IDSを使った侵入検知(8) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.07.19(木)

IDSを使った侵入検知(8)

特集 特集

●侵入検知の実際(1)〜 ログの内容

 さて、侵入検知の検証に移ろう。Snortをスタートさせ、ものの数分も経つと、タスクトレイにあるIDScenterのアイコンが赤く点滅する。このアイコンをダブルクリックすると、Alert log viewerが開きログの内容が表示されるはずだ。(※1)

※1:アラートログの例
http://vagabond.co.jp/c2/scan/snort010.gif


 記録されたログからいくつかピックアップし、アラートの中身を簡単に説明しよう。通常、以下のような形でアラートが記録されていく。
 なお、左端の番号は便宜的に振った行番号で、実際のログにはない。

<例 1>
1. [**] [1:2003:2] MS-SQL Worm propagation attempt [**]
2. [Classification: Misc Attack] [Priority: 2]
3. 05/17-14:11:20.101430 XXX.XXX.161.137:1126 -> 192.168.2.105:1434
4. UDP TTL:107 TOS:0x0 ID:54230 IpLen:20 DgmLen:404
5. Len: 384
6. [Xref => url vil.nai.com/vil/content/v_99992.htm][Xref => bugtraq 5311][Xref => bugtraq 5310]

 まず、1行目の「MS-SQL Worm propagation attempt」だが、これは不正パケットによる攻撃の内容を表している。ここでは「MS-SQL Worm」に注目してほしい。これは、MicrosoftのSQL Serverのセキュリティホールを突くワーム、「Slammer」の攻撃パケットを検出したことを意味している。

 2行目は、いわゆる攻撃タイプの分類だ。「Misc Attack」は、侵入を目的とするさまざまな攻撃を包括的に示した分類である。

 3行目は、攻撃のあった日時、そして、不正パケットの送信元のIPアドレス+ポート番号と送信先のIPアドレス+ポート番号である。ちなみに、送信先となっている192.168.2.105は、検証マシンのプライベートネットワークアドレスだ。Slammerは1434ポートに不正パケットを送ってくるが、まさに、検証マシンの1434ポートが攻撃されているのが分かる。


 攻撃のタイプによっては、IPアドレスの前に、次のようなMACアドレスが記録される場合もある。

05/29-23:57:46.505302 0:90:99:9C:CA:10 -> 0:0:0:0:0:7B type:0x800 len:0x3EXXX.XXX.134.147:2204 -> 192.168.2.105:1080

 4、5行目は、プロトコルの種類やパケット長などのデータ類である。
 6行目は、この攻撃に関する詳細が載っているWebページなどの記載だ。ない場合もあるが、あれば一度目を通しておくといい。


【執筆:磯野康孝】


「無料セキュリティツールで構築するセキュアな環境 No.1」
 〜ZoneAlarm−snort〜
http://shop.vagabond.co.jp/p-fss01.shtml

http://www.d-pub.co.jp/cgi-bin/bannou/shop/book_detail.cgi


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×