検索
連載

独自ルールファイルで細かなチューニングSnortでつくる不正侵入検知システム(6)(3/4 ページ)

Share
Tweet
LINE
Hatena

ルールボディ:fragbitsオプション(IPオプション)

 このオプションはIPデータグラムヘッダ中のフラグメントビットおよび予約済みビットの分析を行う際に指定する。指定方法は「fragbits:<VALUE>」となる。<VALUE>の部分には、下記のいずれかを指定する。

D フラグメントしてはならない
M よりフラグメントしている
R 予約済みビット

 なお、上記に加えて下記のものを指定できる。

* ワイルドカード
! 否定
+ そのほかのビットのうち、いずれかを指定ビットフラグに加える
- すべてのビットに対するマイナスサイン

ルールボディ:sameipオプション(IPオプション)

 このオプションは、ソース/ディスティネーションIPアドレスが同じものであるかどうかを検査するよう指定するものである。指定方法は簡単で、「sameip;」と指定すればよい。

ルールボディ:ipoptオプション(IPオプション)

 このオプションは、IPプロトコルオプションを指定する際に使用する。指定方法は「ipopt:<VALUE>」となる。<VALUE>部分には下記のいずれかを指定する。

eol IPリストの末尾を指定
isrr IPルーズソースルーティング
nop オプションなし
rr 経路記録
satid IPストリーム指示
sec IPsecオプション
ssrr 厳格なIPストリームオプション
ts タイムスタンプフィールド

ルールボディ:IDオプション(IPオプション)

 このオプションでは、パケット中のフラグメントIDフィールドの値を指定する。指定方法は「ID:<VALUE>」となり、<VALUE>の部分にフラグメントIDフィールドの値を指定する。

ルールボディ:tosオプション(IPオプション)

 このオプションでは、tos(Time-Of-Service)フィールドの値を指定する。指定方法は「tos:<VALUE>」となり、<VALUE>の部分にtosフィールドの値を指定する。

ルールボディ:ttlオプション(IPオプション)

 このオプションでは、パケット中のTTL(Time-To-Live)の値を指定する。指定方法は「ttl:<VALUE>」となり、<VALUE>の部分にttlの値を指定する。なお、比較演算子として「<」、「=」、「>」が使用可能である。

ルールボディ:seqオプション(TCPオプション)

 このオプションでは、TCPオプションのシーケンス番号を指定する。指定方法は「seq:<VALUE>」となり、<VALUE>の部分にシーケンス番号を指定する。

ルールボディ:flagsオプション(TCPオプション)

 このオプションでは、TCPオプションの状態を示すフラグを指定する。指定方法は「flags:<VALUE>」となり、<VALUE>の部分には下記の値を1つまたは複数指定することができる。

A ACKフラグがセットされていることを示す
F FINフラグがセットされていることを示す
P PSHフラグがセットされていることを示す
R RSTフラグがセットされていることを示す
S SYNフラグがセットされていることを示す
U URGフラグがセットされていることを示す
0 フラグが一切セットされていないことを示す
1 予約ビット1がセットされていることを示す
2 予約ビット2がセットされていることを示す
+ ほかのフラグと組み合わせて使用し、指定したフラグのほかのフラグを条件に追加
* ワイルドカード指定
! 否定

ルールボディ:ackオプション(TCPオプション)

 このオプションはackフィールドがTrueであるか否かをチェックする。指定方法は「ack:<VALUE>」となり、<VALUE>の部分にはackフィールドの値を数値で指定する。

ルールボディ:icmp_idオプション(ICMPオプション)

 このオプションはICMP ECHOのICMP IDフィールドの値を指定する。指定方法は「icmp_id:<VALUE>」となり、<VALUE>の部分にはICMP IDの値を指定する。

ルールボディ:icmp_seqオプション(ICMPオプション)

 このオプションはICMPのシーケンスフィールドの値を指定する。指定方法は「icmp_seq:<VALUE>」となり、<VALUE>の部分にはICMPのシーケンスフィールドの値を指定する。

ルールボディ:icodeオプション(ICMPオプション)

 このオプションはcodeフィールドの値を指定する。指定方法は「icode:<VALUE>」となり、<VALUE>の部分にはcodeフィールドの値を指定する。

ルールボディ:itypeオプション(ICMPオプション)

 このオプションはtypeフィールドの値を指定する。指定方法は「itype:<VALUE>」となり、<VALUE>の部分にはtypeフィールドの値を指定する。

Index

独自ルールファイルで細かなチューニング

Page1

シグネチャの構成

ルールヘッダ:ルールアクション

ルールヘッダ:プロトコル

ルールヘッダ:ソース/ディスティネーションIPアドレス

ルールヘッダ:ポート番号

ルールヘッダ:方向指示子


Page2

ルールボディ:contentオプション

ルールボディ:uricontentオプション

ルールボディ:depthオプション

ルールボディ:offsetオプション

ルールボディ:nocaseオプション

ルールボディ:sessionオプション

ルールボディ:statelessオプション

ルールボディ:regexオプション

ルールボディ:flowオプション


Page3

ルールボディ:fragbitsオプション(IPオプション)

ルールボディ:sameipオプション(IPオプション)

ルールボディ:ipoptオプション(IPオプション)

ルールボディ:IDオプション(IPオプション)

ルールボディ:tosオプション(IPオプション)

ルールボディ:ttlオプション(IPオプション)

ルールボディ:seqオプション(TCPオプション)

ルールボディ:flagsオプション(TCPオプション)

ルールボディ:ackオプション(TCPオプション)

ルールボディ:icmp_idオプション(ICMPオプション)

ルールボディ:icmp_seqオプション(ICMPオプション)

ルールボディ:icodeオプション(ICMPオプション)

ルールボディ:itypeオプション(ICMPオプション)


Page4

ルールボディ:sidオプション

ルールボディ:revオプション

ルールボディ:priorityオプション

ルールボディ:classtypeオプション

ルールボディ:referenceオプション

ルールボディ:msgオプション

ルールボディ:logtoオプション


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る