snortに関して
snortに関して、2点質問させてください。
設定は、とりあえず、
var HOME_NET any
var EXTERNAL_NET any
で、ルールも明らかに関係ないもの以外は、デフォルトのまま使っています。
まず、現在、iptablesでパケットフィルタリングをしているのですが、snortの走査はフィルタを通過してきたパケットに対してのみ行われるという認識で正しいでしょうか?
もしそうだとすると、2、3のポート以外のsynパケットをフィルタしていても、synフラッグのみのパケットによる単純なポートスキャンを検出しているようなのですが、これはどうしてなのでしょうか。
また、
[**] [117:1:1] (spp_portscan2) Portscan detected from 111.222.333.xxx: 6 targets 6 ports in 12 seconds [**]
07/22-12:35:44.814374 111.222.333.xxx:2525 -> 123.123.123.123:8801
TCP TTL:127 TOS:0x0 ID:42156 IpLen:20 DgmLen:48 DF
******S* Seq: 0x3CA0BCCF Ack: 0x0 Win: 0xFAF0 TcpLen: 28
TCP Options (4) => MSS: 1412 NOP NOP SackOK
alertファイルに上記のようなログがでるのですが、いつも、fromに書かれたアドレスが、自分のアドレスなのです。これはどうしてでしょうか。
もし、alertファイルの各項目の見方が解説されたページがあれば是非教えてください。
よろしくお願いします。
お礼
無料ではSnortルールファイルをダウンロード出来ないということでしょうか?