前回、SnortをIDSモードで起動し、ネットワーク型IDSとして動作させてみた。すでに、指定したログフォルダ/var/log/snortには、いくつかのログファイルあるいはフォルダが作成されているはずだ。今回は、そのログファイルの中身を、もう少し詳しく見ていこう。●アラートログの見方 前回と同様、アラートログalertの内容の一例を以下に示す。実際のログでは、上下に空白行が1行とられワンブロックとなっている。このひとまとまりで1つのアラートメッセージを構成しており、このようなメッセージが多数記録されているのがアラートログである。なお、左端の数字は便宜的に付けた行番号で、実際のログにはないので注意して欲しい。1:[**] [1:2003:2] MS-SQL Worm propagation attempt [**]2:[Classification: Misc Attack] [Priority: 2] 3:04/06-17:42:22.683837 0:90:99:9C:CA:10 -> 0:7:40:24:2A:57 type:0x800 len:0x1A24:62.29.116.41:4604 -> 192.168.2.17:1434 UDP TTL:112 TOS:0x0 ID:56718 IpLen:20 DgmLen:4045:Len: 3766:[Xref => http://vil.nai.com/vil/content/v_99992.htm][Xref => http://www.securityfocus.com/bid/5311][Xref => http://www.securityfocus.com/bid/5310] では、順に見ていこう。 まず、1行目の「MS-SQL Worm propagation attempt」。前回、「Worm(ワーム)」という単語に注目するよう述べたが、これはまさに不正パケットによる攻撃の内容を表している。「MS-SQL Worm」とはMicrosoftのSQL Serverのセキュリティホールを突くワームである「Slammer」のことであり、この1行はSlammerの攻撃パケットを検出したことを意味しているのだ。 2行目は、いわゆる攻撃タイプの分類を示している。「Misc Attack」は、侵入を目的とするさまざまな攻撃を包括的に示した分類といえる。「Priority: 2」とは、攻撃のレベルを表している。 3行目には、攻撃のあった日時と不正パケットの送信元および送信先のMACアドレスが記録されている。攻撃の日時は4月6日の午後5時42分。MACアドレスは、「0:90:99:9C:CA:10 -> 0:7:40:24:2A:57」の部分である。MACアドレスは、攻撃の種類によっては表示されない場合もある。 4行目に記録されているのが、不正パケットの送信元IPアドレスとポート番号、送信先IPアドレスとポート番号である。ログからは、62.29.116.41というIPアドレスのマシンの4604ポートから、不正パケットが送出されていることが分かる。送信先となっている192.168.2.17は、今回監視対象としたマシンのプライベートアドレスで、1434ポートが不正パケットの送信先である。 Slammerの特徴は、不正パケットを1434ポートに送ってくるというものだが、パケット送信先(攻撃対象)が「192.168.2.17:1434」となっていることから、監視対象マシンがSlammerによって攻撃されたことが分かるだろう。 その後ろに続くUDP以下5行目までは、プロトコルの種類やパケット長などのデータ類の記録である。UDPの文字から、UDPパケットであることが分かる。 6行目は、この攻撃に関する詳細が載っているWebページの記載である。一度目を通しておくといいだろう。攻撃の種類によっては、この項目はない場合もある。【執筆:磯野康孝】(詳しくはScan本誌をご覧ください)http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
