【無料ツールで作るセキュアな環境(12)】 〜snortのルール作成:ルールヘッダ部〜(執筆:office、みっきー) | ScanNetSecurity
2024.05.06(月)

【無料ツールで作るセキュアな環境(12)】 〜snortのルール作成:ルールヘッダ部〜(執筆:office、みっきー)

 前回ではsnortのルールセットのメンテナンスについて解説をおこなった。今回記事からは独自にルールそのものを作成するための手法を解説しよう。ルールを作成するとなると、TCP/IPの知識が多少必要であり、解説も少々長くなる。今回はルールヘッダ部についての解説であ

特集 特集
facebookLINE
 前回ではsnortのルールセットのメンテナンスについて解説をおこなった。今回記事からは独自にルールそのものを作成するための手法を解説しよう。ルールを作成するとなると、TCP/IPの知識が多少必要であり、解説も少々長くなる。今回はルールヘッダ部についての解説である。

 まず最初にルールの文法について説明する。snortのルールは次のサンプルの様に記述される。個々のsnortのルールはかならず1行内に収めなければならない。

alert tcp any any -> 192.168.0.0/24 23 (content:"passwd"; msg:"passwd was detected";)

 snortのルールは、大きくわけて2つの部分から構成される。上記サンプルの先頭から括弧"("の手前までをルールヘッダ、それ以降の部分をルールオプションと呼ぶ。

 ルールヘッダ部は、ルールのアクション、プロトコル、通信元および宛先のIPアドレスとネットマスク、それにポート番号から構成され、ルールオプション部には、アクションを実際に動作するための条件と、アラート時に出力すべきメッセージから構成される。

 ルールの1番目の部分には、ルールのアクションを指定し、alert、log、pass、active、dynamicという5つのキーワードから選択する。ルールに記述された条件に合うパケットを受信した場合に、どのような操作がなされるかがルールのアクションの記述によって決定される。

alert:ルールオプション内の指示に従ってアラートを出力し、またパケットをログディレクトリ内に記録する。snortの起動時に -d オプションが指定されていれば、ログディレクトリ内にパケットのアプリケーションレイヤのデータを記録する。

log:パケットをログディレクトリ内に記録する。記録するのみでアラート出力は行わない。また、alertの場合と同様に -d オプションが指定されている場合にはアプリケーションレイヤのデータを記録する。

pass:パケットを通過させる。このルールに一致したパケットは、直ちに評価を終了し、以下のルールと一致することは無い。ただし、このキーワードを有効に活用するためには、snortの起動時に -o オプションを指定する必要がある。

activate:アラートを出力し、dynamicルールを有効にする。

dynamic:activateルールにより起動され、ログルールに従った処理を行う。
activateとdynamicは1対で記述することにより機能する。例えば「loginの文字列を検出した後に続く50パケットを記録する」などといったルールを記述することが可能である。


office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/


(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/scan/


《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  3. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  4. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  5. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

  10. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

ランキングをもっと見る
ホーム 特集 特集 記事
TOP