第5回 Snortで使用可能なプリプロセッサを理解する
早川勇太
日本Snortユーザ会
2005/1/8
| ※ご注意 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 |
前回「誤検知を減らすためのSnortチューニング」では誤検知を減らすためのチューニング方法について解説した。誤検知を減らすためのポイントについて、ある程度は理解していただけたことと思う。今回はプリプロセッサについて解説を行っていきたい。
 |
プリプロセッサとは何か |
まず、「プリプロセッサとは何か」という点について紹介していこう。Snortにおけるプリプロセッサは、パケットを解析した後に、さまざまな処理を行うためのものである。プリプロセッサが存在するおかげで、Snortは非常に柔軟な処理を行うことができる。
Snort 2.2.0に同梱されているsnort.confを参照すると、下記のプリプロセッサに関する設定項目が存在している。
| プリプロセッサ名 | 機能 |
|---|---|
| flow | フロー追跡 |
| frag2 | IPのデフラグメンテーション(断片化解消) |
| stream4 | ステートフルインスペクションとストリームの再構築 |
| http_inspect | HTTPトラフィックおよびプロトコル上の例外の正規化・検出 |
| rpc_decode | RPCトラフィックの正規化 |
| bo | Back Orificeの検出 |
| telnet_decode | Telnetネゴシエーションの正規化 |
| Flow-Portscan | さまざまなポートスキャンの検出 |
| arpspoof | 実験的なARP検出 |
| perfmonitor | パフォーマンス統計 |
ご覧のとおり、プリプロセッサによってさまざまな拡張機能が実現されている。それでは、よく使用されると思われるものについて、順に解説していこう。
なお、以降の説明についてはTarballに同梱されている各種ドキュメントを基に作成している。実際の設定ファイルと併せて見ていただければ、より理解しやすくなると思う。
|
flow:フロー追跡 |
このプリプロセッサは、状態を保持したままフローを追跡する機能を持っている。現時点ではflow-portscanがこのプリプロセッサに依存している。よって、flow-portscanを使用する場合は、このプリプロセッサを有効にしておく必要がある。
このプリプロセッサで指定できるオプションは下記のとおりだ。
| memcap | このプリプロセッサが使用するメモリ量をバイト単位で指定 |
| rows | このプリプロセッサが使用するハッシュテーブルの数量を指定 |
| stats_interval | 統計値をstdoutに出力する間隔を秒単位で指定 一定間隔での出力が不要な場合、0を指定することにより無効化可能 |
| hash | ハッシュの作成方法を指定 1を選択するとbyte、2を選択するとintegerで行う |
|
frag2:IPのデフラグメンテーション(断片化解消) |
このプリプロセッサは、IPのデフラグメンテーション(断片化解消)を行う。これを用いることで、断片化攻撃(通常はDoSアタックである)を発見できるかもしれない。
このプリプロセッサで指定できるオプションは下記のとおりだ。
| timeout | フラグメントパケットを受信しなくなってから、再構築を停止するアイドル時間を秒数で指定 タイムアウトした場合、フラッシュされる このオプションを指定しない場合、60秒と見なされる |
| memcap | このプリプロセッサで使用可能なメモリ量をバイト単位で指定
このオプションを指定しない場合、4194304bytesと見なされる |
| min_ttl | 受け付けるTTL値の最小値を数値で指定する |
| ttl_limit | 同じパケットの断片同士で許容されるTTL誤差の最大値を数量で指定する |
|
stream4:ステートフルインスペクションと |
このプリプロセッサは、TCPステートフルインスペクションとストリーム再構築を実現する強力なものである。設定可能なオプションも多数存在する。まずは、TCPステートフルインスペクションに関するオプションから見ていこう。
| detect_scans | 通常のTCPハンドシェイクを伴わないポートスキャンについて、アラートを発するよう指定 |
| detect_state_problems | TCPの状態に問題が存在する場合にアラートを発するよう指定 (Windows製品が多く含まれる環境では誤検知が多発する可能性がある) |
| disable_evasion_alerts | ストリーム再構築を混乱させるような状況となった際にアラートを発しないよう指定 |
| min_ttl | 受け付けるTTL値の最小値を数値で指定する |
| ttl_limit | 同一セッション中の各パケットのTTL値の差についての最大許容値を数値で指定 |
| keepstats | 統計情報を保持する方法を指定 machineを指定した場合はシステム依存フォーマットのテキストファイルとして、binaryを指定した場合はUnifiedバイナリフォーマットとして記録される |
| noinspect | 再構築を有効としたもの以外、すべてのポートでのステートフルインスペクションを無効化 |
| timeout | セッション監視を終了させるまでのアイドル時間を秒数で指定 |
| memcap | このプリプロセッサで使用可能なメモリ量をバイト単位で指定 |
| log_flushed_streams | ストリームから生成されたパケットによりアラートが発せられている状況下で、その原因となるパケットをログとして書き出すかを指定 |
続いてストリーム再構築に関するオプションを見ていこう。
| clientonly | 再構築の方法を指定 クライアント側のパケットのみを再構築の対象とする (clientonly、serveronly、bothは排他指定となる) |
| serveronly | 再構築の方法を指定
サーバ側のパケットのみを再構築の対象とする (clientonly、serveronly、bothは排他指定となる) |
| both | 再構築の方法を指定
クライアント側とサーバ側、両方のパケットを再構築の対象とする (clientonly、serveronly、bothは排他指定となる) |
| ports | 再構築を実施するポート番号を指定(複数指定可能) |
 「第4回」へ |
1/2
|
|
| Index | |
| Snortで使用可能なプリプロセッサを理解する | |
 |
Page1 プリプロセッサとは何か flow frag2 stream4 |
| Page2 http_inspect |
|
Snortでつくる不正侵入検知システム バックナンバー
- 第1回 不正侵入検知システムを知る
- 第2回 Snortのインストールと初期設定
- 第3回 ACIDのインストールと設定
- 第4回 誤検知を減らすためのSnortチューニング
- 第5回 Snortで使用可能なプリプロセッサを理解する
- 第6回 独自ルールファイルで細かなチューニング
- 最終回 ツールを使ってSnortをさらに便利に使う
| 関連記事 | |
| Snort | |
| 5分で絶対に分かる侵入検知システム(IDS) | |
| 特集:不正侵入対策最前線 | |
| 特集:続 不正侵入対策最前線 | |
| ネットワーク型IDS「Snort」の導入 (Linux Square) | |
| ネットワーク型IDS「Snort」のシグネチャ作成法 (Linux Square) |
 |
Security&Trust記事一覧 |
ホワイトペーパー(TechTargetジャパン)
- この脆弱性対策エンジンは“永遠に完成しない” (2010/3/9)
パターンファイルに頼らず防御する「要の技術」は、いまも完成にはいたっていない。その理由とは―― - Gumblarがあぶり出す 「空虚なセキュリティ対策」 (2010/3/1)
ガンブラーの脅威は、組織の構造や外部委託問題をあぶり出します。そのセキュリティ対策、建前論になっていませんか? - 決済アプリのセキュリティ基準、PA-DSSとは (2010/2/24)
“ペイメントアプリケーション”のセキュリティ基準を定めたPA-DSS。厳密に定められた14の要件を、PCI DSSと対比させつつ解説します - 「鍵は“J”の中にあるよ」CTF by ダークナイト解答編 (2010/2/22)
ダークナイトからの挑戦状、いかがだっただろうか。WiresharkにNetworkMiner、WinRARを駆使し、“J”に隠された秘密を解き明かせ!
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
 |
「いつかは壊れるサーバ」そんな故障に 迅速で安価に手軽に対応する方法とは? New! |
 |
「特権ユーザー」の事件を防げ! 万能権限を持つユーザーの管理方法とは? New! |
 |
仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 |
 |
仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
 |
おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
 |
社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
 |
その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
 |
美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
 |
進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
 |
運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | TomcatやJBossなどAPサーバ環境に関する 情報を集約! “業務”用APサーバ大百科 New! |
| ◆ | 一気に解説! 最新のクラスタストレージ 「RAIDを超えたストレージ基準」……など New! |
| ◆ | クラウド的ユーザー体験の変化は脅威か? 仮想化技術を使いこなす運用管理術を紹介 New! |
| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |
| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。