IDSを使った侵入検知(8)
●侵入検知の実際(1)〜 ログの内容
特集
特集
さて、侵入検知の検証に移ろう。Snortをスタートさせ、ものの数分も経つと、タスクトレイにあるIDScenterのアイコンが赤く点滅する。このアイコンをダブルクリックすると、Alert log viewerが開きログの内容が表示されるはずだ。(※1)
※1:アラートログの例
http://vagabond.co.jp/c2/scan/snort010.gif
記録されたログからいくつかピックアップし、アラートの中身を簡単に説明しよう。通常、以下のような形でアラートが記録されていく。
なお、左端の番号は便宜的に振った行番号で、実際のログにはない。
<例 1>
1. [**] [1:2003:2] MS-SQL Worm propagation attempt [**]
2. [Classification: Misc Attack] [Priority: 2]
3. 05/17-14:11:20.101430 XXX.XXX.161.137:1126 -> 192.168.2.105:1434
4. UDP TTL:107 TOS:0x0 ID:54230 IpLen:20 DgmLen:404
5. Len: 384
6. [Xref => url vil.nai.com/vil/content/v_99992.htm][Xref => bugtraq 5311][Xref => bugtraq 5310]
まず、1行目の「MS-SQL Worm propagation attempt」だが、これは不正パケットによる攻撃の内容を表している。ここでは「MS-SQL Worm」に注目してほしい。これは、MicrosoftのSQL Serverのセキュリティホールを突くワーム、「Slammer」の攻撃パケットを検出したことを意味している。
2行目は、いわゆる攻撃タイプの分類だ。「Misc Attack」は、侵入を目的とするさまざまな攻撃を包括的に示した分類である。
3行目は、攻撃のあった日時、そして、不正パケットの送信元のIPアドレス+ポート番号と送信先のIPアドレス+ポート番号である。ちなみに、送信先となっている192.168.2.105は、検証マシンのプライベートネットワークアドレスだ。Slammerは1434ポートに不正パケットを送ってくるが、まさに、検証マシンの1434ポートが攻撃されているのが分かる。
攻撃のタイプによっては、IPアドレスの前に、次のようなMACアドレスが記録される場合もある。
05/29-23:57:46.505302 0:90:99:9C:CA:10 -> 0:0:0:0:0:7B type:0x800 len:0x3EXXX.XXX.134.147:2204 -> 192.168.2.105:1080
4、5行目は、プロトコルの種類やパケット長などのデータ類である。
6行目は、この攻撃に関する詳細が載っているWebページなどの記載だ。ない場合もあるが、あれば一度目を通しておくといい。
【執筆:磯野康孝】
「無料セキュリティツールで構築するセキュアな環境 No.1」
〜ZoneAlarm−snort〜
http://shop.vagabond.co.jp/p-fss01.shtml
http://www.d-pub.co.jp/cgi-bin/bannou/shop/book_detail.cgi
(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》
