[스노트/Snort] HTTP Inspection Preprocessor에 의한 URI normalization 처리
IT 생활/IPS & Snort 2013. 2. 18. 17:21Snort는 다양한 전처리기(Preprocessor)를 제공 함으로써 여러가지 패킷 전처리 기능을 수행합니다.
HTTP Inspection 은 HTTP 패킷의 URI에서 encode된 값을 찾아 decode하는 작업을 수행하게 됩니다.
기본적으로 패킷을 decode하지 못하면 공격 명령을 encode함으로써 간단하게 Snort와 같은 IPS/IDS를 우회할 수 있게 됩니다.
이런 우회 패킷에 대한 탐지를 수행하기 위해 꼭 필요한 HTTP Inspection 모듈의 정규화 과정에 대해 알아봅시다.
HTTP Inspection Preprocessor에서는 HTTP패킷이 들어오면 기본적으로 다음과 같은 순서로 정규화 처리를 수행합니다.
HTTP Inspection에 의해 설정에 따라 최대 2번 까지 '%' decode를 수행합니다.
또한, 설정에 따라 unicode 및 '%U' decode를 수행 할 수 있습니다.
'decode'나 '정규화'가 뭘 의미하는지 잘 모르시는 분들은 이 글을 보시면 됩니다.
[스노트-snort] HTTP Inspection 전처리기의 모든 것
혹시 잘못된 정보가 있거나 궁금한 점이 있으시면 댓글 남겨주세요~ ^^
'IT 생활 > IPS & Snort' 카테고리의 다른 글
| [스노트/snort] 스노트 룰(시그니처) 작성시 주의 할 PCRE modifier(변경자) (0) | 2012.12.14 |
|---|---|
| [스노트/Snort] 시그니처 룰 테이블 구조와 패턴 매칭 순서 (16) | 2012.11.01 |
| 스노트(Snort)를 위협하는 IPS시장의 신 강자 수리카타(Suricata) (0) | 2012.10.23 |
| [스노트-Snort] 시그니처 content 옵션 이해하기 (43) | 2012.08.22 |
| [스노트-snort] HTTP Inspection 전처리기의 모든 것 (0) | 2012.08.16 |
