| option |
description |
| content |
content:"/etc/passwd" 및 "|fffe 011 f|" 같이 페이로드 지정
문자열에 ‘;’, ‘|’, '"' 포함 시 문자 앞에 ‘₩’(escape) 추가 |
| uricontent |
패킷의 리퀘스트 URI 부분만 대상, 바이너리 지정은 안됨 |
| depth |
패킷의 depth bite 안에서 지정된 문자열을 검색 |
| offset |
패킷에서 문자열 검색 시작위치를 지정(bite) |
| nocase |
content의 대소문자 구분을 없애줌. nocase; 로 쓰임. |
| session |
telnet,tfp 등 TCP Session 중의 사용자 입력 데이터를 뽑아낸다.
Printable/all 중 선택, all은 문자열 표현이 안되면 16진수로 나타내 줌 |
| regex |
정규표현식을 위한 option으로, 아직 표준이 없는 듯 하다. |
| flow |
TCP계층의 reassembly 시 함께 동작한다.
to_server, to_client, from_server, from_client
only_stream rebuild된 패킷 만
no_stream rebuild되지 않은 패킷 만
established 통신이 established 된 패킷만
stateless 상태 상관없이 활성화 되며, 비정상 무작위공격에 대비 |
| fragbits(IP) |
IP헤더에서 지정된 fragment 및 예약 bit 체크
M 분할이 덜 됐음, D 분할하지 않음, R 예약비트 (*,+,-,! 사용가능)
ex) fragbits:MD+
=>남은 fragment나 fragment 하지않은 bit가 지정 되어 있나 체크 |
| sameip(IP) |
sameip; 라고 지정하며 src ip와 dst ip가 동일한지 체크 |
| ipopt(IP) |
IP option이 존재하는지 체크(IP option은 따로..) |
| tos, ID, ttl(IP) |
ttl:3-5; tos:4; 로 지정하며 각각의 filed 에 대한 value값을 체크
tos 는 !사용가능하며, ttl은 ><= - 사용가능 |
| seq(TCP) |
seq:시퀀스넘버; 로 지정하며 지정된 시퀀스번호 체크 |
| ack(TCP) |
ack:에크넘버; 로 지정하며 지정된 에크번호 체크 |
| flags(TCP) |
flags:[!|*|+]<FSRPAU120>[,<FSRPAU120>]; TCP 플래그를 체크 |
| icmp_id(ICMP) |
icmp_seq:ICMP IP값; 이며 ICMP ECHO의 ICMP ID 필드값을 체크한다. |
| icmp_seq(ICMP) |
위와 비슷하며 ICMP의 identification sequence field값을 체크함.
static ICMP filed를 사용하는 은닉채널 탐지에 유용(stacheldraht DDoS agen) |
| icode(ICMP) |
icode:[<|>]<number>[<><number>]; 지정된 ICMP code 값 체크 |
| itype(ICMP) |
itype:[<|>]<number>[<><number>]; 지정된 ICMP type 값 체크 |
| sid |
시그니쳐의 ID를 지정함.
0 ~ 99 : 예약이 끝난 상태
100 ~ 1,000,000 : Snort.org 공식 배포룰 용
1,000,000 ~ : 커스텀룰 용 (작성한 룰) |
| rev |
sid:1000983;rev:1;
정보 업뎃을 위한 revirsion 번호를 지정하며, sid와 함께 쓰인다. |
| priority |
priority :숫자; 위험도를 지정한다. |
| classtype |
classification.config의 사용이 snort.conf에 정의 되 있어야 함.
configclassification:<classname>,<classdescription>,<defaultpriority>
classtype:<classname>; |
| reference |
reference:cve,CAN-2000-1574; 외부참조를 나타냄.
bugtraq http://www.securityfocus.com/bid/
cve http://cve.mitre.org/cgi-bin/cvename.cgi?name=
nessus http://cgi.nessus.org/plugins/dump.php3?id=
arachnids (currentlydown)http://www.whitehats.com/info/IDS
mcafee http://vil.nai.com/vil/dispVirus.asp?virus k= |
| logto |
logto:"filename"; 시그니쳐에 매치되면 파일로 출력한다.
스케닝같은 복합적인 데이터를 다룰 때 용이하며,
snort가 바이너리 로깅 모드일땐 작동하지 않는다. |
