snort의 기능

Sniffer : 네트워크 트래픽을 캡쳐하는 기능 Packet Logger : 나중에 분석할 수 있도록 네트워크 트래픽을 파일에 기록하는 기능 IDS / IPS : 네트워크 트래픽을 분석 후 침입 탐지 및 차단 기능

snort의 동작 구조

• Sniffer

Snort IDS 를 통과한 패킷을 수집합니다.

• Preprocessor

효율적인 공격 탐지를 위해 Plug-in을 먼저 거쳐 매칭을 확입합니다.

• Detection Engine

Snort Rule과 매칭이 되는지 확인합니다.

• Alert / Log

Snort Rule 매칭 결과에 따라 경고나 로그등 출력을 하게됩니다.

snort rule

snort룰은 크게 Rule header와 Rule Option으로 구분

Rule header

Action: 패턴이 매칭 되었을 겨웅 할 행동을 정의