IDSを使ったLinuxセキュリティアップ入門(8) | ScanNetSecurity
2022.05.20(金)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

IDSを使ったLinuxセキュリティアップ入門(8)

 前回、SnortをIDSモードで起動し、ネットワーク型IDSとして動作させてみた。すでに、指定したログフォルダ/var/log/snortには、いくつかのログファイルあるいはフォルダが作成されているはずだ。今回は、そのログファイルの中身を、もう少し詳しく見ていこう。

特集 特集
 前回、SnortをIDSモードで起動し、ネットワーク型IDSとして動作させてみた。すでに、指定したログフォルダ/var/log/snortには、いくつかのログファイルあるいはフォルダが作成されているはずだ。今回は、そのログファイルの中身を、もう少し詳しく見ていこう。


●アラートログの見方

 前回と同様、アラートログalertの内容の一例を以下に示す。実際のログでは、上下に空白行が1行とられワンブロックとなっている。このひとまとまりで1つのアラートメッセージを構成しており、このようなメッセージが多数記録されているのがアラートログである。なお、左端の数字は便宜的に付けた行番号で、実際のログにはないので注意して欲しい。

1:[**] [1:2003:2] MS-SQL Worm propagation attempt [**]
2:[Classification: Misc Attack] [Priority: 2]
3:04/06-17:42:22.683837 0:90:99:9C:CA:10 -> 0:7:40:24:2A:57 type:0x800 len:0x1A24:62.29.116.41:4604 -> 192.168.2.17:1434 UDP TTL:112 TOS:0x0 ID:56718 IpLen:20 DgmLen:4045:Len: 376
6:[Xref => http://vil.nai.com/vil/content/v_99992.htm][Xref => http://www.securityfocus.com/bid/5311][Xref => http://www.securityfocus.com/bid/5310]

 では、順に見ていこう。
 まず、1行目の「MS-SQL Worm propagation attempt」。前回、「Worm(ワーム)」という単語に注目するよう述べたが、これはまさに不正パケットによる攻撃の内容を表している。「MS-SQL Worm」とはMicrosoftのSQL Serverのセキュリティホールを突くワームである「Slammer」のことであり、この1行はSlammerの攻撃パケットを検出したことを意味しているのだ。

 2行目は、いわゆる攻撃タイプの分類を示している。「Misc Attack」は、侵入を目的とするさまざまな攻撃を包括的に示した分類といえる。「Priority: 2」とは、攻撃のレベルを表している。

 3行目には、攻撃のあった日時と不正パケットの送信元および送信先のMACアドレスが記録されている。攻撃の日時は4月6日の午後5時42分。MACアドレスは、「0:90:99:9C:CA:10 -> 0:7:40:24:2A:57」の部分である。MACアドレスは、攻撃の種類によっては表示されない場合もある。

 4行目に記録されているのが、不正パケットの送信元IPアドレスとポート番号、送信先IPアドレスとポート番号である。ログからは、62.29.116.41というIPアドレスのマシンの4604ポートから、不正パケットが送出されていることが分かる。送信先となっている192.168.2.17は、今回監視対象としたマシンのプライベートアドレスで、1434ポートが不正パケットの送信先である。

 Slammerの特徴は、不正パケットを1434ポートに送ってくるというものだが、パケット送信先(攻撃対象)が「192.168.2.17:1434」となっていることから、監視対象マシンがSlammerによって攻撃されたことが分かるだろう。

 その後ろに続くUDP以下5行目までは、プロトコルの種類やパケット長などのデータ類の記録である。UDPの文字から、UDPパケットであることが分かる。
 6行目は、この攻撃に関する詳細が載っているWebページの記載である。一度目を通しておくといいだろう。攻撃の種類によっては、この項目はない場合もある。

【執筆:磯野康孝】

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」にクロスサイトリクエストフォージェリの脆弱性 画像

EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」にクロスサイトリクエストフォージェリの脆弱性
サイボウズ Garoon に複数の脆弱性 画像

サイボウズ Garoon に複数の脆弱性
マイクロソフトが5月のセキュリティ情報公開、Windows LSA のなりすましの脆弱性は悪用の事実を確認済み 画像

マイクロソフトが5月のセキュリティ情報公開、Windows LSA のなりすましの脆弱性は悪用の事実を確認済み
Intel製品に複数の脆弱性 画像

Intel製品に複数の脆弱性
さくらインターネットを騙るフィッシングメールに注意喚起 画像

さくらインターネットを騙るフィッシングメールに注意喚起
Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report) 画像

Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report)

インシデント・事故 記事一覧へ

クラウド管理の採用活動に関わる個人情報、公開設定を誤り最長6年間 外部から閲覧可能に 画像

クラウド管理の採用活動に関わる個人情報、公開設定を誤り最長6年間 外部から閲覧可能に
順天堂医院の医師が電車内にパソコンを置き忘れ紛失、所属長から厳重注意 画像

順天堂医院の医師が電車内にパソコンを置き忘れ紛失、所属長から厳重注意
FRONTEOの米国子会社でランサムウェアと見られる不正アクセスを確認 画像

FRONTEOの米国子会社でランサムウェアと見られる不正アクセスを確認
他企業からの不審メールで南三陸まなびの里いりやどのパソコンがEmotet感染 画像

他企業からの不審メールで南三陸まなびの里いりやどのパソコンがEmotet感染
ソーシャルログインで「STAYNAVI」で他の利用者の登録情報が閲覧可能に 画像

ソーシャルログインで「STAYNAVI」で他の利用者の登録情報が閲覧可能に
サカイ引越センターで個人情報の不適切な取り扱い、見積書を持ち出し一般ごみとして廃棄 画像

サカイ引越センターで個人情報の不適切な取り扱い、見積書を持ち出し一般ごみとして廃棄

調査・レポート・白書 記事一覧へ

産業化するランサムウェア ~ 被害インパクトは攻撃者のスキル高低と関係がない 画像

産業化するランサムウェア ~ 被害インパクトは攻撃者のスキル高低と関係がない
OSSのセキュリティ確保事例、トヨタやソニー、デンソー、サイボウズ、ヤフー他 画像

OSSのセキュリティ確保事例、トヨタやソニー、デンソー、サイボウズ、ヤフー他
CrowdStrike 、Dockerを標的にしたクリプトマイニングオペレーション「LemonDuck」を解説 画像

CrowdStrike 、Dockerを標的にしたクリプトマイニングオペレーション「LemonDuck」を解説
トレンドマイクロ「国内標的型攻撃分析レポート2022年版」公開、4つのグループの特徴を整理 画像

トレンドマイクロ「国内標的型攻撃分析レポート2022年版」公開、4つのグループの特徴を整理
97%の組織が「Kubernetes」のセキュリティに懸念、VMware調査 画像

97%の組織が「Kubernetes」のセキュリティに懸念、VMware調査
米国はじめ5ヶ国のサイバーセキュリティ当局、攻撃者が悪用する脆弱性トップ15を公表 画像

米国はじめ5ヶ国のサイバーセキュリティ当局、攻撃者が悪用する脆弱性トップ15を公表

研修・セミナー・カンファレンス 記事一覧へ

楽天ウォレット CIO が語る暗号資産保護のポイント 画像

楽天ウォレット CIO が語る暗号資産保護のポイント
GMOサイバーセキュリティ byイエラエ、CODE BLUE 2022のトップスポンサーに 画像

GMOサイバーセキュリティ byイエラエ、CODE BLUE 2022のトップスポンサーに
2022年度の「実践サイバー演習 RPCI」の受付開始 画像

2022年度の「実践サイバー演習 RPCI」の受付開始
強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論 画像

強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論
近未来の日本周辺の有事とデジタル庁のガイドライン そして4人の“ベテラン”達 ~ Security Leaders Conference 2022 春 画像

近未来の日本周辺の有事とデジタル庁のガイドライン そして4人の“ベテラン”達 ~ Security Leaders Conference 2022 春
情報セキュリティ大学院大学、5月28日に「2022春季オープンキャンパス」開催 画像

情報セキュリティ大学院大学、5月28日に「2022春季オープンキャンパス」開催

製品・サービス・業界動向 記事一覧へ

イエラエ CSIRT支援室 第 24 回 システムに侵入したあと、ペンテスターは何を調査・探索しているのか? 画像

イエラエ CSIRT支援室 第 24 回 システムに侵入したあと、ペンテスターは何を調査・探索しているのか?
クラウド、エッジ、オンプレミス環境にあるコンピューティング資産の信頼性をインテルの「Project Amber」が検証 画像

クラウド、エッジ、オンプレミス環境にあるコンピューティング資産の信頼性をインテルの「Project Amber」が検証
ラック、2022年3月期の通期決算を発表 画像

ラック、2022年3月期の通期決算を発表
2022年1月改訂のFIRSTの加盟手続きをJPCERT/CCが解説 画像

2022年1月改訂のFIRSTの加盟手続きをJPCERT/CCが解説
「LogStare Collector」新バージョン2.3.0リリース、WindowsのディスクI/Oの監視に対応 画像

「LogStare Collector」新バージョン2.3.0リリース、WindowsのディスクI/Oの監視に対応
佐々木良一氏によるメタバース上のセキュリティ課題整理 画像

佐々木良一氏によるメタバース上のセキュリティ課題整理

おしらせ 記事一覧へ

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Scan PREMIUM 創刊23周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊23周年記念キャンペーン実施中
ScanNetSecurity 創刊23周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊23周年御礼の辞(上野宣)
セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×