【無料ツールで作るセキュアな環境(12)】 〜snortのルール作成:ルールヘッダ部〜(執筆:office、みっきー) | ScanNetSecurity
2026.07.11(土)

【無料ツールで作るセキュアな環境(12)】 〜snortのルール作成:ルールヘッダ部〜(執筆:office、みっきー)

 前回ではsnortのルールセットのメンテナンスについて解説をおこなった。今回記事からは独自にルールそのものを作成するための手法を解説しよう。ルールを作成するとなると、TCP/IPの知識が多少必要であり、解説も少々長くなる。今回はルールヘッダ部についての解説であ

特集 特集
 前回ではsnortのルールセットのメンテナンスについて解説をおこなった。今回記事からは独自にルールそのものを作成するための手法を解説しよう。ルールを作成するとなると、TCP/IPの知識が多少必要であり、解説も少々長くなる。今回はルールヘッダ部についての解説である。

 まず最初にルールの文法について説明する。snortのルールは次のサンプルの様に記述される。個々のsnortのルールはかならず1行内に収めなければならない。

alert tcp any any -> 192.168.0.0/24 23 (content:"passwd"; msg:"passwd was detected";)

 snortのルールは、大きくわけて2つの部分から構成される。上記サンプルの先頭から括弧"("の手前までをルールヘッダ、それ以降の部分をルールオプションと呼ぶ。

 ルールヘッダ部は、ルールのアクション、プロトコル、通信元および宛先のIPアドレスとネットマスク、それにポート番号から構成され、ルールオプション部には、アクションを実際に動作するための条件と、アラート時に出力すべきメッセージから構成される。

 ルールの1番目の部分には、ルールのアクションを指定し、alert、log、pass、active、dynamicという5つのキーワードから選択する。ルールに記述された条件に合うパケットを受信した場合に、どのような操作がなされるかがルールのアクションの記述によって決定される。

alert:ルールオプション内の指示に従ってアラートを出力し、またパケットをログディレクトリ内に記録する。snortの起動時に -d オプションが指定されていれば、ログディレクトリ内にパケットのアプリケーションレイヤのデータを記録する。

log:パケットをログディレクトリ内に記録する。記録するのみでアラート出力は行わない。また、alertの場合と同様に -d オプションが指定されている場合にはアプリケーションレイヤのデータを記録する。

pass:パケットを通過させる。このルールに一致したパケットは、直ちに評価を終了し、以下のルールと一致することは無い。ただし、このキーワードを有効に活用するためには、snortの起動時に -o オプションを指定する必要がある。

activate:アラートを出力し、dynamicルールを有効にする。

dynamic:activateルールにより起動され、ログルールに従った処理を行う。
activateとdynamicは1対で記述することにより機能する。例えば「loginの文字列を検出した後に続く50パケットを記録する」などといったルールを記述することが可能である。


office
office@ukky.net
http://www.office.ac/

みっきー
micky@office.ac
http://www.hawkeye.ac/micky/


(詳しくはScan本誌をご覧ください)
http://www.vagabond.co.jp/scan/


《ScanNetSecurity》

PageTop

アクセスランキング

  1. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  2. 東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

    東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

  3. KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

    KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

  4. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  5. シード・プランニングにランサムウェア攻撃、顧客から預かった個人情報は流出していないと判断

    シード・プランニングにランサムウェア攻撃、顧客から預かった個人情報は流出していないと判断

ランキングをもっと見る
PageTop