Snort는 다양한 전처리기(Preprocessor)를 제공 함으로써 여러가지 패킷 전처리 기능을 수행합니다. 

HTTP Inspection 은 HTTP 패킷의 URI에서 encode된 값을 찾아 decode하는 작업을 수행하게 됩니다. 


기본적으로 패킷을 decode하지 못하면 공격 명령을 encode함으로써 간단하게 Snort와 같은 IPS/IDS를 우회할 수 있게 됩니다. 

이런 우회 패킷에 대한 탐지를 수행하기 위해 꼭 필요한 HTTP Inspection 모듈의 정규화 과정에 대해 알아봅시다. 


HTTP Inspection Preprocessor에서는 HTTP패킷이 들어오면 기본적으로 다음과 같은 순서로 정규화 처리를 수행합니다. 


HTTP Inspection에 의해 설정에 따라 최대 2번 까지 '%' decode를 수행합니다. 

또한, 설정에 따라 unicode 및 '%U' decode를 수행 할 수 있습니다. 



'decode'나 '정규화'가 뭘 의미하는지 잘 모르시는 분들은 이 글을 보시면 됩니다. 


[스노트-snort] HTTP Inspection 전처리기의 모든 것



혹시 잘못된 정보가 있거나 궁금한 점이 있으시면 댓글 남겨주세요~ ^^


Posted by KT한
,