IDSを使った侵入検知(8) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

IDSを使った侵入検知(8)

特集 特集

●侵入検知の実際(1)〜 ログの内容

 さて、侵入検知の検証に移ろう。Snortをスタートさせ、ものの数分も経つと、タスクトレイにあるIDScenterのアイコンが赤く点滅する。このアイコンをダブルクリックすると、Alert log viewerが開きログの内容が表示されるはずだ。(※1)

※1:アラートログの例
http://vagabond.co.jp/c2/scan/snort010.gif


 記録されたログからいくつかピックアップし、アラートの中身を簡単に説明しよう。通常、以下のような形でアラートが記録されていく。
 なお、左端の番号は便宜的に振った行番号で、実際のログにはない。

<例 1>
1. [**] [1:2003:2] MS-SQL Worm propagation attempt [**]
2. [Classification: Misc Attack] [Priority: 2]
3. 05/17-14:11:20.101430 XXX.XXX.161.137:1126 -> 192.168.2.105:1434
4. UDP TTL:107 TOS:0x0 ID:54230 IpLen:20 DgmLen:404
5. Len: 384
6. [Xref => url vil.nai.com/vil/content/v_99992.htm][Xref => bugtraq 5311][Xref => bugtraq 5310]

 まず、1行目の「MS-SQL Worm propagation attempt」だが、これは不正パケットによる攻撃の内容を表している。ここでは「MS-SQL Worm」に注目してほしい。これは、MicrosoftのSQL Serverのセキュリティホールを突くワーム、「Slammer」の攻撃パケットを検出したことを意味している。

 2行目は、いわゆる攻撃タイプの分類だ。「Misc Attack」は、侵入を目的とするさまざまな攻撃を包括的に示した分類である。

 3行目は、攻撃のあった日時、そして、不正パケットの送信元のIPアドレス+ポート番号と送信先のIPアドレス+ポート番号である。ちなみに、送信先となっている192.168.2.105は、検証マシンのプライベートネットワークアドレスだ。Slammerは1434ポートに不正パケットを送ってくるが、まさに、検証マシンの1434ポートが攻撃されているのが分かる。


 攻撃のタイプによっては、IPアドレスの前に、次のようなMACアドレスが記録される場合もある。

05/29-23:57:46.505302 0:90:99:9C:CA:10 -> 0:0:0:0:0:7B type:0x800 len:0x3EXXX.XXX.134.147:2204 -> 192.168.2.105:1080

 4、5行目は、プロトコルの種類やパケット長などのデータ類である。
 6行目は、この攻撃に関する詳細が載っているWebページなどの記載だ。ない場合もあるが、あれば一度目を通しておくといい。


【執筆:磯野康孝】


「無料セキュリティツールで構築するセキュアな環境 No.1」
 〜ZoneAlarm−snort〜
http://shop.vagabond.co.jp/p-fss01.shtml

http://www.d-pub.co.jp/cgi-bin/bannou/shop/book_detail.cgi


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

  10. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×