【無料ツールで作るセキュアな環境(15)】〜snortのlog 1〜(執筆:office、みっきー) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

【無料ツールで作るセキュアな環境(15)】〜snortのlog 1〜(執筆:office、みっきー)

特集 特集

 前回までsnortを動作させるための設定方法を主に解説してきた。今回からは少し趣向をかえて、snortが出力するログを読む方法について解説しよう。
 snortを標準の状態で運用すると、/var/log/snortに以下のような形式で、ルールにマッチしたトラフィックを記録してゆく。

172.16.102.126 172.16.205.162 172.17.120.12 alert
172.21.118.69 172.25.47.89 172.29.12.115

 他にも、portscanのプリプロセッサを有効にしていれば、プリプロセッサで渡したパラメータで指定されたファイルにポートスキャンのログを保存する。

 もしもsnortを設置したホストに対して、外部よりスキャンや攻撃などが行われていれば、snortは/var/log/alertファイルにいくつかのアラートを記録する。

 たとえば下のアラートは、172.25.47.89が192.168.0.1のftpサーバにアクセスしようとしたが、不正な認証情報であったため、Login incorrectメッセージと共にアクセスが拒否されたことを示すものである。

[**] IDS364 - FTP - Bad Login [**]
02/28-23:54:20.725354 192.168.0.1:21 -> 172.25.47.89:2743
TCP TTL:64 TOS:0x10 ID:28152 IpLen:20 DgmLen:74 DF
***AP*** Seq: 0x78AB69A1 Ack: 0x77C687DF Win: 0x7D78 TcpLen: 32
TCP Options (3) => NOP NOP TS: 79087804 134385968

1行目はアラートのメッセージである。これはftpサーバ上で認証エラーが発生したことを検出したことを示している。続く2行目に該当するトラフィックを検出した時間、送信元、受信先のホストそれぞれのIPアドレスとサービス番号が記録されている。以降の行にはそのパケットのシーケンス番号やパケット長などの詳しい情報が記録されている。

 また、-d オプションを使用してsnortを起動しているのであれば、/var/log/snort/172.25.47.89/のように通信先のIPアドレスを名前としたディレクトリが作成され、その配下に下のようにアラートと共にアプリケーションレイヤのデータを記録したファイルが作成される。

[**] IDS364 - FTP - Bad Login [**]
02/28-23:54:20.725354 210.161.204.218:21 -> 211.252.31.66:2743
TCP TTL:64 TOS:0x10 ID:28152 IpLen:20 DgmLen:74 DF
***AP*** Seq: 0x78AB69A1 Ack: 0x77C687DF Win: 0x7D78 TcpLen: 32
TCP Options (3) => NOP NOP TS: 79087804 134385968
35 33 30 20 4C 6F 67 69 6E 20 69 6E 63 6F 72 72 530 Login incorr
65 63 74 2E 0D 0A ect...

 このファイルを参照することにより、そのアラートの元となったトラフィック内にどのようなデータが流れていたのかを知ることができる。

 通常の管理であれば、これらのalertファイルに目を通して、不信なアラートに注意するだけで良い。

 ところが困ったことに、alertファイルに記録されるアラートは全てが不正行為ではない。通信元に不正行為の意識がなくとも偶然ルールセットの条件にマッチしてしまい、アラートとして記録されてしまう場合も多々ある。いわゆる誤検知と呼ばれるものである。

office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/

詳しくはScan本誌をご覧下さい
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  5. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×