alert 발생 시 이벤트 이름
sid: Snort 룰 ID
- 99 이하: 시스템 예약 ID
- 100 ~ 1,000,000 이하: Snort 자체 지정 SID
- 1,000,001 이상: 사용자 정의 SID
dsize: 패킷 크기 범위 지정
- 예: dsize:<바이트, dsize:바이트<>바이트
content: 문자, 바이너리로 패턴을 탐지
- 예:
  - content: "문자"
  - content: | 00 01 0A AA |
  - content: "| 90 90 90 | /bin/sh"
offset: 검색을 시작할 byte 수 지정
depth: offset부터 시작하여 검색할 byte 수 지정
nocase: 대소문자를 구별하지 않음
flags: TCP 제어 플래그를 지정 (F, S, FA, FSA 등으로 지정 가능)
pcre: 정규식 사용

content:"attack";                // "attack" 문자열 포함 여부 검사
msg:"Possible attack detected!";  // 경고 메시지 내용
sid:1000001;                     // 규칙 ID

threshold: 패킷의 발생량을 기반으로 탐지하는 옵션으로, 대량의 패킷이 들어올 경우 로그 용량을 관리할 수 있도록 돕습니다.
- limit: 임계시간 동안 임계치까지만 이벤트 발생
- threshold: 임계시간 동안 임계치 번째마다 이벤트 발생
- both: 임계시간 동안 임계치에 한 번 이벤트 발생
- track: 소스를 기준으로 추적하거나 목적지를 기준으로 추적
- count: 발생해야 할 패킷의 수 (임계치)
- seconds: 임계시간 (초 단위)