linefilt

악성행위에 사용되는 페이로드 단일 패킷 사이즈에 존재 할 수도 있고 다양한 상황에 따라 패킷의 경계부분에 위치하여, 분할되는 경우가 있을 수 있다. 그렇기 때문에 IDS, IPS에서 특정 패턴을 검사하기 위해서 스트림 재 조합 기능은 반드시 필요한 기능이다. 물론 사용되는 모든 룰들이 재 조합 기능을 필요로 하는 것은 아니나, 특정 상황에서는 오로지 재 조합되지 않은 단일 패킷만 검출해서 확인해야 하는 경우도 있다. raw 기반 (Transport Layer) 재조합은 시퀀스 번호와 같이 4계층에서 순서를 정렬할 수 있는 TCP만 지원한다. 룰 제작 측면에서 suricata reassembly 설정에 대하여 확인하며, 본 글에서는 크게 3가지 항목으로 분류로 진행한다. TCP 스트림 재 조합 깊이 (de..

아래 글은 suricata 기준에서의 isdataat에 대한 동작 설명이다. isdataat은 특정 위치(커서)에 페이로드 값의 존재 여부를 검증하는데 사용된다. isdataat의 옵션으로 제공되는 relative는 마지막으로 매치된(룰 상에서 바로 좌측에 위치한) content로 부터 기준 하기 때문에 부분적인 길이를 매치하는데에도 사용할 수 있고 negate "!"를 통해서 페이로드가 존재하지 않은 경우에 대하여도 사용가능하다. 1. 페이로드의 길이 보장 관리자는 100바이트 크기를 가지는 Cookie 필드에 "userID=sysadmin" 라는 값이 있는 요청에 대하여 통계 내려고 할 때, (Cookie 헤더는 가장 마지막에 위치한다고 간주) "userID=sysadmin" 값은 Cookie 필드 ..