IDSを使ったLinuxセキュリティアップ入門(8) | ScanNetSecurity
2019.12.14(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

IDSを使ったLinuxセキュリティアップ入門(8)

 前回、SnortをIDSモードで起動し、ネットワーク型IDSとして動作させてみた。すでに、指定したログフォルダ/var/log/snortには、いくつかのログファイルあるいはフォルダが作成されているはずだ。今回は、そのログファイルの中身を、もう少し詳しく見ていこう。

特集 特集
 前回、SnortをIDSモードで起動し、ネットワーク型IDSとして動作させてみた。すでに、指定したログフォルダ/var/log/snortには、いくつかのログファイルあるいはフォルダが作成されているはずだ。今回は、そのログファイルの中身を、もう少し詳しく見ていこう。


●アラートログの見方

 前回と同様、アラートログalertの内容の一例を以下に示す。実際のログでは、上下に空白行が1行とられワンブロックとなっている。このひとまとまりで1つのアラートメッセージを構成しており、このようなメッセージが多数記録されているのがアラートログである。なお、左端の数字は便宜的に付けた行番号で、実際のログにはないので注意して欲しい。

1:[**] [1:2003:2] MS-SQL Worm propagation attempt [**]
2:[Classification: Misc Attack] [Priority: 2]
3:04/06-17:42:22.683837 0:90:99:9C:CA:10 -> 0:7:40:24:2A:57 type:0x800 len:0x1A24:62.29.116.41:4604 -> 192.168.2.17:1434 UDP TTL:112 TOS:0x0 ID:56718 IpLen:20 DgmLen:4045:Len: 376
6:[Xref => http://vil.nai.com/vil/content/v_99992.htm][Xref => http://www.securityfocus.com/bid/5311][Xref => http://www.securityfocus.com/bid/5310]

 では、順に見ていこう。
 まず、1行目の「MS-SQL Worm propagation attempt」。前回、「Worm(ワーム)」という単語に注目するよう述べたが、これはまさに不正パケットによる攻撃の内容を表している。「MS-SQL Worm」とはMicrosoftのSQL Serverのセキュリティホールを突くワームである「Slammer」のことであり、この1行はSlammerの攻撃パケットを検出したことを意味しているのだ。

 2行目は、いわゆる攻撃タイプの分類を示している。「Misc Attack」は、侵入を目的とするさまざまな攻撃を包括的に示した分類といえる。「Priority: 2」とは、攻撃のレベルを表している。

 3行目には、攻撃のあった日時と不正パケットの送信元および送信先のMACアドレスが記録されている。攻撃の日時は4月6日の午後5時42分。MACアドレスは、「0:90:99:9C:CA:10 -> 0:7:40:24:2A:57」の部分である。MACアドレスは、攻撃の種類によっては表示されない場合もある。

 4行目に記録されているのが、不正パケットの送信元IPアドレスとポート番号、送信先IPアドレスとポート番号である。ログからは、62.29.116.41というIPアドレスのマシンの4604ポートから、不正パケットが送出されていることが分かる。送信先となっている192.168.2.17は、今回監視対象としたマシンのプライベートアドレスで、1434ポートが不正パケットの送信先である。

 Slammerの特徴は、不正パケットを1434ポートに送ってくるというものだが、パケット送信先(攻撃対象)が「192.168.2.17:1434」となっていることから、監視対象マシンがSlammerによって攻撃されたことが分かるだろう。

 その後ろに続くUDP以下5行目までは、プロトコルの種類やパケット長などのデータ類の記録である。UDPの文字から、UDPパケットであることが分かる。
 6行目は、この攻撃に関する詳細が載っているWebページの記載である。一度目を通しておくといいだろう。攻撃の種類によっては、この項目はない場合もある。

【執筆:磯野康孝】

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「Athenz」にフィッシングなどに遭う脆弱性(JVN) 画像

「Athenz」にフィッシングなどに遭う脆弱性(JVN)
WordPress用プラグイン「Custom Body Class」に複数の脆弱性(JVN) 画像

WordPress用プラグイン「Custom Body Class」に複数の脆弱性(JVN)
アカウント更新や口座の制限解除を理由に誘導する、みずほ銀行偽メール(フィッシング対策協議会) 画像

アカウント更新や口座の制限解除を理由に誘導する、みずほ銀行偽メール(フィッシング対策協議会)
マイクロソフトが12月のセキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC) 画像

マイクロソフトが12月のセキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)
Appleが7製品11バージョンのセキュリティアップデートを公開(JVN) 画像

Appleが7製品11バージョンのセキュリティアップデートを公開(JVN)
Intelが複数の製品に対するアップデートを公開(JVN) 画像

Intelが複数の製品に対するアップデートを公開(JVN)

インシデント・事故 記事一覧へ

FAX誤送信、顧客の貯金残高等が流出(JA高知県) 画像

FAX誤送信、顧客の貯金残高等が流出(JA高知県)
「グラマシーニューヨークオンラインショップ」に不正アクセス、カード情報3,312件が流出(プレジィール) 画像

「グラマシーニューヨークオンラインショップ」に不正アクセス、カード情報3,312件が流出(プレジィール)
別人の遺児手当所得状況届を同封し誤送付、発送時ダブルチェックも見逃す(名古屋市) 画像

別人の遺児手当所得状況届を同封し誤送付、発送時ダブルチェックも見逃す(名古屋市)
同一町内で苗字が同じ別人へ書類誤配布、今後「指差喚呼」を徹底(名古屋市) 画像

同一町内で苗字が同じ別人へ書類誤配布、今後「指差喚呼」を徹底(名古屋市)
再利用封筒内に書類が残入、会費収納済通知書を別人に誤配(新潟県) 画像

再利用封筒内に書類が残入、会費収納済通知書を別人に誤配(新潟県)
水防警報伝達メール誤送信、過去3ヶ月間に16回発生(新潟県) 画像

水防警報伝達メール誤送信、過去3ヶ月間に16回発生(新潟県)

調査・レポート・白書 記事一覧へ

ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト) 画像

ペネトレーションテストを明確に定義、事例も掲載したドキュメント公開(脆弱性診断士スキルマッププロジェクト)
3割のフィッシング詐欺サイトがHTTPS、教育,暗号通貨,ストリーミングジャンルが上位(ウェブルート) 画像

3割のフィッシング詐欺サイトがHTTPS、教育,暗号通貨,ストリーミングジャンルが上位(ウェブルート)
個人認証とアクセス管理型セキュリティ市場、2019年度は695億円弱に(ミック経済研究所) 画像

個人認証とアクセス管理型セキュリティ市場、2019年度は695億円弱に(ミック経済研究所)
「ATP10」の活動は収束するも他のグループは活発--J-CRATレポート(IPA) 画像

「ATP10」の活動は収束するも他のグループは活発--J-CRATレポート(IPA)
2018年度国内IT市場規模12兆4,930億円、今後も堅調維持(矢野経済研究所) 画像

2018年度国内IT市場規模12兆4,930億円、今後も堅調維持(矢野経済研究所)
日本企業の9割、自社のセキュリティ対策「低い」(パロアルトネットワークス) 画像

日本企業の9割、自社のセキュリティ対策「低い」(パロアルトネットワークス)

研修・セミナー・カンファレンス 記事一覧へ

KOOV(R)を使用した「親子でプログラミング」レポート(トレンドマイクロ) 画像

KOOV(R)を使用した「親子でプログラミング」レポート(トレンドマイクロ)
SNS上で犯罪行為をほのめかす投稿、ユーザー参加型イベントを中止(バンダイナムコオンライン) 画像

SNS上で犯罪行為をほのめかす投稿、ユーザー参加型イベントを中止(バンダイナムコオンライン)
PCI DSSの要件となる脆弱性スキャンとペネトレーションテストを2日間で学ぶ(fjコンサルティング) 画像

PCI DSSの要件となる脆弱性スキャンとペネトレーションテストを2日間で学ぶ(fjコンサルティング)
企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと 画像

企業は賞金稼ぎとどう向き合えばいいのか ~ バグバウンティを考えるなら知っておきたいこと
クラウド時代が C2 サーバーの「見えない化」加速、DNS,AWS,Azure,GCP の悪用 画像

クラウド時代が C2 サーバーの「見えない化」加速、DNS,AWS,Azure,GCP の悪用
「Trend Micro CTF 2019」、ポーランドの「p4」が初優勝(トレンドマイクロ) 画像

「Trend Micro CTF 2019」、ポーランドの「p4」が初優勝(トレンドマイクロ)

製品・サービス・業界動向 記事一覧へ

サプライチェーン含むセキュリティ指針の監査支援サービス(ニュートン・コンサルティング) 画像

サプライチェーン含むセキュリティ指針の監査支援サービス(ニュートン・コンサルティング)
「IIJセキュアエンドポイントサービス」にEDR機能のオプション(IIJ) 画像

「IIJセキュアエンドポイントサービス」にEDR機能のオプション(IIJ)
サイバーセキュリティセンター開設、スペシャリスト育成と研究に活用(日立ほか) 画像

サイバーセキュリティセンター開設、スペシャリスト育成と研究に活用(日立ほか)
Instagramの安全な使い方や機能を学べるガイドを配布(Facebook) 画像

Instagramの安全な使い方や機能を学べるガイドを配布(Facebook)
脅威インテリジェンスの一部機能を無償提供、ファイルやURLを分析可能(カスペルスキー) 画像

脅威インテリジェンスの一部機能を無償提供、ファイルやURLを分析可能(カスペルスキー)
UTMのマネージドサービス、FortiGateとPAシリーズ対象(エイチ・シー・ネットワークス) 画像

UTMのマネージドサービス、FortiGateとPAシリーズ対象(エイチ・シー・ネットワークス)

おしらせ 記事一覧へ

ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了) 画像

【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了)
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×