「Snortのシグネチャの作成 icmp」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「IPS/IDSSnortの簡単なシグネチャを作成します。 __TOC__ == 概要 == ここでは、 any から any への ICMP パケットを送受...」)
 
(相違点なし)

2013年10月12日 (土) 23:43時点における最新版

IPS/IDSSnortの簡単なシグネチャを作成します。

概要

ここでは、 any から any への ICMP パケットを送受信したときに、アラートとして出力します。

設定

/usr/local/etc/snort/snort.conf に下記の設定を追加します。

include $RULE_PATH/icmp_test.rules

シグネチャ

/usr/local/etc/snort/rules/icmp_test.rules を作成します。

icmp_test.rules

alert icmp any any -> any any (msg:"ICMP Packet"; sid:477;rev:3;)

反映

設定を反映します。Snort を再起動してください。

sudo /usr/local/etc/rc.d/snort restart

テスト

ここでは、テストを実施します。

事前準備

アラートファイルを tail します。

sudo tail -f /var/log/snort/alert

コマンドの実行

ping コマンドを実行します。

ping www.yahoo.co.jp

結果

Snort のログファイル alert に以下のエラーが出力されました。

[**] [1:477:3] ICMP Packet [**]
[Priority: 0]
10/12-23:30:10.361246 192.168.0.202 -> 124.83.179.227
ICMP TTL:64 TOS:0x0 ID:54201 IpLen:20 DgmLen:84
Type:8  Code:0  ID:28791   Seq:0  ECHO
 
[**] [1:477:3] ICMP Packet [**]
[Priority: 0]
10/12-23:30:10.389684 124.83.179.227 -> 192.168.0.202
ICMP TTL:56 TOS:0x0 ID:64749 IpLen:20 DgmLen:84
Type:0  Code:0  ID:28791  Seq:0  ECHO REPLY

関連項目