第5回 Snortで使用可能なプリプロセッサを理解する

早川勇太
日本Snortユーザ会
2005/1/8

※ご注意
本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。

 前回「誤検知を減らすためのSnortチューニング」では誤検知を減らすためのチューニング方法について解説した。誤検知を減らすためのポイントについて、ある程度は理解していただけたことと思う。今回はプリプロセッサについて解説を行っていきたい。

 プリプロセッサとは何か

 まず、「プリプロセッサとは何か」という点について紹介していこう。Snortにおけるプリプロセッサは、パケットを解析した後に、さまざまな処理を行うためのものである。プリプロセッサが存在するおかげで、Snortは非常に柔軟な処理を行うことができる。

 Snort 2.2.0に同梱されているsnort.confを参照すると、下記のプリプロセッサに関する設定項目が存在している。

プリプロセッサ名 機能
flow フロー追跡
frag2 IPのデフラグメンテーション(断片化解消)
stream4 ステートフルインスペクションとストリームの再構築
http_inspect HTTPトラフィックおよびプロトコル上の例外の正規化・検出
rpc_decode RPCトラフィックの正規化
bo Back Orificeの検出
telnet_decode Telnetネゴシエーションの正規化
Flow-Portscan さまざまなポートスキャンの検出
arpspoof 実験的なARP検出
perfmonitor パフォーマンス統計

 ご覧のとおり、プリプロセッサによってさまざまな拡張機能が実現されている。それでは、よく使用されると思われるものについて、順に解説していこう。

 なお、以降の説明についてはTarballに同梱されている各種ドキュメントを基に作成している。実際の設定ファイルと併せて見ていただければ、より理解しやすくなると思う。

 flow:フロー追跡

 このプリプロセッサは、状態を保持したままフローを追跡する機能を持っている。現時点ではflow-portscanがこのプリプロセッサに依存している。よって、flow-portscanを使用する場合は、このプリプロセッサを有効にしておく必要がある。

 このプリプロセッサで指定できるオプションは下記のとおりだ。

memcap このプリプロセッサが使用するメモリ量をバイト単位で指定
rows このプリプロセッサが使用するハッシュテーブルの数量を指定
stats_interval 統計値をstdoutに出力する間隔を秒単位で指定
一定間隔での出力が不要な場合、0を指定することにより無効化可能
hash ハッシュの作成方法を指定
1を選択するとbyte、2を選択するとintegerで行う

 frag2:IPのデフラグメンテーション(断片化解消)

 このプリプロセッサは、IPのデフラグメンテーション(断片化解消)を行う。これを用いることで、断片化攻撃(通常はDoSアタックである)を発見できるかもしれない。

 このプリプロセッサで指定できるオプションは下記のとおりだ。

timeout フラグメントパケットを受信しなくなってから、再構築を停止するアイドル時間を秒数で指定
タイムアウトした場合、フラッシュされる
このオプションを指定しない場合、60秒と見なされる
memcap このプリプロセッサで使用可能なメモリ量をバイト単位で指定
このオプションを指定しない場合、4194304bytesと見なされる
min_ttl 受け付けるTTL値の最小値を数値で指定する
ttl_limit 同じパケットの断片同士で許容されるTTL誤差の最大値を数量で指定する

 stream4:ステートフルインスペクションと
 ストリームの再構築

 このプリプロセッサは、TCPステートフルインスペクションとストリーム再構築を実現する強力なものである。設定可能なオプションも多数存在する。まずは、TCPステートフルインスペクションに関するオプションから見ていこう。

detect_scans 通常のTCPハンドシェイクを伴わないポートスキャンについて、アラートを発するよう指定
detect_state_problems TCPの状態に問題が存在する場合にアラートを発するよう指定
(Windows製品が多く含まれる環境では誤検知が多発する可能性がある)
disable_evasion_alerts ストリーム再構築を混乱させるような状況となった際にアラートを発しないよう指定
min_ttl 受け付けるTTL値の最小値を数値で指定する
ttl_limit 同一セッション中の各パケットのTTL値の差についての最大許容値を数値で指定
keepstats 統計情報を保持する方法を指定
machineを指定した場合はシステム依存フォーマットのテキストファイルとして、binaryを指定した場合はUnifiedバイナリフォーマットとして記録される
noinspect 再構築を有効としたもの以外、すべてのポートでのステートフルインスペクションを無効化
timeout セッション監視を終了させるまでのアイドル時間を秒数で指定
memcap このプリプロセッサで使用可能なメモリ量をバイト単位で指定
log_flushed_streams ストリームから生成されたパケットによりアラートが発せられている状況下で、その原因となるパケットをログとして書き出すかを指定

 続いてストリーム再構築に関するオプションを見ていこう。

clientonly 再構築の方法を指定
クライアント側のパケットのみを再構築の対象とする
(clientonly、serveronly、bothは排他指定となる)
serveronly 再構築の方法を指定
サーバ側のパケットのみを再構築の対象とする
(clientonly、serveronly、bothは排他指定となる)
both 再構築の方法を指定
クライアント側とサーバ側、両方のパケットを再構築の対象とする
(clientonly、serveronly、bothは排他指定となる)
ports 再構築を実施するポート番号を指定(複数指定可能)

第4回」へ
1/2


Index
Snortで使用可能なプリプロセッサを理解する
Page1
プリプロセッサとは何か
flow
frag2
stream4
  Page2
http_inspect

Snortでつくる不正侵入検知システム バックナンバー


関連記事
Snort
5分で絶対に分かる侵入検知システム(IDS)
特集:不正侵入対策最前線
特集:続 不正侵入対策最前線
ネットワーク型IDS「Snort」の導入 (Linux Square)
ネットワーク型IDS「Snort」のシグネチャ作成法 (Linux Square)

Security&Trust記事一覧

TechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

キャリアアップ

- PR -
@IT Sepcial
→ @IT Special ヘ

イベントカレンダー

PickUpイベント

- PR -
もっと見る
- PR -

お勧め求人情報

ホワイトペーパーTechTargetジャパン

@IT Sepcial
→ @IT Special ヘ
ソリューションFLASH