snort 2

rule 헤더 

alert icmp any any -> $HOME_NET any (msg : "ICMP Test"; sid : 10000001; rev : 001;)

---- action                                                                               옵션 

       ------- protocol

kirmizi yeri aslinda input diye okumak daha mantikli 

                

Alert (Alarm) : Kullanıcı tarafından belirlenen kurallara uyan paketleri belirleyerek o paketler için uyarı vermektedir.
Pass (Geçir) : Paketleri önemsemeyerek basit bir şekilde geçirilmesini sağlar.
Log (Günlükleme) : Alert de olduğu gibi kurallara uyan paketleri alır ancak uyarı vermez. Sadece log olarak kaydeder.
Activate (Etkinleştir) : İlk olarak Alarm vererek sonrasında başka bir kuralı etkinleştirmektedir.
Dynamic (Dinamik) : Active den gelen kuralı bekler, active edilince de kuralları uygular.
Drop (Düşür) : Paketin düşürülerek log olarak kaydedilmesi sağlar.
Reject (Reddet) : Paketi engelleyerek log kaydı almaktadır.
Sdrop (Günlüklemeden Düşür) : Paketin düşürür ancak log kaydı almamaktadır.
Bu kurallar yazılırken TCP,UDP,ICMP,IP protokollerinin belirtilmiş olmasına dikkat edilmesi gerekmektedir.

protocol :  tcp , udp  ip icmp any 

 

sid :security ID 룰 식벌자 추천 3000000 권장한다.

룰 버전 : 수정딜마다 1씩 증가한다. 

sameip : S/D 같은 IP인 경우 

 

추가해야돼 

로그 분석 많이 해야돼 

 

요청 request 

ftp 키고 도 해야돼 

실습 과제 

X-MAS SCAN 탐지하기 

flags : FPU 

alert tcp any any -> 192.168.0.8/24 any (msg:"X-MAS SCAN !! "; flags:FPU; sid 3000010; rev:1;)

스캔 : nmap -sX -p 21 192.168.0.8