Snort Rule

- 헤더

alert tcp $EXTERNAL_NET any -> $HOME_NET 21

 

헤더	값	내용
alert	alert, log, pass, dynamic, activate	출력 포맷을 의미한다. 이 출력 포맷은 연결리스트 트리 헤더의 맨 상위 부분과 비교된다.
tcp	TCP, UDP, IP, ICMP	사용되는 프로토콜을 의미하며 연결리스트의 상위 부분과 비교된다.
$EXTERNAL_NET	·	출발지 IP 주소를 가리킨다. (기본 설정은 any)
any	any, 포트 번호	출발지 포트를 의미한다.
->	·	패킷의 방향을 가리킨다.
$HOME_NET	·	Snort 규칙에서는 $Variables를 이용한다. 변수는 snort.conf파일의 맨 앞부분에서 정의되며 나머지 부분에서 그 변수를 사용한다. Snort가 실행될 때 Snort 규칙 파서는 $HOME_NET 변수의 값을 snort.conf에 설정된 값으로 치환한다.
21	any, 포트 번호	공격의 목적지 포트이다. 해당 포트에 대한 모든 잠재적 공격을 모니터링 한다.

 

 

- 옵션

(msg : "FTP EXPLOIT wu-ftpd 2.6.0 site exec format string overflow Linux"; flow:to_server, established; content: "|31c031db31c9b046cd8031c031db|"; reference:bugtraq,1387; reference:cve,CAN-2000-0573; reference arachnids,287; classtype:attempted-admin; sid:344; rev:4;)

 

규칙	내용
msg	경고에서 출력할 메세지이다.
flow	규칙 옵션은 탐지 플러그인과 연결되는 키워드를 포함하고 있는데 flow 옵션은 연결 리스트의 세 번째 축이며 clientserver 탐지 플러그인을 가리킨다. clientserver 플러그인은 특정 패킷이 기존에 수립된 세션의 일부인지를 검사하기 위해 stream4 전처리기를 이용한다.
content	"|31c031db31c9b046cd8031c031db|" 패킷이 Rule Tree 노드와 일치한다는 것은 기존에 세션이 맺어졌다는 것을 의미한다. Snort는 content 옵션에 나온 문자열을 Boyer-Moore 검색 알고리즘으로 패킷과 비교한다.
Reference	이 키워드는 서드 파티 공격 정보에 대한 참조 정보를 제공한다. 예를 들어 이 부분에는 Bugtraq, McAfee, 각 벤더의 공격 정보에 대한 URL이 들어갈 수 있다.
Classtype	Snort는 사용자가 공격을 쉽게 이해하고 우선 순위를 결정할 수 있도록 공격을 몇가지 종류로 분류해 놓았다. 각 분류는 기본 우선 순위를 가지고 있기 때문에 사용자는 자신이 관찰한 이벤트의 우선 순위를 쉽게 결정할 수 있다. (1: 높음, 2: 중간, 3: 낮음)
Sid	Snort의 규칙을 구분하는 식별자이다. Snort의 모든 규칙은 식별 번호를 가지고 있으며, 리포팅 프로그램에서 규칙을 구분하는데 사용 되기도 한다. (규칙 정보 :http://www.snort.org/snort-db )   값 설명 ~99 예약되어 있음 100~1,000,000 www.snort.org에서 배포하는 규칙 1,000,001~ 커스텀 규칙
rev	규칙의 버전 번호를 가리킨다. 오픈 소스 커뮤니티에서 만든 Snort 규칙은 false-positive를 줄이기 위해 개정 절차를 거치게 됨에 따라 rev의 값이 변한다.

 

-기타 규칙 옵션

 

규칙	내용
depth	패턴을 찾기 위해 검사할 바이트 수를 지정한다.
offset	검색을 시작할 패킷의 특정 위치를 지정한다.
nocase	대소문자를 구별하지 않는다.
session	프로토콜 세션의 평문 데이터를 화면에 출력한다. 값으로 all 또는 printable을 사용한다.
uricontent	content 문자열을 전체 패킷과 비교하는 대신 URI 부분과 비교하게 한다.
priority	classtype에서 설정된 우선순위를 수동으로 덮어쓴다.
logto	해당 규칙의 로그를 특정 파일에 남긴다.
tag	특정 규칙과 관련된 추가 패킷을 로그로 저장한다. tag:<HOST/SESSION>,<HOW MANY>,<SECONDS/PACKETS>,<SRC/DES>;
dsize	패킷 페이로드의 길이 또는 길이 범위를 명시한다.
rpc	원격지에서 접근 가능한 RPC 서비스를 식별한다. 이 규칙을 제대로 사용하기 위해서는 UDP 프로토콜의 목적지 포트 111를 사용하는 규칙에 포함해야한다. rpc:<APPLICATION>,<PROCEDURE>,<VERSION>;
resp	능동적으로 프로토콜 연결을 끊는다.   TCP 옵션 값 설명 rst_all 양측 연결을 끊는다. rst_rcv 수신측 연결을 끊는다. rst_send 송신측 연결을 끊는다.     ICMP 옵션 값 설명 strings:icmp_all 양측 연결을 끊는다. icmp_host ICMP host unreachable 메시지를 전송한다. icmp_net ICMP network unreachable 메시지를 전송한다. icmp_port ICMP port unreachable 메시지를 전송한다.

 

공격 우선 순위

 

심각한 공격 (우선 순위 1)
공격 분류	내용
attempted-admin	관리자 권한 획득 시도
attempted-user	일반 사용자 권한 획득 시도
shellcode-detect	실행 가능한 코드 탐지
successful-admin	관리자 권한 획득 성공
successful-user	일반 사용자 권한 획득 성공
trojan-activity	네트워크 트로이 목마 탐지
unsuccessful-user	일반 사용자 권한 획득 실패
web-application-attack	웹 애플리케이션 공격

 

 

중간 수준의 공격 (우선 순위 2)
공격 분류	내용
attempted-dos	DoS 시도
attempted-recon	정보 유출 시도
bad-unknown	잠재적인 악성 트래픽
denial-of-service	DoS 탐지
misc-attack	사소한(miscellaneous) 공격
non-standard-protocol	비표준 프로토콜 또는 이벤트
rpc-portmap-decode	RPC 쿼리 디코드
successful-dos	DoS 공격
successful-recon-largescale	대규모 정보 유출
successful-recon-limited	정보 유출
suspicious-filename-detect	수상한 파일 이름 탐지
suspicious-login	수상한 사용자 로그인 탐지
system-call-detect	시스템 콜 탐지
unusual-client-port-connection	클라이언트가 비정상적인 포트를 사용함
web-application-activity	잠재적으로 취약한 웹 애플리케이션 접근

 

 

위험도가 낮은 공격 (우선 순위 3)
공격 분류	내용
icmp-event	일반 ICMP 이벤트
misc-activity	사소한 행위
network-scan	네트워크 스캔
not-suspicious	의심스러운 트래픽이 아님
protocol-command-decode	일반적인 프로토콜 명령 디코드
string-detect	수상한 문자열 탐지
unknown	알 수 없음

 

 

Flow Control

-Flow Control 옵션은 패킷의 방향을 클라이언트 서버 통신 스트림과 관련해서 정의 할 수 있도록 한다. 이 옵션은 Snort의 TCP 재조합 모듈과 함께 동작하며 패킷 content와 방향을 클라이언트 서버 구조와 관련해서 파악할 수 있도록 한다.

 -Flow Control 옵션

 

옵션	내용
to_server	서버로 전송된 패킷에 대해 true를 리턴한다.
from_server	서버로부터 받은 패킷에 대해 true를 리턴한다.
to_client	클라이언트로 전송된 패킷에 대해 true를 리턴한다.
from_client	클라이언트로부터 받은 패킷에 대해 true를 리턴한다.
only_stream	재구성된 패킷 또는 연결이 맺어진 스트림에 속한 패킷에 의해서만 활성화된다.
no_stream	only_stream과 반대의 의미를 가진다.
established	연결이 수립된 TCP 연결 또는 세션에 속한패킷에 의해서만 활성화 된다.
stateless	상태와 관계없이 규칙을 활성화할 때 사용된다. stateless 옵션을 사용할 때는 “flow:” 접두사를 붙이지 않는다.

 

 

IP옵션

 

옵션	내용
sameip	출발지와 목적지 ip주소가 동일한 패킷을 찾는다.
fragbits	IP 헤더의 분할 비트와 예약 비트를 분석한다.   값 설명 D 분할하지 않음 (Don't Fragment) M 분할 패킷이 남아있음 (More Fagments) R 예약 비트 (Reserved Bit)
ipopts	패킷을 비교하기위해 IP옵션을 지정한다. 한 규칙에서 한 가지 IP옵션만 적용 가능하다.   값 설명 eol IP목록의 마지막을 지정한다. lsrr 느슨한 소스 라우팅 (loose source routing) ssrr 엄격한 소스 라우팅 (strict source routing) rr 라우트 기록 (Record route) satid IP 스트림 식별자 sec IPSec ts 타임스탬프 nop 옵션이 없음
ID	패킷의 정적 IP ID값을 검사한다.
tos	TOS (Type of Service) 값을 검사한다.
TTL	TTL(Time to Live) 값을 검사한다. >, <, = 연산자도 지원한다.

 

 

TCP옵션

 

옵션	내용
seq	패킷의 정적 TCP 순서번호를 검사한다.
flags	특정 플래그가 설정되어 있는지 설정되어 있지 않은지, 다른 플래그와 함께 사용되는지를 판단한다.   값 설명 A ACK 플래그 F FIN 플래그 P PSH 플래그 R RST 플래그 S SYN 플래그 U URG 플래그 0 아무 플래그도 설정 되어 있지 않음 1 예약 비트1 2 예약 비트2 + 특정 플래그가 켜져있고 그 밖에 다른 플래그도 켜져 있는지 검사한다. ex:) A+ * 명시된 플래그 중 하나의 플래그라도 일치하는지 검사한다. ex:) *AS ! 특정 플래그가 꺼져 있는지 검사한다.
ack	ack 값이 0인지 검사한다.

 

 

ICMP 옵션

 

옵션	내용
icmp_id	ICMP ID 값을 검사한다.
icmp_seq	ICMP Sequence 값을 검사한다.
icode	ICMP Code 값을 검사한다.
itype	ICMP type 값을 검사한다.

 

 

Snort 규칙 트리 구성 요소

-규칙 사슬 집합

 

규칙	설명
Activation	경고를 발생시키고 또 다른 dynamic 규칙을 활성화한다.
Dynamic	Activation 규칙에 의해 활성화 되며 트래픽을 로그로 저장한다.
Alert	경고를 발생시키고 패킷을 로그로 남긴다.
Pass	패킷을 무시한다.
Log	트래픽을 로그로 저장한다. (경고를 발생시키지 않는다. )

 

 

-Rule Tree Nodes(RTN)

규칙 사슬 각각에 대하여 프로토콜별 연결리스트가 존재하는데 프로토콜별 연결 리스트의 맨 상당 노드를 RTN이라고 부른다.

 

규칙	설명
TCP	TCP 프로토콜
UDP	UDP 프로토콜
ICMP	ICMP 프로토콜
IP	IP 프로토콜

 

 

-Option Tree Nodes(OTN)

프로토콜 연결리스트 안에는 OTN이라고 불리는 규칙 옵션이 존재한다.

 

규칙	설명
Content	Boyer-Moore 패턴 비교 알고리즘에서 검사하는 컨텐츠
Flow	탐지 플러그인으로의 링크

 

 

패킷 비교

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS

(msg:"WEB-IIS..\.. access"; flow:to_server,established; content : "|2e2e5c2e2e|"; reference: bugtraq,2218; 

reference:cve, CAN-199-0299; classtype:web-application-attack; sid:974; rev:6;)

 

 

 

 

 

과정	설명
규칙 헤더 검색	패킷이 탐지 엔진에 도착하면 Snort는 Activation, Dynamic, Alert, Pass, Log 순으로 규칙 헤더를 검색한다. 위 규칙의 출력 포맷은 Alert이기 때문에 Snort는 Activation과 Dynamic에서는 이 규칙을 찾지 못한다.
RTN 검색	그 다음에 Alert 사슬로 이동하는데 패킷을 비교하는 방법은 패킷의 프로토콜에 따라 다르다. TCP 노드 리스트에서는 IP와 Port 정보가 일치하는 규칙을 찾는다.
OTN 검사	일치하는 규칙을 찾았으면 그 RTN의 열을 따라가면서 각 OTN을 검사하여 일치하는 규칙을 찾는다. 옵션노드에는 탐지 플러그인을 가리키는 포인터와 문자열 검색 알고리즘을 사용하여 검사할 패턴이 존재한다. ※flow 플러그인은 패킷이 기존에 연결된 세션에 일치하는지를 검사한다.
패킷 내용 검색	규칙이 content 옵션을 포함하고 있을 경우 문자열 검색 알고리즘을 이용하여 패킷의 내용을 검색한다. content 옵션에는 2진, 텍스트, 그리고 2가지를 혼합한 형식의 데이터가 들어올 수 있다. ※Snort 2.0은 Aho-corasick, Wu-Manber, Boyer-Moore 세가지 패턴 매칭 알고리즘이 사용가능하다.
경고 발생	일치하는 규칙을 찾았으면 트리 구조를 빠져 나온 뒤 Alert 트리의 맨 꼭대기로 돌아와서 명시된 출력 포맷을 상용하여 경고를 발생시키고 모든 과정이 종료된다.

 

 

Pass 규칙

-특정 트래픽을 무시하고 싶은 경우 BPF 필터 언어를 사용하거나 Pass 규칙을 사용한다.

-Pass 규칙을 활성화 하려면 Snort 규칙 처리 순서를 변경해야하기 때문에 -o 옵션을 사용하여 규칙 처리 순서를 Pass, Activation, Dynamic, Alert, Log 순으로 바꾸어주어야 한다.

-Pass 규칙을 사용하는 경우 서명과 일치하는 모든 패킷은 무시한다.

※Pass 규칙은 모든 패킷을 통과시킬 우려가 있기 때문에 조심하여 사용해야 한다.

 

pass tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS

(flow:to_server,established; content:"|2e2e5c2e2e|";)

 

Log 규칙

-Log 규칙은 규칙과 일치하는 모든 패킷을 경고를 발생시키지 않고 단지 정의된 출력 포맷으로 로그로 저장하기 위해 사용된다.

※Log 규칙은 2진 모드로 실행된 Snort에서 제대로 동작하지 않는다.

 

log tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS

(flow:to_server,established; content:"|2e2e5c2e2e|";)

 

Dynamic, Activation 규칙

dynamic, Activation 규칙을 사용하면 패킷에 대한 경고를 발생시킨 뒤, 그 후에 따라오는 패킷들을 로그로 저장할 수 있다.

-activate 규칙의 activates 값과 dynamic 규칙의 activated_by 값이 두 규칙을 이어주는 역할을 한다.

 

EXTERNAL_NET에서 HTTP 서버로 향하는 트래픽 128개를 로그로 저장

activate tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS ..\.. aceess";flow:to_server,established; activates:25;content : "|2e2e5c2e2e|"; reference:bugtraq,2218;reference:cve,CAN-199-0229;classtype:web-application-attack;sid:974;rev:6;) dynamic tcp $EXTERNAL_NET any -< $HTTP_SERVERS $HTTP_PORTS (activated_by:25; count:128;)

출처: http://leekyu.net/board_03/522