snortに関しての質問

前へ 次へ
このQ&Aのポイント
  • snortに関して、フィルタリングとポートスキャン検出についての質問です。
  • snortの走査はフィルタを通過したパケットに対してのみ行われるのか、ポートスキャンの検出方法についてお聞きしたいです。
  • また、alertファイルに書かれる各項目の意味や見方がわかるページがあれば教えていただけると嬉しいです。
回答を見る
  • ベストアンサー

snortに関して

snortに関して、2点質問させてください。 設定は、とりあえず、 var HOME_NET any var EXTERNAL_NET any で、ルールも明らかに関係ないもの以外は、デフォルトのまま使っています。 まず、現在、iptablesでパケットフィルタリングをしているのですが、snortの走査はフィルタを通過してきたパケットに対してのみ行われるという認識で正しいでしょうか? もしそうだとすると、2、3のポート以外のsynパケットをフィルタしていても、synフラッグのみのパケットによる単純なポートスキャンを検出しているようなのですが、これはどうしてなのでしょうか。 また、 [**] [117:1:1] (spp_portscan2) Portscan detected from 111.222.333.xxx: 6 targets 6 ports in 12 seconds [**] 07/22-12:35:44.814374 111.222.333.xxx:2525 -> 123.123.123.123:8801 TCP TTL:127 TOS:0x0 ID:42156 IpLen:20 DgmLen:48 DF ******S* Seq: 0x3CA0BCCF Ack: 0x0 Win: 0xFAF0 TcpLen: 28 TCP Options (4) => MSS: 1412 NOP NOP SackOK alertファイルに上記のようなログがでるのですが、いつも、fromに書かれたアドレスが、自分のアドレスなのです。これはどうしてでしょうか。 もし、alertファイルの各項目の見方が解説されたページがあれば是非教えてください。 よろしくお願いします。

  • retr
  • お礼率90% (27/30)

質問者が選んだベストアンサー

  • ベストアンサー
回答No.1

まず1点目ですが、iptablesでフィルタをしているか否かはまったく関係ありません。 もっと極端な話をすると、NICにIPアドレスが割り当てられていなくても、Snortはパケットをキャプチャできます。 2点目ですが、例の中の"111.222.333.xxx"が自ホストのIPアドレスということですよね。 "6 targets 6 ports in 12 seconds"と書かれていますが、12秒の間に6ホストの6ポートに対するアクセスがあったため、ポートスキャンとみなされたようです。 それぞれ別々の接続先に繋がるネットワークアプリケーションを多数立ち上げて、それらを同時に利用すればこれらの状況が発生すると思いますが、そのような使い方をしていませんでしょうか? あまりにこのアラートが多く出るようでしたら、ルールの修正や無効化を考えたほうがいいかもしれません。 参考ページですが、いろいろ見てもやはり英語の公式マニュアルが一番わかりやすいので、まずはそちらを参照してみてはいかがでしょうか。

retr
質問者

お礼

遅くなって申し訳ありません。解答ありがとうございました。 2点目に関してですが、知り合いのサーバからポートスキャンした場合も、fromとtoが逆に載ってしまうのです。もう少し自分で調べてみます。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. その他(OS)

関連するQ&A

  • パケットキャプチャについて

    パケットキャプチャについて wiresharkでパケットキャプチャをやっております。tcpでsynのパケットのみを収集したいのですが、現在では、 (1)ファイルの読み込み (2)フィルタの条件でtcp.flag.fin == 0 and tcp.fla.syn ==1 and tcp.flg.ack == 0 と入れフィルタリング。 (3)結果のファイルを保存 となって大変時間がかかります。cuiでコマンドライン上で一発ですませられる方法はありませんか?

  • RedHat9 Linux のDNSサーバのログが不正アクセスでないかどうか教えて欲しいです

    RedHat9 Linux でサーバを構築しています。(DMZも使用しています) ファイアーウォールとしてiptables を使用しています。 下記のようなログがよく出ます。大丈夫でしょうか? aaa.bbb.cc.dd1 ~ aaa.bbb.cc.dd8 まで8個のIPを取得しています。 不審なIPは、123.456.789.123 です。 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd4 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57180 DF PROTO=TCP SPT=2987 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd5 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57182 DF PROTO=TCP SPT=2989 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd6 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57183 DF PROTO=TCP SPT=2991 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0 May 9 04:14:38 ns kernel: ### NetBIOS ###IN=ppp0 OUT=eth1 SRC=123.456.789.123 DST=aaa.bbb.cc.dd7 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57184 DF PROTO=TCP SPT=2992 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0

  • iptablesによるパケットフィルタ

    こんにちは、皆さん iptablesに関して、2つの種類の質問があります。 1. SYNパケット以外の許可の設定 iptablesで、HTTPやFTPのサービスポートを閉じた上で、 以下のコマンドを実行すると、サービスポートが空いてなくても パケットが通ってしまいます。 iptables -A INPUT -p tcp ! --syn -j ACCEPT 上記の意味はSYNパケット以外だけ許可するとなってますので、 最初のセッションを張るパケットは通過できないので、 結果的にはサービスは提供されないのではないでしょうか? でもなぜか通ってます。 また、上記をDROPに指定し直すと、パケットは通過しません。 その後、以下のように個別にサービスポートを開けると、 パケットは通過できるようになるので、当然サービスが提供されます。 iptables -A INPUT -p tcp --sport 1024:65535 --dport 80 -j ACCEPT iptables -A INPUT -p tcp --sport 1024:65535 --dport 20 -j ACCEPT iptables -A INPUT -p tcp --sport 1024:65535 --dport 21 -j ACCEPT 2. INPUTとFORWARDについて INPUTとFORWARDの違いは、FORWARDはサーバをルータとして使っている時だけ 必要なチェインで、INPUTはパケットを受信する時に必ず通るチェインという 認識でよろしいでしょうか?

  • セグメンテーションエラーの原因がわからず困っています。

    こんにちは。 セグメンテーションエラーが出て困っています。下のプログラムは、strstrによるテキストファイルからの文字列の検索と抽出を目的としたものです。具体的には文字列「00:18:52.491692」を含んだ行を見つけたいと考えています。 何かお気づきの点等ありましたら是非ご教授頂きたく思います。 #include<stdio.h> #include<string.h> int main(){ FILE *fp; if( (fp = fopen("file.txt","r")) == NULL){ printf("fopen:error\n"); exit(-1); } char *answer; char target[1024] = "00:18:52.491692"; char source[1024]; while( (fgets(source,1024,fp)) != NULL){ answer = strstr(source,target); if(answer != NULL){ printf("%s\n",answer); break; } } fclose(fp); return 0; } 以下がファイルの中身です。 00:18:52.486843 IP (tos 0x10, ttl 64, id 56604, offset 0, flags [DF], proto: TCP (6), length: 100) 10.1.4.12.ssh > 10.1.4.99.49964: P 1724257568:1724257616(48) ack 648002683 win 718 <nop,nop,timestamp 2123242756 28297809> 00:18:52.491692 IP (tos 0x10, ttl 64, id 56605, offset 0, flags [DF], proto: TCP (6), length: 164) 10.1.4.12.ssh > 10.1.4.99.49964: P 48:160(112) ack 1 win 718 <nop,nop,timestamp 2123242756 28297809> 00:18:52.486957 IP (tos 0x10, ttl 64, id 31393, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.4.99.49964 > 10.1.4.12.ssh: ., cksum 0xce39 (correct), 1:1(0) ack 48 win 501 <nop,nop,timestamp 28297832 2123242756> 00:18:52.486985 IP (tos 0x10, ttl 64, id 31394, offset 0, flags [DF], proto: TCP (6), length: 52) 10.1.4.99.49964 > 10.1.4.12.ssh: ., cksum 0xcdc9 (correct), 1:1(0) ack 160 win 501 <nop,nop,timestamp 28297832 2123242756> 00:18:52.487816 IP (tos 0x0, ttl 64, id 7429, offset 0, flags [DF], proto: UDP (17), length: 68) 10.1.4.12.32986 > 10.1.4.1.domain: [bad udp cksum 7869!] 63212+ PTR? 99.4.1.10.in-addr.arpa. (40) どんな些細な意見でもいいので、皆さんのお力を貸して頂けないでしょうか。どうぞよろしくお願いします。

  • X11というプロトコルのパケットをフィルタする方法

    現在、Wiresharkでサーバソフトが受信しているクライアント端末からのパケットを観測しています。 Wiresharkでは tcp.dstport == 5000 このようにTCP5000番ポート宛にパケットを、上記の条件式でフィルタして表示しています。 しかし、いくつかのクライアント端末からはTCPではなく、X11というプロトコルで来ているものがあります。宛先ポートも5000番です。 この場合、宛先5000番ポートに送信されているX11プロトコルのパケットをフィルタするための条件式はどのように書けばよいでしょうか? どうぞ、ご教示の程よろしくお願い致します。

  • ルーターとポート開放について

    AOC(age of empaire)というゲームをしています。 マルチプレイをしたいのですが、 ポートの開放がよくわかりません。 いろいろなサイトをみて、下記を設定しなきゃいけないようなのですが、いまいち理解できません。 yahooのトリオ3Gplusモデムを使用していて、 ポートの転送のセットアップメニューまでは見れるのですが、 そこをどう設定すればいいかがわかりません。 セットアップメニューにあるのは以下のものです。 ---ルーターセットアップ画面) プロトコル(3つから選択式)  TCP  UDP  TCP/UDP WAN側ポート番号 (Xは任入力ボックス(桁は正しくない)) XXX-XXX LAN側ポート番号 (Xは任入力ボックス(桁は正しくない)) XXX-XXX 転送先IPアドレス(Xは任入力ボックス(桁は正しくない)) XXX-XXX-XXX-XXX -------------- --サイトで調べた開放するポート--- DirectPlayで使うポートが UDP:2300-2400 TCP:2300-2400、 DirectPlayでホストをするときに使うポートが TCP:47624 AoCで使うポートは UDP:28800-28830 --------------- よろしくお願いします。

  • Ciscoルータでフィルタリングの設定方法をおしえてください。

    このルータは2つのLANポートを持っています。入ってくるパケットにフィルタリングをかけたいですが、設定が うまくいきません。 やりたいことは2つのマシンでソケット接続をし、TCP/IPで送受をするだけです。ただし、使用しているポートは 40071、40074です。この状況で不要なパケットにフィルタリングをしたいのです。 Q1.Ciscoのルータでは、「access-list 101 permit tcp any any eq telnet」でaccess-listを作成し、ポートに    適用することで、telnetのみ通過させるといった設定が可能ですが、この方法で上の40071と40074だけ    通過させるという設定は可能でしょうか。 Q2.逆に不要なパケットの通過を拒否する設定(例:access-list 102 deny tcp any any eq ftp)をして、ポートに   適用しました。この方法だと必要なものだけ通過すると思ったのですが、1つでも拒否の設定にすると   pingを投げたらcoreを吐いてしまいます。どうしてでしょうか。 大変困っています。おわかりの方は教えてください。 もし、上の2つ以外でも結構なのでフィルタリングのよい方法があったらおしえてください。 ようは、ルータをはさんだ2つのマシン間でpingが通り、上の2つのポートは開けておく。 この条件を満たすフィルタリング方法をおしえてください。

  • この設定で安全なのか不安です。

    BUFFALOのWBR2-G54/Pのルータを使用しています。 ネットワークカメラ設置に伴い、ルータのアドレス変換設定を、 WAN側IPアドレス(AirStatin)TCP80<-->LAN側IPアドレス192.168.**.**(カメラの固定プライベートIP) LAN側ポート80 IPフィルタルール追加 動作:WAN側からのパケットを通過する。 宛先IPアドレス:192.168.**.**(カメラの固定プライベートIP) 送信元IPアドレス:未記入 プロトコル 任意のTCP/UDP:HTTP(TCPポート:80) としてWANからカメラの画像(動画)をみれるようにしています。 昨日はじめて上記の、設定したのですが、 本日早速TCP SYN FLOOD攻撃を受けたがアタックブロックしました。 というルータからのポップアップメッセージが出てきました。 セキュリティソフトはNorton Internet Securityを入れファイアウォール もONにしているのですが、ネットワークにあまり詳しくないため 心配です。 80番ポートを解放するとTCP SYN FLOOD攻撃というものを受けやすくな るのでしょうか? ご存知の方。宜しくお願いします。

  • FTP接続時のポートの設定について。

    FTPについての質問です。 現在、FWの設定で、21番ポートを空けるなどの設定をしていますが、パケット見ると、50000台のポートなどを使って通信しているようで、 ${fwcmd} add allow tcp from any to 192.168.100.1 49152-60000 というように、範囲を指定してあけるようにしています。 FTP接続のその時々で、使っているポートが違いますが、大体50000台の番号を使っているので、この範囲にしました。 でも結局、ここまで広範囲のポートを空けているとかなりのセキュリティーホールですよね。 しかし、このあたりのポートを空けないとFTP通信ができないので困っています。 どのように設定すればいいでしょうか? FWマシンはFreeBSD 5.3Rです。

  • 攻撃を受けているのでしょうか?教えて!!

    私は、coregaの無線ブロードバンドルーターを 使っているのですが、7月28日から下記のlogが ブロードバンドルーターから頻繁に送られてくる ようになりました。1度はsecurity alertが送られて きました。内容は以下の通りです。 security alert [3c:85:c6] 2005-07-28 23:17:18 - TCP Flood - Source:206.204.51.133,11543,WAN - Destination:***.***.**.**,1284,LAN さまざまなsource address から1分間に 3回程度、私のIP addressの1284番port に対してSYN アタックをしてきている のではと思っているのですが違いますでしょうか。 ブロードバンドルーターから送られてくる メッセージは、ブロードバンドルーターの 1080番portでblockedしましたよ。 ということだと思っているのですが。 ルーターでブロックされているのでPCまでは 来ていないので大きな影響は無いと判断しております。 しかし、急にアタックが始まった理由、このような 場合にはどうしたらいいのか。放っておいても問題は 無いのかなど、対処策、アドバイスをいただければ と思い質問いたしました。 私は心配しており、防ぐ方法があれば防ぎたいと 考えているのですが、どうしていいのかわかりません でした。 以上です。 よろしくお願いいたします。 ------送られてくるlog一部抜粋-------------- [2005-07-30 17:41:13] | From:[58.0.236.146] | Port:[1080] | [Blocked] [2005-07-30 17:41:17] | From:[218.226.93.235] | Port:[1080] | [Blocked] [2005-07-30 17:42:13] | From:[218.182.240.254] | Port:[1080] | [Blocked] [2005-07-30 17:42:22] | From:[218.187.101.83] | Port:[1080] | [Blocked]

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する