Snort는 네트워크 침입 탐지 및 방지 시스템(NIDS/NIPS)으로서 다양한 액션을 지원하여 네트워크 트래픽에 대해 특정한 조치를 취할 수 있습니다. Snort에서 사용되는 주요 액션들을 설명하자면 다음과 같습니다:
1. alert
- 설명: 패킷이 규칙과 일치하면 경고(alert)를 생성하고, 선택된 출력 플러그인(output plugin)에 로그를 남깁니다.
- 사용 예시: 공격을 탐지하고 그에 대해 로그를 남기고 싶을 때 사용합니다.
- 예시 구문:
alert tcp any any -> 192.168.1.0/24 80 (msg:"Web Traffic Detected"; sid:1000001;)
2. log
- 설명: 규칙과 일치하는 패킷의 내용을 로그 파일에 기록합니다. 경고와 달리, 경고 메시지를 생성하지 않고 패킷 데이터를 기록하는 데 중점을 둡니다.
- 사용 예시: 관심 있는 패킷의 내용 전체를 저장하고 싶을 때 사용합니다.
- 예시 구문:
log tcp any any -> 192.168.1.0/24 80 (msg:"Logging Web Traffic"; sid:1000002;)
3. pass
- 설명: 규칙과 일치하는 패킷을 명시적으로 무시하고, 해당 패킷을 이후의 규칙에서 추가로 처리하지 않습니다. 패킷을 통과시킵니다.
- 사용 예시: 특정 트래픽을 필터링에서 제외하고 싶을 때 사용합니다.
- 예시 구문:
pass tcp 192.168.1.5 any -> 192.168.1.10 22 (msg:"Allow SSH Traffic"; sid:1000003;)
4. activate
- 설명: 규칙과 일치하는 패킷을 발견하면, 특정 규칙을 활성화하는 데 사용됩니다. 주로 복합 조건을 만족할 때 추가 규칙을 활성화하는 경우에 사용됩니다.
- 사용 예시: 특정 이벤트가 발생했을 때만 추가 탐지를 하고 싶을 때 사용합니다.
- 예시 구문:
activate tcp any any -> 192.168.1.0/24 80 (msg:"Activate on Web Traffic"; activates:1; sid:1000004;)
5. dynamic
- 설명: 활성화된 상태에서만 패킷을 탐지하는 규칙입니다.
activate규칙에 의해 활성화될 때까지 비활성화된 상태로 유지됩니다. - 사용 예시: 이벤트 트리거에 의해 활성화된 후에만 탐지를 수행하고 싶을 때 사용합니다.
- 예시 구문:
dynamic tcp any any -> 192.168.1.0/24 80 (sid:1000005;)
6. drop
- 설명: 패킷이 규칙과 일치하면 패킷을 차단(drop)하고, 경고 메시지를 생성합니다. 이 액션은 Snort가 브리지 모드에서 NIPS로 작동할 때 사용됩니다.
- 사용 예시: 침입 탐지뿐만 아니라 차단을 수행하고자 할 때 사용합니다.
- 예시 구문:
drop tcp any any -> 192.168.1.0/24 80 (msg:"Dropping Suspicious Traffic"; sid:1000006;)
7. reject
- 설명: 패킷을 차단하고, TCP RST 또는 ICMP 오류 메시지로 송신자에게 응답을 반환합니다.
- 사용 예시: 트래픽을 차단하고 송신자에게 명시적인 거부 응답을 보내고 싶을 때 사용합니다.
- 예시 구문:
reject tcp any any -> 192.168.1.0/24 80 (msg:"Rejecting Traffic"; sid:1000007;)
8. sdrop
- 설명: 패킷을 차단(drop)하고 로그를 남기지 않습니다.
- 사용 예시: 로그를 남기지 않고 조용히 트래픽을 차단하고 싶을 때 사용합니다.
- 예시 구문:
sdrop tcp any any -> 192.168.1.0/24 80 (sid:1000008;)
이러한 Snort의 다양한 액션들은 각각의 목적에 맞게 네트워크 트래픽을 처리하고 관리할 수 있게 해줍니다. 탐지, 기록, 차단 등의 작업을 조합하여 복잡한 보안 정책을 구현할 수 있습니다.
DevSecOps ⚙️ + CTF🚩