먼저 젠킨스(허드슨)를 설치 하셨다는 가정하에 설명을 시작하겠습니다. 

젠킨스(Jenkins)와 허드슨(Hudson)은 이름만 바뀌었을 뿐 설정 및 기능은 거의 같습니다. 

만약 아직 설치 하지 않으셨다면 이전 포스팅을 참고하세요~ 

소스 자동 빌드 시스템 - 젠킨스(허드슨) 설치

Xcode와 같은 프로젝트에 활용하는 방법은 다음 포스팅을 참고하세요

소스 자동 빌드 시스템 - 젠킨스(허드슨) 플러그인 기능 활용 

1. 젠킨스 메인 페이지에 접속해봅시다. 

기본값은 서버 주소에 8080 포트로 접속하면 됩니다. (예: http://192.168.10.10:8080) 

2. 왼쪽 메뉴에서 "Manage Jenkins"를 선택합니다. 

 설정 메뉴가 나오면, "configure system"을 선택합니다. 

시스템의 기본 설정을 하기 위해서죠. 

3. 가장 먼저 작업 갯수를 설정 합니다. 

①에 있는 실행 갯수 만큼 좌측 메뉴에 작업 수가 늘어납니다. 

② enable security를 체크하면 유저 별로 권한 설정이 가능합니다. 

편의상 로그인한 유저라면 모든 설정이 가능하도록 했습니다. 

4. 좀 더 스크롤을 내려봅시다. 

요즘은 소스 관리에 주로 svn을 사용하죠.. 

① 버전이 기본은 1.4로 되어 있는걸 1.6으로 변경해줍니다. 

② 빌드가 깨졌을 때 연관된 사람들에게 메일을 보내주는 기능이 있습니다. 

신속한 대응을 위해서 유용하니 메일을 보낼 사람의 계정 정보를 넣어줍니다. 

(메일 수신인은 프로젝트 설정에서 합니다.)

설정이 끝났다면 저장합니다. 

5. 이제 프로젝트를 생성해봅시다. 

① New Job 을 클릭해봅시다. 

② 이름을 설정해주고..

③ 제일 무난한 free-style 프로젝트를 선택합니다. 

④ 만약 기존에 설정했던 설정을 템플릿 처럼 쓰고 싶다면 맨 아래 'copy existing job'을 선택하면 됩니다. 

입력 필드에 기존에 생성한 job 이름을 입력해줍시다. 

자동완성 기능을 지원하므로, 기존에 생성한 job 이름의 첫 글자만 기억하고 있으면 됩니다. 

(한글화 화면 - 브라우져의 언어에 따라 자동으로 선택됨)

6. 생성하면 자동으로 설정화면으로 넘어갑니다. 

① svn 정보를 넣어줍니다. 

② 최신 소스를 어떻게 관리할지 선택합니다. 

특별한 문제가 없다면 'svn update'를 하면 됩니다. 

하지만, 가끔 소스가 꼬이면 'Always check out a fresh copy'를 선택하면 기존 소스를 지우고

새로 받아서 다시 빌드를 시도합니다. 

알아두면 유용합니다. 

③ 만약 svn서버에 권한이 필요하다면 'enter credential' 링크를 클릭합니다. 

7. 위에서 자격 증명하기를 클릭하셨다면 이런 화면이 나옵니다. 

계정 정보와 비번을 입력해주면 됩니다. 

8. 좀 더 화면을 아래로 내려봅시다. 

① 주기적으로 소스를 가져다가 빌드를 수행하게 하려면 설정해줍니다. 

crontab을 생각하면 이해가 쉬울겁니다. 

② 빌드 단계를 추가해줍시다. 

③ 'Execute shell'을 선택하면 command를 입력할 수 있는 창이 뜨게 되고, 

순차적으로 진행할 명령들을 입력해줍니다. 

(명령창은 복수 개 등록 가능합니다. )

④ 빌드 성공 후 생성된 파일들을 어떻게 할지 설정해줍니다.  

⑤ 만약 빌드에 실패했을 때 담당자(개발자 혹은 QA-검증자)들에게 메일을 보내기 위해 사용합니다. 

수신인 메일 주소를 넣어주면 됩니다. 

⑥ 만약 컴파일을 실패할 때 마다 메일을 보내고 싶다면 체크해줍니다. 

빌드가 깨졌는데 이를 복구하지 못한 상태에서 

다른 사람들이 계속 소스 커밋을 하게 되면 폭탄메일을 받을 수 있으니 참고하세요. 

⑦ 빌드를 깨먹은 사람한테만 메일을 보내려면 이 옵션을 체크합니다. 

단, 메일 리스트에 입력해둔 사용자에게 보내는것과 별개로 동작하는 옵션입니다. 

메일 리스트에 아무도 입력하지 않고, 이 옵션만 체크해야만.. 

빌드가 깨졌을 때 실제로 소스를 커밋한 사람한테만 메일을 전송합니다. 

9. 사용자 계정 관리  

사용자 계정은 한가지만 조심하시면 됩니다. 

svn에 소스를 커밋한 계정을 보고 젠킨스가 자동으로 사용자 계정을 만들어 둡니다. 

때문에, svn과 동일한 계정으로 ID를 만들려고 하면 이미 존재하는 ID라고 오류가 발생하죠. 

이때는 관리자 계정으로 해당 계정의 설정 메뉴를 클릭하면 비번을 설정 할 수 있답니다. 

10. 이제 아래처럼 항상 햇님이 반짝 떠 있도록 관리만 잘 하시면 됩니다. 

① 특정한 순간에 수동으로 빌드를 시작하고 싶다면 '빌드 시작' 버튼을 누르면 됩니다. 

나머지 소소한 기능들은 차차 사용하면서 알아가면 될겁니다. ^^ 

※ 이 외에 세부설정은 hudson book을 참고하세요. 

book-hudson.pdf

• 유용한 플러그인 배워보기

[프로그래밍] 젠킨스(Jenkins) 플러그인 활용 - Groovy Postbuild

지속적 통합관리(CI - Continuous Integration) 툴인 

젠킨스(구:허드슨)을 설치하는 방법에 대해 설명 드리겠습니다. 

2011년에 허드슨(Hudson)이 젠킨스(Jenkins)로 이름을 바꾸게 되었는데요. 

이는 오라클에서 Hudson이란 상표를 가지고 있어서 바뀌었다고 합니다. 

하지만, 이름만 바뀌었을 뿐 기능은 지속적으로 유지 및 향상 되어가고 있답니다. 

프로젝트의 안정적인 유지 관리를 위해서라도 이번 기회에 최신 버전으로 갈아타는것도 괜찮겠죠? 

※ 참고로 Fedora12에서 설치하였습니다.  ※

젠킨스 설정 방법에 대한 내용은 다음 포스팅을 참고하세요. 

소스 자동 빌드 관리 툴 - 젠킨스(허드슨) 설정 

1. 젠킨스(Jenkins) 다운 및 설치

- 향후 젠킨스(Jenkins)를 패치할 상황을 대비해서.. 

조금 번거롭더라도 yum 리포지터리(repository)를 추가해 주도록 합니다. 

(YUM에 대해서 잘 모르시는 분은.. 온라인 업데이트 정도로 생각하시면 될것 같네요. )

# wget -O /etc/yum.repos.d/jenkins.repo http://pkg.jenkins-ci.org/redhat/jenkins.repo
# rpm --import http://pkg.jenkins-ci.org/redhat/jenkins-ci.org.key

- 정상적으로 추가했다면 yum으로 젠킨스를 설치합니다. 

# yum install jenkins

- 만약 젠킨스의 업데이트 정보를 정상적으로 받아오지 못한다면,  yum db를 한번 지워주세요. 

# yum clean all && yum install jenkins

-정상적으로 설치 되었는지 확인해봅니다.  

#  rpm -qa | grep jenkins
jenkins-1.457-1.1.noarch

2. 젠킨스를 실행하기 위해 필요한 java 설치

- 역시 yum으로 설치 해줍니다. 

(한번에 정상적으로 설치가 안되는 경우가 있습니다.  이럴 때는 한 번 더 실행해 줍니다. )

# yum install java

- 다음과 같은 파일들이 설치 되어야 합니다. 

3. 실행하기

- 정상적으로 설치 됐다면 간단하게 실행 가능합니다.

# service jenkins start

- 실행 결과:

4. 접속하기

- 브라우져의 주소창에 서버 주소와 기본포트인 8080을 입력합니다. 

- 정상적으로 실행 된다면 이런 화면이 뜨게 됩니다. 

짜릿한 기분을 느낄 수 있는 순간이기도 하죠. ^ㅡ^

5. 잘 활용하기 

- 이제, 관리해야할 subversion 정보를 등록하고 자동으로 빌드를 수행하도록 하면 됩니다. 

• 유용한 플러그인 배워보기

[프로그래밍] 젠킨스(Jenkins) 플러그인 활용 - Groovy Postbuild

시작하면서..

스노트는 HTTP 패킷에 대해..
패킷 전체가 아닌 특정 필드값에서 패턴을 찾는 작업을 지원한다.
이는 오탐을 줄이는 동시에 성능을 향상시켜주는 효과가 있다.

스노트 사용에 어느정도 자신감이 생겼다면..
이 옵션을 사용하는 것을 강력히 추천한다.

기본적인 사용법은 메뉴얼을 보면 되겠지만
HTTP 패킷을 분석하는 일에 친숙하지 않은 사람들을 위해..
각 옵션들이 가리키는 필드에 대해 자세하게 알아보도록 하자.

먼저, HTTP관련 매칭 옵션들은 크게 다음 7가지가 있다.
이 옵션들은 'content'라는 패턴 매칭 옵션과 함께 사용해야 한다.

1. http_method
-HTTP 패킷의 method값을 저장하고 있다.
그러므로, 다른 옵션들과 비교해서 패킷의 가장 앞 부분을 가리킨다.

2. http_uri (http_raw_uri)
-HTTP 패킷의 uri값을 저장하고 있다.
'uricontent'옵션을 사용하는 것과 동일하다.
'raw'는 normalized(디코딩, 정규화)한 값과 하지 않은 값의 차이이다.   
(당연히 'raw'가 붙은것이 하지 않은 값이다.) 

참고로, 'http_uri'와 'rawbytes'옵션을 함께 사용하면 'http_raw_uri'와 동일하다고 생각하기 쉽지만..
이런 조합은 허용되지 않는다.



 3. http_header (http_raw_header)
- HTTP 패킷의 header값을  저장하고 있다. 
request와 response에 모두 사용하는 옵션이다.
'raw'의 의미는 'http_raw_uri'와 동일하다.

4. http_cookie (http_raw_cookie)
- HTTP 패킷의 cookie값을  저장하고 있다. 
'raw'의 의미는 'http_raw_uri'와 동일하다.

5. http_client_body
- HTTP 패킷의 body값을  저장하고 있다. 
참고로, GET패킷에는 body가 없다. 
아래 예제에서 POST패킷에만 HTTP body를 가리키는 색이 칠해져 있는 이유이다. 


※ 사용전 확인사항 
snort.conf 파일에
'post_depth 0'을 반드시 지정해 주어야한다. (0은 body전체를 extract한다는 의미)
default 값이 -1인데 이는 body를 extract하지 않는 다는 의미이기 때문이다.
참고로, 이 값은 이전 버전의 snort와는 다를 수 있다. 

코드 값에 대한 내용은 이 사이트를 참고하세요. 

※사용전 확인사항 
snort.conf 파일에
'extended_response_inspection'을 반드시 지정해 주어야한다 

7. http_stat_msg
- HTTP response의 status message 필드값을  저장하고 있다. 
기본적인 설정 및 사용법은 'http_stat_code'와 동일하다. 


실제 패킷 예제를 통해 확실히 이해하자!
위에서 설명한 각 옵션들이 저장하고 있는 필드값을 각각에 맞는 색상으로 표시해 두었다. 


1. client request 패킷 (GET)

2. Client Request 패킷 (POST)

 

3. Server Response 패킷 
 
※주의할 점은 header의 시작 지점이 status 메시지 직후에 오는 hex값 '0d 0a'를 포함한다는 것이다.
offset, depth와 같은 옵션을 함께 사용할꺼라면 반드시 기억해야 한다.

Boyer-moore 문자열 탐색 알고리즘은 Robert S. Boyer와 J Strother Moore에 의해 1977년에 개발되었다. 

알고리즘의 컨셉은 패턴을 뒤에서부터 비교하여 탐지하는 것이 특징이다. 

Boyer-moore 알고리즘은 크게 다음 두 가지 방식의 탐지 방식을 사용하고 있다.

두 가지 방식 중 더 큰 값만큼 이동하면서 패턴 매칭을 시도하게 된다. 

1. bad character method 

주로, 문자열이 매칭되지 않았을 때 많이 이동 할 수 있는 알고리즘. 
character set인 256만큼의 배열을 잡아서 패턴 길이 값으로 초기화를 시켜준다. 

이후 패턴의 앞 부터 한자씩 읽어 가면서 해당 배열값에 마지막 글자까지의 값으로 설정
예를 들면, 아래 문장의 가장 처음 'A'의 경우, 'A'는 10진수 65이다. 
그러므로, 배열의 65번째 값에 'A'와 패턴의 끝인 'N' 와 7글자 떨어져 있으므로 7을 넣어준다. 
이와 같은 방식으로 A->N->P->A->N->M->A를 처리한다. 만약, 동일한 문자가 나오면 마지막 글자와 가까운 위치에 탐지를 해야할 문자가 있는 것이므로 해당 값을 덮어쓰게 된다.  (마지막 글자 N은 떨어진 거리가 0이므로 제외)
그 결과 아래 표와 같은 결과를 얻을 수 있다. 

예) ANPANMAN 

Character	Shift
A	1
M	2
N	3
P	5
all other characters	8

2. good-sufix method 
주로, 문자열이 매칭된 경우 많이 이동할 수 있는 알고리즘. 
입력받은 패턴을 가지고 최대 이동 값을 미리 계산해둔다. (문자열 길이만큼의 배열)

최대 이동값을 계산하는 방식은 아래 표와 같다.  

i는 현재 패턴을 매칭하기까지 매칭에 성공한 문자 개수이다. 
pattern에서 취소선이 그어져 있다면, 해당 문자는 매칭이 되지 않음을 의미한다. 
Left shift는 왼쪽으로 얼마만큼 이동할지를 의미한다. 
(최종적으로 배열에는 i + left shift 값으로 설정해주게 된다. )

예) ANPANMAN 

i	Pattern	Left Shift
0	N	오른쪽 끝 문자가 N이 아닌 문자만큼 왼쪽으로 이동. 오른쪽 두번째 문자가 A이므로, 한 칸 이동한다. (만약 'ANPANMNN'이라면 두 칸 이동하게 된다. )  = 1
1	AN	AN 은 ANPANMAN에 더이상 나오지 않는다. 때문에, 패턴 길이 만큼 이동하게 된다. = 8
2	MAN	MAN 은 ANPANMAN  패턴에서 세칸 이동하면 찾을 수 있다.   = 3
3	NMAN	'NMAN' 은  'ANPANMAN' 에 더이상 나오지 않는다.  하지만,  'NMAN' 은 6 칸 이동하면 또 나타난다.   ('NMANPANMAN')  = 6
4	ANMAN	'ANMAN'은 더이상 나오지 않는다. 하지만,'ANMAN' 은 6 칸 이동하면 나타난다.    ('ANMANPANMAN') = 6
5	PANMAN	'PANMAN'은 더이상 나오지 않는다. 하지만, ' PANMAN' 은 6 칸 이동하면 나타난다.     ('PANMANPANMAN')  = 6
6	NPANMAN	'NPANMAN'은 더이상 나오지 않는다. 하지만, ' NPANMAN' 은 6 칸 이동하면 나타난다.      ('NPANMANPANMAN')  = 6
7	ANPANMAN	'ANPANMAN'은 더이상 나오지 않는다. 하지만, ' ANPANMAN' 은 6 칸 이동하면 나타난다.       ('ANPANMANPANMAN')  = 6

• 탐지 예제

순번

M

A

N

P

A

N

P

A

N

M

A

N

1

A

N

P

A

N

M

A

N

2

A

N

P

A

N

M

A

N

3

A

N

P

A

N

M

A

N

- 순번 1: 패턴의 뒤에서부터 매칭을 시도 하면 문자열 ‘A’와 패턴 ‘N’이 같지 않으므로 이동을 해야 한다. bad-character method 와 good-suffix method모두 이동 값이 1 이므로 1칸만 이동.

- 순번 2: 뒤에서 ‘AN’이 매칭되었으므로, bad-character method에 의해 ‘P’의 이동 값이 5에서 ‘AN’ 두 문자만큼의 값을 뺀 3만큼 이동하게 된다. Good-suffix method에 의해서도 i가 2일 때 값이 3이므로 3만큼 이동하여 다시 매칭을 시도한다. 

- 순번 3: 원하는 문자열을 찾았다. 

정규표현식에 대해 생소한 분들은 초/중급 포스팅을 참고하세요. 
정규표현식 초급, 정규표현식 중급 


 여기서는 자주 사용되지는 않지만..
잘 알고 사용하면 여러가지로 유용한 내용들에 대해 다뤄보고자 합니다.

1. 단어 경계 - \b, \B 
 매칭하고자 하는 패턴의 단어 경계를 지정하는데 사용. 

단어의 경계를 찾는 '\b'옵션을 사용하면
문자열 중 일부에만 매칭되는 경우는 제외하게 된다. 
====================================
  표현식  \bart\b
  문자열  The art of music part of artist
==================================== 

'\B' 는  '\b'와 반대의 의미로 사용된다. 


2. 비 캡처 그룹 - (?: )
그룹화 기호를 사용해서 매칭을 시도할 경우 
매칭되는 내용은 캡처되어 추후에 재사용 할 수 있도록 한다. 

하지만, 재사용할 일이 없을 경우 
비 캡처 그룹으로 표현해주므로써 캡처 그룹에서 제외시키고,
적지만 성능 향상도 기대할 수 있다. 
====================================
  표현식  (?:one|two|three)
==================================== 


3. 명명 재참조 - (?P<name>) , (?<name>)혹은 (?'name') 
특정한 패턴을 캡처한 후 이를 사용하기 편하도록 이름을 지어준 후
그 이름으로 캡처된 패턴을 불러다 사용.

캡처된 값들에 이름을 지정해주므로써 보는 사람 관점에서도 이해하기 쉽도록 도와주고, 
특정 위치의 값을 저장해두었다가 다른 위치에서 동일한 값이 나오는지 확인 하는데 유용함.

방식은 크게 세가지가 지원되며, 버전에 따라 지원되지 않는 것도 있을 수 있다. 
값을 캡처하고 명명 할 때와 이를 호출해서 사용 하는 방법은 다음과 같다. 


 
====================================
  표현식1  (?P<hour>\d\d):(?P<min>\d\d)-(?P=hour)-(?P=min)
  표현식2  (?<hour>\d\d):(?<min>\d\d)-\k<hour>-\k<min>
  표현식3  (?'hour'\d\d):(?'min'\d\d)-\k'hour'-\k'min'

  문자열  17:53-17-53
==================================== 


4. 주석 처리 - (?# ) 혹은 (?#>     <)
정규표현식에 설명을 추가하고 싶을 때 사용.
자칫 잘못 사용하면 복잡도가 증가하여 오히려 역효과를 불러 일이킬 수 있다. 

 
====================================
  표현식  (?#year)\d{4}-(?#mon)\d{2}-(?#day)\d{2}
 
====================================

스노트에서 고급 옵션이라고 볼 수 있는...
byte 관련 keyword에 대해 알아봅시다.

※ 이 글은 snort-2.9.1 버전을 기준으로 작성되었습니다. 

먼저, 이런 옵션들을 언제 왜 사용할까요?
일반적인 패킷에서 특정 패턴을 비교하는 것 만으로는 탐지 할 수 없는게 존재합니다. 

예를 들면, RPC 와 같은 프로토콜의 패킷을 처리할 때 요긴합니다. 
이런 패킷은 특정 위치에 버전, 타입과 같은 값을 넘겨 주기 때문에... 
그 특정 위치가 어딘지만 안다면 정확한 검증이 가능합니다. 

1. byte_test
특정 위치의 값을 비교/확인 하는데 사용. 

① 기본 포맷 
 
 
변환할 bytes: 몇 바이트의 패킷을 변환할지 지정
연산자: 변환한 값과 비교할 값을 비교할 때 사용할 연산자 
비교할 값: 변환된 값과 비교할 값
offset: 페이로드에서 변환할 바이트만큼 선택 할 시작위치 
relative: 마지막 패턴 매칭이 성공한 위치를 시작위치로 지정
즉, content와 같은 옵션과 같이 사용 할 경우, 패턴 매칭에 성공한 위치를 offset의 시작위치로 설정 
endian: 변환할 바이트 값의 endian 정보를 지정

▷참고: big endian 컴퓨터에서는 16진수 "4F52"를 저장공간에 "4F52"라고 저장 (만약 4F가 1000번지에 저장되었다면, 52는 1001번지에 저장될 것이다). 반면에, little endian 시스템에서 이것은 "524F"와 같이 저장.

string: 패킷에 문자열 포맷으로 되어있다고 지정
 
▷이는 글로 설명하기 쉽지 않으니 아래 예제를 참고하자. 

숫자 형식: 'string'와 함께 사용하며, 
문자열 포맷의 데이터의 숫자 형식을 지정 

dce: DCE/RPC preprocessor와 관련된 옵션으로 숫자의 endian을 결정하기 위해 사용. 
DEC/RPC preprocessor를 수행한 결과 endian이 무엇인지 알고있다. 
③ 옵션 유효값 

endian : big 또는 little
숫자 형식 : hex, dec, oct


④ 예제 

만약 패킷이 다음과 같다고 하면..

이 패킷을 탐지하는 시그니처는 다음처럼 작성 할 수 있다. 

⑴ byte_test: 1, =, 3, 14, string ; 
- 패킷의 14번째에 있는 1바이트 값이 3과 같은지 비교. 
   위 패킷에서 14번째 바이트는 33이다.
   ('6d'가 아님을 기억하세요!!  offset이 '0'이면 맨 처음 값을 사용한다!) 
  이 값을 10진수 string으로 처리한다고 했으니.. 결국 비교할 값은 '3'이 된다. 
 
⑵ byte_test: 1, =, 51, 14 , dec; 
- 패킷의 14번째에 있는 1바이트 값이 51과 같은지 비교
  33은 10진수로 51이므로.. 결국 비교할 값은 '51'이 된다.  
 
⑶ content:"system"; byte_test: 1, =, 51, 0, relative, dec ; 
- 'system'이라는 문자열을 찾고... 
   매칭이 이루어진 곳에서 0만큼 떨어진 곳의 1바이트 값이 51인지 비교한다. 
   relative 옵션을 썼다는것 빼고는 위의 예제와 동일하므로.. 이해하기 그리 어렵지 않다. 
   
 ⑷ content:"system"; byte_test: 1, =, 0x03, 0, relative, string, hex; 
- 위의 예제들을 모두 이해했다면.. 길기만 하지 별로 복잡하지 않다는 것을 알것이다. 
   다만 값을 string으로 처리해서 hex값으로 비교한다. 

⑸  byte_test:1, &, 16, 14; 
- 패킷의 14번째에 있는 1바이트 값과 16을 비트 AND 연산을 한다.
   14번째 바이트 값(hex값 33)과 16을 2진수로 전환해서 비트 연산을 해보면.. 

   00 11 00 11 (16진수 33)
   00 01 00 00 (10진수 16)
& -----------------
   00 01 00 00   => 16 

  이와 같은 연산에 의해서 이 시그니처는 탐지가 된다. 


2. byte_jump
특정 위치의 값 만큼 탐지(매칭) 포인터를 이동/점프 하고자 할때 사용. 

① 기본 포맷 

 

④ 예제 
  
⑴ content:"|00 00 00 01|"; byte_jump:4, 12, relative, align;
- 패턴 매칭이 이루어진 값 부터 12번째 부터 15번째(12번째 부터 4개) 까지의 bytes값 만큼 jump
만약 값이 4의 배수가 아니라면 반올림해서 그 값만큼 jump 
 
 
2. byte_extract 
특정 위치의 값을 변수로 저장.
값을 저장한 변수는 다음 옵션들에서 사용 가능.

ⓐ content/uricontent의 offset,depth,distance,within 값
ⓑ byte_test의 offset,value 값
ⓒ byte_jump의 offset 값
ⓓ  isdataat의 offset 값

① 기본 포맷 


② 옵션 항목 설명
(byte_test나 byte_jump에서 동일하게 사용되는 옵션 생략)

name: 발췌한 값을 저장한 변수 명
align <값>:  발췌한 값을 특정 bytes 단위로 반올림 하고자 할 때 사용. 


④ 예제 

 ⑴ byte_extract:1, 0, str_offset; content:"bad stuff"; offset:str_offset;
-  패킷의 시작위치에서 1바이트에 있는 값 만큼 떨어진 곳에서 "bad stuff" 문자열을 찾는다. 
 

• Snort-2.9.1 버전에 대해..

• 설치 과정

우선 아래 홈페이지에 접속해서 snort와 필수 유틸인 daq를 다운 받아야 합니다. 

gdb 사용에 관한 기본적인 내용은 다음 포스트를 참고하세요.
http://kthan.tistory.com/6

1. 브레이크포인트 설정 명령어

1.1 break : 특정 위치에 브레이크 포인트 설정

예) break func : func 함수의 시작위치에 설정
     break 123   : 123번째 줄에 설정
     break main.c:func  : main.c 파일의 func 함수의 시작 위치에 설정
     break 123 if i == 1  : i값이 1 일때 123번째 줄에 설정

1.2 rbreak :정규표현식(regular expression)을 사용해 여러 심볼에 브레이크포인트 설정

예) rbreak ^func : fun로 시작하는 모든 심볼에 설정
     rbreak func : func를 포함하는 모든 심볼에 설정


1.3 clear :특정 브레이크포인트 지우기 

     예) clear func : func 함수에 설정한 브레이크포인트 지움
          clear 123  : 123번째 줄에 설정한 브레이크포인트 지움


1.4 info breakpoints: 설정한 브레이크포인트 정보 조회


1.5 enable/disable breakpoints :특정 브레이크 포인트 활성화/비활성화 

예) disable breakpoints : 모든  브레이크포인트 비활성화

     disable breakpoints 1,2,5 : 1,2,5번 브레이크 포인트 비활성화 (info b로 조회한 브레이크포인트 숫자)

     enable breakpoints : 모든  브레이크포인트 활성화

     enable breakpoints 1,2,5 : 1,2,5번 브레이크 포인트 활성화 

1.6 delete :설정한 모든 브레이크포인트를 지움

2. 값 출력 

2.1. info 명령어

info <출력할 타입>: 특정 타입의 info 정보를 출력.
(gdb에서 info를 입력하고 Tab키를 누르면 조회 가능한 모든 값들을 볼 수 있음. )

예) info locals : 지역 변수와 값 출력 
     info variables : 전역 변수와 값 출력
     info registers : 레지스터의 값 출력
     info frame: 스택 프레임 정보 출력
     info thread: 스레드별 정보 출력 

2.2. print 명령어

print/[출력 형식] (형 변환)[변수] : 특정 변수 값을 원하는 포맷으로 출력