“/administrator” 라는 문자열이 포함되어 있는 경우 “Web Scan Detected”란 메시지 로깅을 위한 Snort rule은 각각 무엇인가?
Alert tcp any any -> 192.168.0.1 ( A ) ( ( B ) : “/administrator; ( C ): “Web Scan Detected”;)
답
Alert tcp any any -> 192.168.0.1 any ( content : “/administrator; msg : “Web Scan Detected”;)
(A) any
(B) content
(C) msg
*Snort Rule은 실시간 트래픽 분석과 패킷을 기록하는 침입 방지 시스템(IPS) (오픈소스)
[RuleHeader] [Protocol] [src-ip] [src-port] -> [dst-ip] [dst-port] [RuleOption] 구조로 명령어를 작성한다.
참고)