IDSを使った侵入検知（８）

●侵入検知の実際（1）〜ログの内容

　さて、侵入検知の検証に移ろう。Snortをスタートさせ、ものの数分も経つと、タスクトレイにあるIDScenterのアイコンが赤く点滅する。このアイコンをダブルクリックすると、Alert log viewerが開きログの内容が表示されるはずだ。（※1）

※1：アラートログの例
http://vagabond.co.jp/c2/scan/snort010.gif

　記録されたログからいくつかピックアップし、アラートの中身を簡単に説明しよう。通常、以下のような形でアラートが記録されていく。
　なお、左端の番号は便宜的に振った行番号で、実際のログにはない。

＜例 1＞
1. [**] [1:2003:2] MS-SQL Worm propagation attempt [**]
2. [Classification: Misc Attack] [Priority: 2]
3. 05/17-14:11:20.101430 XXX.XXX.161.137:1126 -> 192.168.2.105:1434
4. UDP TTL:107 TOS:0x0 ID:54230 IpLen:20 DgmLen:404
5. Len: 384
6. [Xref => url vil.nai.com/vil/content/v_99992.htm][Xref => bugtraq 5311][Xref => bugtraq 5310]

　まず、1行目の「MS-SQL Worm propagation attempt」だが、これは不正パケットによる攻撃の内容を表している。ここでは「MS-SQL Worm」に注目してほしい。これは、MicrosoftのSQL Serverのセキュリティホールを突くワーム、「Slammer」の攻撃パケットを検出したことを意味している。

　2行目は、いわゆる攻撃タイプの分類だ。「Misc Attack」は、侵入を目的とするさまざまな攻撃を包括的に示した分類である。

　3行目は、攻撃のあった日時、そして、不正パケットの送信元のIPアドレス＋ポート番号と送信先のIPアドレス＋ポート番号である。ちなみに、送信先となっている192.168.2.105は、検証マシンのプライベートネットワークアドレスだ。Slammerは1434ポートに不正パケットを送ってくるが、まさに、検証マシンの1434ポートが攻撃されているのが分かる。

　攻撃のタイプによっては、IPアドレスの前に、次のようなMACアドレスが記録される場合もある。

05/29-23:57:46.505302 0:90:99:9C:CA:10 -> 0:0:0:0:0:7B type:0x800 len:0x3EXXX.XXX.134.147:2204 -> 192.168.2.105:1080

　4、5行目は、プロトコルの種類やパケット長などのデータ類である。
　6行目は、この攻撃に関する詳細が載っているWebページなどの記載だ。ない場合もあるが、あれば一度目を通しておくといい。

【執筆：磯野康孝】

「無料セキュリティツールで構築するセキュアな環境 No.1」
　〜ZoneAlarm−snort〜
http://shop.vagabond.co.jp/p-fss01.shtml

http://www.d-pub.co.jp/cgi-bin/bannou/shop/book_detail.cgi

（詳しくはScan本誌をご覧ください）
http://shop.vagabond.co.jp/m-ssw01.shtml