Snortで使用可能なプリプロセッサを理解する:Snortでつくる不正侵入検知システム(5)(1/2 ページ)
※ご注意
本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。
前回「誤検知を減らすためのSnortチューニング」では誤検知を減らすためのチューニング方法について解説した。誤検知を減らすためのポイントについて、ある程度は理解していただけたことと思う。今回はプリプロセッサについて解説を行っていきたい。
プリプロセッサとは何か
まず、「プリプロセッサとは何か」という点について紹介していこう。Snortにおけるプリプロセッサは、パケットを解析した後に、さまざまな処理を行うためのものである。プリプロセッサが存在するおかげで、Snortは非常に柔軟な処理を行うことができる。
Snort 2.2.0に同梱されているsnort.confを参照すると、下記のプリプロセッサに関する設定項目が存在している。
| プリプロセッサ名 | 機能 | |
|---|---|---|
| flow | フロー追跡 | |
| frag2 | IPのデフラグメンテーション(断片化解消) | |
| stream4 | ステートフルインスペクションとストリームの再構築 | |
| http_inspect | HTTPトラフィックおよびプロトコル上の例外の正規化・検出 | |
| rpc_decode | RPCトラフィックの正規化 | |
| bo | Back Orificeの検出 | |
| telnet_decode | Telnetネゴシエーションの正規化 | |
| Flow-Portscan | さまざまなポートスキャンの検出 | |
| arpspoof | 実験的なARP検出 | |
| perfmonitor | パフォーマンス統計 | |
ご覧のとおり、プリプロセッサによってさまざまな拡張機能が実現されている。それでは、よく使用されると思われるものについて、順に解説していこう。
なお、以降の説明についてはTarballに同梱されている各種ドキュメントを基に作成している。実際の設定ファイルと併せて見ていただければ、より理解しやすくなると思う。
flow:フロー追跡
このプリプロセッサは、状態を保持したままフローを追跡する機能を持っている。現時点ではflow-portscanがこのプリプロセッサに依存している。よって、flow-portscanを使用する場合は、このプリプロセッサを有効にしておく必要がある。
このプリプロセッサで指定できるオプションは下記のとおりだ。
| memcap | このプリプロセッサが使用するメモリ量をバイト単位で指定 | |
| rows | このプリプロセッサが使用するハッシュテーブルの数量を指定 | |
| stats_interval | 統計値をstdoutに出力する間隔を秒単位で指定 一定間隔での出力が不要な場合、0を指定することにより無効化可能 |
|
| hash | ハッシュの作成方法を指定 1を選択するとbyte、2を選択するとintegerで行う |
|
frag2:IPのデフラグメンテーション(断片化解消)
このプリプロセッサは、IPのデフラグメンテーション(断片化解消)を行う。これを用いることで、断片化攻撃(通常はDoSアタックである)を発見できるかもしれない。
このプリプロセッサで指定できるオプションは下記のとおりだ。
| timeout | フラグメントパケットを受信しなくなってから、再構築を停止するアイドル時間を秒数で指定 タイムアウトした場合、フラッシュされる このオプションを指定しない場合、60秒と見なされる |
|
| memcap | このプリプロセッサで使用可能なメモリ量をバイト単位で指定 このオプションを指定しない場合、4194304bytesと見なされる |
|
| min_ttl | 受け付けるTTL値の最小値を数値で指定する | |
| ttl_limit | 同じパケットの断片同士で許容されるTTL誤差の最大値を数量で指定する | |
stream4:ステートフルインスペクションとストリームの再構築
このプリプロセッサは、TCPステートフルインスペクションとストリーム再構築を実現する強力なものである。設定可能なオプションも多数存在する。まずは、TCPステートフルインスペクションに関するオプションから見ていこう。
| detect_scans | 通常のTCPハンドシェイクを伴わないポートスキャンについて、アラートを発するよう指定 | |
| detect_state_problems | TCPの状態に問題が存在する場合にアラートを発するよう指定 (Windows製品が多く含まれる環境では誤検知が多発する可能性がある) |
|
| disable_evasion_alerts | ストリーム再構築を混乱させるような状況となった際にアラートを発しないよう指定 | |
| min_ttl | 受け付けるTTL値の最小値を数値で指定する | |
| ttl_limit | 同一セッション中の各パケットのTTL値の差についての最大許容値を数値で指定 | |
| keepstats | 統計情報を保持する方法を指定 machineを指定した場合はシステム依存フォーマットのテキストファイルとして、binaryを指定した場合はUnifiedバイナリフォーマットとして記録される |
|
| noinspect | 再構築を有効としたもの以外、すべてのポートでのステートフルインスペクションを無効化 | |
| timeout | セッション監視を終了させるまでのアイドル時間を秒数で指定 | |
| memcap | このプリプロセッサで使用可能なメモリ量をバイト単位で指定 | |
| log_flushed_streams | ストリームから生成されたパケットによりアラートが発せられている状況下で、その原因となるパケットをログとして書き出すかを指定 | |
続いてストリーム再構築に関するオプションを見ていこう。
| clientonly | 再構築の方法を指定 クライアント側のパケットのみを再構築の対象とする (clientonly、serveronly、bothは排他指定となる) |
|
| serveronly | 再構築の方法を指定 サーバ側のパケットのみを再構築の対象とする (clientonly、serveronly、bothは排他指定となる) |
|
| both | 再構築の方法を指定 クライアント側とサーバ側、両方のパケットを再構築の対象とする (clientonly、serveronly、bothは排他指定となる) |
|
| ports | 再構築を実施するポート番号を指定(複数指定可能) | |
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。