>>offset
○ packet의 data 파트에서 특정 offset 검사
○ ex) alert tcp 192.168.1.0/24 -> any any (content:"HTTP"; offset:4; msg: "HTTP matched";)
=> data가 시작되는 부분에서 4 bytes 떨어진 부분부터 HTTP 문자열 탐색
>>depth
○ data 부분에서 어디까지 검사할지 지정
○ ex) alert tcp 192.168.1.0/24 -> any any (content:"HTTP"; offset:4; depth=40; msg: "HTTP matched";)
=> TCP packet의 data 부분에서 4-40 offset에서 "HTTP" 문자열 검색
>>content-list
○ packet 내부에서 검사할 리스트 목록을 파일로 저장하여 지정
○ ex) alert ip any any -> 192.168.1.0/24 any (dsize:>6000; msg:"Large size IP packet detected";)
=> IP packet의 data size가 6000 bytes 이상일 경우 alert
>>flags
○ TCP header에 어떤 flag가 설정되어 있는지 검사
○ alert tcp any any -> 192.168.1.0/24 any (flag: SF; msg: "SYN-FIN packet detected";)
=> SYN-FIN TCP scan 탐지
>>nocase
○ 대소문자 구별 안함
>>priority
○ 해당 rule에 우선 순위 부여, "1"이 가장 높은 우선 순위
>>msg
○ 경고를 하거나 로깅을 하기 위한 문자열 지정
>>react
○ 특정 사이트나 서비스를 차단하기 위해 세션 종료 또는 특정 경고 메세지 사용자에게 전송
>>reference
○ 참고 정보에 대한 내용 기재
>>itype
○ ICMP packet의 type 필드 비교
'보안용어' 카테고리의 다른 글
| [보안용어]스푸핑(Spoofing) (0) | 2017.02.07 |
|---|---|
| ARP Spoofing Attack (0) | 2017.02.07 |
| NULL Byte Injection (0) | 2017.02.07 |
| SQL Injection (0) | 2017.02.07 |