●侵入検知の実際(1)〜 ログの内容 さて、侵入検知の検証に移ろう。Snortをスタートさせ、ものの数分も経つと、タスクトレイにあるIDScenterのアイコンが赤く点滅する。このアイコンをダブルクリックすると、Alert log viewerが開きログの内容が表示されるはずだ。(※1)※1:アラートログの例http://vagabond.co.jp/c2/scan/snort010.gif 記録されたログからいくつかピックアップし、アラートの中身を簡単に説明しよう。通常、以下のような形でアラートが記録されていく。 なお、左端の番号は便宜的に振った行番号で、実際のログにはない。<例 1>1. [**] [1:2003:2] MS-SQL Worm propagation attempt [**]2. [Classification: Misc Attack] [Priority: 2] 3. 05/17-14:11:20.101430 XXX.XXX.161.137:1126 -> 192.168.2.105:14344. UDP TTL:107 TOS:0x0 ID:54230 IpLen:20 DgmLen:4045. Len: 3846. [Xref => url vil.nai.com/vil/content/v_99992.htm][Xref => bugtraq 5311][Xref => bugtraq 5310] まず、1行目の「MS-SQL Worm propagation attempt」だが、これは不正パケットによる攻撃の内容を表している。ここでは「MS-SQL Worm」に注目してほしい。これは、MicrosoftのSQL Serverのセキュリティホールを突くワーム、「Slammer」の攻撃パケットを検出したことを意味している。 2行目は、いわゆる攻撃タイプの分類だ。「Misc Attack」は、侵入を目的とするさまざまな攻撃を包括的に示した分類である。 3行目は、攻撃のあった日時、そして、不正パケットの送信元のIPアドレス+ポート番号と送信先のIPアドレス+ポート番号である。ちなみに、送信先となっている192.168.2.105は、検証マシンのプライベートネットワークアドレスだ。Slammerは1434ポートに不正パケットを送ってくるが、まさに、検証マシンの1434ポートが攻撃されているのが分かる。 攻撃のタイプによっては、IPアドレスの前に、次のようなMACアドレスが記録される場合もある。05/29-23:57:46.505302 0:90:99:9C:CA:10 -> 0:0:0:0:0:7B type:0x800 len:0x3EXXX.XXX.134.147:2204 -> 192.168.2.105:1080 4、5行目は、プロトコルの種類やパケット長などのデータ類である。 6行目は、この攻撃に関する詳細が載っているWebページなどの記載だ。ない場合もあるが、あれば一度目を通しておくといい。【執筆:磯野康孝】「無料セキュリティツールで構築するセキュアな環境 No.1」 〜ZoneAlarm−snort〜http://shop.vagabond.co.jp/p-fss01.shtmlhttp://www.d-pub.co.jp/cgi-bin/bannou/shop/book_detail.cgi(詳しくはScan本誌をご覧ください)http://shop.vagabond.co.jp/m-ssw01.shtml
