저는 스노트를 사용하고 있어요. 구성하는 동안 decoder.rules 및 preproc.rules와 같은 규칙 파일을 발견했습니다. snort.conf에서 이러한 규칙을 활성화하는 목적을 말해 줄 수 있는 사람이 있습니까?
답변1
Snort의 디코더는 패킷의 구조를 살펴보고 IP 헤더와 같은 항목을 검색합니다. 전처리기는 조각난 패킷을 재구성하고 프로토콜 흐름(예: HTTP)을 추적하는 일을 담당합니다. 또한 일반 snort 규칙과 마찬가지로 의심스럽게 형성된 패킷이나 기타 조건에 대한 경고를 생성할 수도 있습니다.
preproc.rules 및 detector.rules 파일을 포함하면 snort.conf에서 로드하고 활성화했을 수 있는 디코더 및 전처리기에 내장된 경고를 활성화할 수 있습니다. 규칙이 포함되지 않으면 snort는 경고를 비활성화합니다.
이전 버전의 snort는 기본적으로 이러한 경고를 활성화했으며, 필요하지 않은 경우 경고를 억제해야 했고 이는 관리하기가 더 어려웠습니다.