【無料ツールで作るセキュアな環境(10)】〜snortのルールセットのメンテナンス〜(執筆:office、みっきー) | ScanNetSecurity
2026.05.24(日)

【無料ツールで作るセキュアな環境(10)】〜snortのルールセットのメンテナンス〜(執筆:office、みっきー)

 前回でsnortのプリプロセッサとルールを組み合わせて、不要なトラフィックを無視できる仕組みを紹介した。snortを運用してゆくために必要な操作法については、前回までの記事でほとんど十分である。

特集 特集
15 views
facebookLINE
 前回でsnortのプリプロセッサとルールを組み合わせて、不要なトラフィックを無視できる仕組みを紹介した。snortを運用してゆくために必要な操作法については、前回までの記事でほとんど十分である。

 ところが、ネットワーク上での攻撃や不正利用の手法は、他の技術の進歩と同様毎日のように新たな手法が考え出され、実行されている。snortのように予め記述されたルールに従って異常検出を行う構造を持つIDSは、ルールの設定後に開発された新たな手法による攻撃や不正利用を検出することができない。そのため、定期的なルールセットのメンテナンスがとても重要な意味を持つ。

 前回の予告で、ルールの作成法について解説すると約束したが、先にルールセットのメンテナンスについて解説しよう。

 snortのホームページ http://www.snort.org では、ほぼ毎週のように新しいルールセットが発表されており、それらは
http://www.snort.org/Database/rules.asp から入手することができる。ここで入手できるルールセットは、snortのアーカイブに含まれているルール
セットと若干構成が違っているので、使用にあたっては注意が要る。また現在提供されている最新のルールセットはsnort-1.7以降にのみ対応となってい
る。

 ルールセットを実際にダウンロードするには上記URLからリンクで辿るか、 http://www.snort.org/snort-files.htm#Rules へ直接訪れ、以下のようなリンクを探し出しす。ルールセットが新しいものかどうかは改訂した日付の記載から判断できる。

Snort.org Rulesets: snortrules.tar.gz
UPDATED RULESET RELEASED 03/28/2001

 [snortrules.tar.gz]をクリックしてルールアーカイブをダウンロードし、適当な作業用ディレクトリを作成してそこにsnortrules.tar.gzをコピーした後に解凍する。

# tar -xvzf snortrules.tar.gz

 今回入手したルールセットは以下のような構成を取っている。構成自体はsnort添付のルールセットと同様であるが、いくつかのジャンル構成が変更・追加されており、またファイル名が変更されている。それぞれのジャンルはファイル名から推測することが可能である。

 原稿執筆時で最新の03/28/2001のルールアーカイブには何故かメインとなるsnort.confが含まれておらず、 http://www.snort.org/snort-files.htm#Rules で公開しているsnort.confが指定している構成が違うため、03/01/2001の
snortrules.tar.gzを例として解説する。

snort.conf      ルールセットのメインファイル
 |−local.rules   使用者がカスタマイズしたルールを記載する
 |−exploit.rules  バッファーオーバーフロー等の攻撃検出用ルール
 |−scan.rules   さまざまなスキャン行為検出用ルール
 |−finger.rules  fingerを利用した不正行為検出用ルール
 |−ftp.rules    ftpを利用した不正行為検出用ルール
 |−telnet.rules  telnetを利用した不正行為検出用ルール
 |−smtp.rules   smtpを利用した不正行為検出用ルール
 |−rpc.rules    rpcを利用した不正行為検出用ルール
 |−rservices.rules r系のサービスを利用した不正行為検出用ルール
 |−backdoor.rules 様々なバックドアを検出するためのルール
 |−dos.rules    DoSを検出するためのルール
 |−ddos.rules   分散DoSを検出するためのルール
 |−dns.rules    dnsを利用した不正行為検出用ルール
 |−netbios.rules  netbios関係の検出用ルール
 |−web-cgi.rules  cgiを利用した不正行為検出用ルール
 |−web-coldfusion.rules
 |   WebアプリケーションサーバColdFusionへの不正行為検出用ルール |−web-frontpage.rules
 |   MS-Frontpageを悪用した行為の検出用ルール
 |−web-misc.rules httpに関するさまざまな不正行為検出用ルール
 |−web-iis.rules  MS-IISサーバに対する不正行為検出用ルール
 |−icmp.rules   icmpに対するスキャン行為等の検出用ルール
 |−misc.rules   tracerouteやrootkitその他の検出用ルール


office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/

詳しくはScan本誌をご覧下さい。
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

PageTop

アクセスランキング

  1. アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

    アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

  2. 経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

    経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

  3. ホクヨーにランサムウェア攻撃、システム障害発生するも現在は復旧

    ホクヨーにランサムウェア攻撃、システム障害発生するも現在は復旧

  4. 第一工業にランサムウェア攻撃、情報漏えいした蓋然性は低いものと判断

    第一工業にランサムウェア攻撃、情報漏えいした蓋然性は低いものと判断

  5. イレブンラボ利用の Udemy Business で情報漏えい「10年以上維持してきたドメインの信頼を守るべく法的措置を含めた厳正な対応を検討」

    イレブンラボ利用の Udemy Business で情報漏えい「10年以上維持してきたドメインの信頼を守るべく法的措置を含めた厳正な対応を検討」

ランキングをもっと見る
PageTop
ホーム 特集 特集 記事
TOP