Content 옵션
: 페이로드에서 지정한 문자열/URL/바이트 패턴을 탐지할 때 사용됨
파일 다운로드/업로드 요청에서 특정 확장자나 파일 서명을 탐지할 때도 사용됨
이외에도 HTTP 파라미터, 쿠키 값, 애플리케이션 계층에서 데이터 패턴을 탐지할때 사용
사용형식
: 콜론 뒤에 큰 따옴표로 감싼 문자열이 들어감
문자열은 탐지할 대상, !느낌표는 제외할 대상
Modifier 수정자 종류
| nocase | 대소문 구분 X |
| rawbytes | 디코딩되지 않은 원시 바이트 기준으로 탐 |
| offset | 지정된 바이트 위치 이후부터 문자열 탐지 |
| depth | 페이로드 처음부터 설정된 바이트 수까지만 탐지 |
| distance | 이전 탐지 키워드가 일치한 위치 이후부터 바이트를 건너뛰고 탐지 |
| within | 이전 탐지 키워드가 일치한 위치 이후부터 지정된 바이트 수 이내에서만 탐지 |
탐지 룰 예시
alert tcp any any -> any any (msg:"USER root detected"; content: "USER root"; sid:1000001;)페이로드에 "USER root"라는 아스키 문자열이 포함된 패킷을 탐지한다는 뜻
HTTP 요청 메시지 케이스
| 이더넷 헤더 | IP 헤더 | TCP 헤더 | HTTP 헤더 | 페이로드 |
HTTP 헤더에는 요청 메서드, URI, 프로토콜, 쿠키 등의 필드가 포함되어 있음
페이로드에는 내용이나 계정의 ID, 패스워드 등 정보가 있다
HTTP 요청 메시지의 경우에는 일반 사용자나 공격 사용자 모두 같은 구조임 (당연함
메시지 역시 정상/공격이 같은 구조여서 WAF는 메시지 내부 영역을 정밀 분석해야
악성여부를 판단해서 차단할 수 있음
HTTP 응답 메시지 케이스
이미 아는 내용이라 대략 정리만 하고 넘어가야겠당
요청이랑 다르게 응답 메시지에는 상태코드가 포함된다(200, 404, 500 ..)
Body에 있는 소스코드들이 웹 브라우저에서 렌더링되어서 우리가 아는 모습으로 표시됨
이제 실습으로 넘어가자
'Defensive' 카테고리의 다른 글
| Snort :: 신뢰하지 않는 출처의 관리자 페이지 접근 탐지 (0) | 2025.09.17 |
|---|---|
| Snort IDS 기본 구조 :: 룰셋의 배치 방식, 구조와 예시 (0) | 2025.09.16 |
| [엔드포인트보안] Wazuh 로그 분석 실습 (1) | 2025.08.20 |
| [엔드포인트보안] 리눅스 로그 (7) | 2025.08.18 |
| [엔드포인트보안] Wazuh 아키텍처와 역할 (2) | 2025.08.12 |