IDSを使ったLinuxセキュリティアップ入門(7) | ScanNetSecurity
2026.07.11(土)

IDSを使ったLinuxセキュリティアップ入門(7)

 前回は、Snortの3つある起動モードのうち、スニファモードとパケットログモードの起動方法とその内容について説明した。今回は、SnortのメインモードともいえるIDSモードで起動させてみる。

特集 特集
 前回は、Snortの3つある起動モードのうち、スニファモードとパケットログモードの起動方法とその内容について説明した。今回は、SnortのメインモードともいえるIDSモードで起動させてみる。

●IDSモードでの起動

 IDSモードとは、読んで字のごとくSnortをネットワーク型IDSとして動作させるものだ。このモードで起動すると、パケットログモードのときのように単純にすべてのパケットをキャプチャするだけでなく、キャプチャしたパケットの中身を解析し、「不正」と判断したパケットについては警告メッセージを発するようになる。警告メッセージは、あらかじめ作成しておいたログファイルの出力先フォルダ(/var/log/snort)に自動作成される、alertというファイルに記録されていくのだ。

 IDSモードでの起動は、cオプションとlオプションを使用し、設定ファイルとログフォルダを指定する必要がある。また、セキュリティ対策として専用ユーザsnort(グループsnort)で起動させるために、uとgオプションを併用し、以下のように入力する。

# snort -c /etc/snort/snort.conf -l /var/log/snort -u snort -g snort

 IDSモードで起動させると、スニファモードやパケットログモードとは比較にならないぐらいの長いメッセージが表示される。内容はルールセットの適用に関する情報などだ。メッセージの終了後は、パケットログモードと同様に待受状態になる。メッセージの2行目には起動モードが表示されるので確認して欲しい。IDSモードによる起動直後の画面表示を以下に示す。

# snort -c /etc/snort/snort.conf -l /var/log/snort -u snort -g snortRunning in IDS mode
Log directory = /var/log/snort

Initializing Network Interface eth0

─== Initializing Snort ==─
Initializing Output Plugins!
Decoding Ethernet on interface eth0
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /etc/snort/snort.conf

+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
(中略)

─== Initialization Complete ==─

-*> Snort! <*-
Version 2.1.0 (Build 9)
By Martin Roesch (roesch@sourcefire.com, www.snort.org)

 なお、キャプチャされたデータそのものは、キャプチャパケットのIPアドレス毎にサブフォルダが作成され、そこに保存される。これは、パケットログモードと同じである。


【執筆:磯野康孝】

(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  2. 東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

    東電子会社、ロゴ入り安全帽を紛失 ~「偽社員」による不審な訪問や詐欺に注意呼びかけ

  3. KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

    KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

  4. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  5. シード・プランニングにランサムウェア攻撃、顧客から預かった個人情報は流出していないと判断

    シード・プランニングにランサムウェア攻撃、顧客から預かった個人情報は流出していないと判断

ランキングをもっと見る
PageTop