[snort rule]
***[룰 헤더]*** [옵션]
***alert icmp any any -> any any*** (msg:"Detected";sid:1000001;rev:1;)
Action Protocol 출발지 호스트/포트 -> 목적지 호스트/포트 (옵션)
1. Action 유형
- alert - 경고 발생 및 로그 기록
- drop - 패킷 차단 및 로그 기록
- reject - 패킷 차단 및 로그 기록
- log - 로그 기록
- pass - 패킷 무시
2. 옵션 종류
- msg - 탐지 시 출력 메시지
- content - 패킷 포함된 문자열로 탐지
- nocase- 대소문자 무시
- offset- 패킷의 상대적 길이
- sid - snort id - 고유 식별자
- rev - 룰 변경 시 수정
snort.org - download rules - commnuity rules -
다운로드 후 압축해제
# vi /usr/local/snort/etc/snort/snort.lua
추가 입력
variables = default_variables,
rules = [[
include /usr/local/snort/etc/snort/snort3-community-rules/snort3-community.rules
]]
'IT 엔지니어 > Linux server' 카테고리의 다른 글
| KAIL linux & UTM (0) | 2025.04.22 |
|---|---|
| Security Protection (0) | 2025.04.22 |
| 리눅스 own클라우드 (0) | 2025.03.31 |
| [Web Mail Server] (0) | 2025.03.29 |
| UTM 방화벽 (0) | 2025.03.22 |
