Snortのシグネチャの作成 icmp
提供: セキュリティ
2013年10月12日 (土) 23:43時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「IPS/IDSのSnortの簡単なシグネチャを作成します。 __TOC__ == 概要 == ここでは、 any から any への ICMP パケットを送受...」)
スポンサーリンク
概要
ここでは、 any から any への ICMP パケットを送受信したときに、アラートとして出力します。
設定
/usr/local/etc/snort/snort.conf に下記の設定を追加します。
include $RULE_PATH/icmp_test.rules
シグネチャ
/usr/local/etc/snort/rules/icmp_test.rules を作成します。
icmp_test.rules
alert icmp any any -> any any (msg:"ICMP Packet"; sid:477;rev:3;)
反映
設定を反映します。Snort を再起動してください。
sudo /usr/local/etc/rc.d/snort restart
テスト
ここでは、テストを実施します。
事前準備
アラートファイルを tail します。
sudo tail -f /var/log/snort/alert
コマンドの実行
ping コマンドを実行します。
ping www.yahoo.co.jp
結果
Snort のログファイル alert に以下のエラーが出力されました。
[**] [1:477:3] ICMP Packet [**] [Priority: 0] 10/12-23:30:10.361246 192.168.0.202 -> 124.83.179.227 ICMP TTL:64 TOS:0x0 ID:54201 IpLen:20 DgmLen:84 Type:8 Code:0 ID:28791 Seq:0 ECHO [**] [1:477:3] ICMP Packet [**] [Priority: 0] 10/12-23:30:10.389684 124.83.179.227 -> 192.168.0.202 ICMP TTL:56 TOS:0x0 ID:64749 IpLen:20 DgmLen:84 Type:0 Code:0 ID:28791 Seq:0 ECHO REPLY
関連項目
- Snort
- oinkmaster
- 侵入検知システム(IDS)
- 侵入防止システム(IPS)
- インストール
- 設定
- 使い方
ツイート
スポンサーリンク