스노트는 오픈소스 네트워크 IPS, IDS 기능을 하는 툴이다. 1998년에 개발되었고 현재 시스코 시스템즈가 소유중이다.
실시간 트래픽 분석과 IP에서의 패킷 로깅을 수행하는 능력을 갖고, 프로토콜 분석, 내용 검색, 매칭을 수행한다.
조사나 공격을 탐지하는데 사용될 수 있고, 그 공격으로는 TCP/IP 스택 핑거프린팅, 공용 게이트웨이 인터페이스, 버퍼 오버플로우, 서버 메시지 블록 조사, 스텔스 포트 스캔등이 있다.
스노트는 세 주요 모드로 설정될 수 있다. 스니퍼, 패킷 로거 그리고 네트워크 침입 탐지가 있다.
스니퍼 모드에서 프로그램은 네트워크 패킷을 읽고 콘솔에 보여준다.
패킷 로거 모드에서 프로그램은 패킷을 디스크에 기록한다.
침입 탐지 모드에서 프로그램은 네트워크 트래픽을 모니터하고 사용자에 의해 정의된 규칙에 반하는지를 분석한다.
프로그램은 그 후 특정한 동작을 수행한다.
1.
외부 네트워크의 어떤 포트에서 웹 서버의 웹 포트로 가는 tcp 패킷은 패스한다.
서버로 가는 패킷이며 이미 연결되어 있는 상태의 패킷이다.
탐지할 문자열은 |2e2e5C2e2e|이다.
2.
외부에서 어떤 포트에서 시작되어 웹 서버의 웹 포트로 가는 tcp 패킷인 경우 경고한다.
메시지는 WEB-IIS..이다
서버로 가는 패킷이며 이미 연결되어 있는 상태의 패킷이다.
탐지할 문자열은 |2e2e5C2e2e|이다.
자세한 내용은 bugtrag, 2218번과 cve의 CAN-199-0299를 참조하라.
클래스타입은 web-application-attack이다
룰번호(sid)는 974이며 6번째 버전이다.
3.
10.1.2.100에서 어떤 포트에서 시작되어 10.1.1.100 가는 tcp 패킷을 경우에 차단한다.
메시지는 SSH Brute Froce Attempt다.
서버로 가는 패킷이며 이미 연결되어 있는 상태의 패킷이다.
데이터의 0번째 문자열부터 4번째 문자열 사이에 탐지할 문자열인 SSH가 있는지 확인한다.
대소문자는 구별하지 않는다.
출발지 IP를 기준으로 60초 동안 30번 이후 발생된 이벤트를 기록한다.
기존에 있던 규칙을 바꿀 경우 제거하지 말고 주석처리한다.