• Rule Action + Protocol + 출발지 정보 + 목적지 정보

• Aho-Corasick, Wu-Manber,Boyler-Moore 알고리즘

• Include <complete_path_and_filename>

• Ruletype suspicious
  { 
        type log 
        output log_tcpdump:suspicious.log
  }
  

(ARP, ICRP,GRE,OSPF,RIP,IPX등 개발 중)

• log tcp any any -> any any (tcp의 아무 IP, 아무 포트에서 아무 IP 아무 port로 들어가는 패킷에 대한 로그를 남겨라)

• CIDR방식은 특정 네트워크 세그먼트나 일정한 IP 주소 대역을 지정해 줄수 있음
• 192.168.100.0/24 : 192.168.100.0 ~ 192.168.100.255
• 192.168.100.1/32 : 단일 IP 주소를 CIDR로 표현

   

• alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111 (tcp 192.168.1.0/24가 아닌 아무 포트에서 192.168.1.0/24 IP에 111 포트로 들어오는 모든 패킷에 대해 alert 을 남겨라)
• alert tcp ![192.168.1.0./24, 10.1.1.0/24] any -> [192.168.1.0/24, 10.1.1.0/24] 111 ( tcp 192.168.1.0/24와 10.1.1.0/24 IP가 아닌 아무 포트에서 192.168.1.0/24와 10.1.1.0/24IPdml 111번 포트로 들어오는 패킷에 대해 alert을 남겨라

• log udp any any -> 192.168.1.0/24 1:1024 (UDP 모든 주소IP 의 모든 port에서 192.168.1.0/24 IP의 1번부터 1024번포트 로 들어오는 모든 패킷읠 로그를 남긴다)
• log tcp any :1024 -> 192.168.1.0/24 500: (tcp 모든 주소의 1024번까지의 port에서 192.168.1.0/24 주소에서 500번port 부터 들어오는 모든 패킷에 대해 로그를 남긴다)

• '<>'연산자는 대량의 트래픽을 발생시키지 않는 네트워크에 적용

• log tcp !192.168.1.0/24 any <> 192.168.1.0/24 23 (tcp 192.168.1.0/24의 주소가 아닌 모든 포트에서 192.168.1.0/24주소의 23 포트로 오고가는 모든 패킷에 대해 로그를 남긴다)

• activate tcp any any -> !$HOME_NET 23(activates :23; msg: "Telnet Access!";)

  dynamic tcp any any -> !$HOME_NET 23(activated_by: 23; count: 20;)

  [tcp 모든 주소의 모든 포트에서 $HOME_NET이 아닌 23번 포트로 들어오는 패킷이 activates가 23이면 메시지를 띄어라. tcp 모든 주소의 모든 포트에서 $HOME_NET이 아닌 23번 포트로 들어오는 패킷 activates 가 23이면 20번 으로 활성화 되는 빈도수를 지정하라]

• activate tcp ! $HOME_NET any -> $HOME_NET 143 (flags : PA; content : "|E8C0FFFFFF|/bin"; activates: 1; msg: "IMAP buffer overflow!";)

  dynamic tcp !$HOME_NET any -> $HOME_NET 143 (activated_by:1; count: 50)

  [tcp $HOME_NET이 아닌 모든 포트에서 $HOME_NET 의 143포트로 가는 flags 가 PA이고 content가 "|E8C0FFFFFF|/bin"이고 activates가 1이면 msg를 띄어라. tcp $HOME_NET이아닌 모든 포트에서 $HOME_NET의 143번포트로 들어오는 패킷중 activates가 1이면 50번으로 활성화되는 빈도수를 지정]