Snort動作確認編
前回 (Snortインストール編 - safari029’s blog)の続き。
動作確認作業
まずは適当なシグネチャを書きます。
$ vi /snort_test.conf
まずはホスト型IDSとして動作させます。シグネチャはとりあえずlocalに対するpingを検知する設定を作成。
alert icmp any any -> サーバのIP any (msg:”ICMP_detection”; sid:1000000;)
テストコマンドで確認してみます。
$ snort -T -c snort_test.conf~略~Snort successfully validated the configuration!Snort exiting
successfully がでてればOK、ちなみにNGのときはERRORとなるので適宜修正します。
あとlogファイル保管用のディレクトリ作っておきます。
(snort起動時にlog保管フォルダを指定できるのですが、指定しない場合は/var/log/snort/ 内に保存されるらしい)
$ sudo mkdir /var/log/snort
では早速起動。
# snort -D -c snort_test.conf
ログファイルを表示させながら外部から対象サーバにpingを打ってみると…
# tail -f /var/log/snort/alert [**] [1:1000000:0] ICMP_detection [**][Priority: 0]
11/14-23:51:38.973144 FROMのIP -> ホストのIP
ICMP TTL:119 TOS:0x0 ID:3020 IpLen:20 DgmLen:60
Type:8 Code:0 ID:61229 Seq:2 ECHO
無事検知されました、ちなみにシグネチャで検知されたパケットは同フォルダに「snort.log.数字」として保管されてます。こちらはWireSharkなどで確認することができます。
# ls -l /var/log/snort/
total 8
-rw-r--r-- 1 root root 788 Nov 14 23:52 alert
-rw-r--r-- 1 root root 384 Nov 14 23:52 snort.log.1415976580
最後にsnortはkillすることをお忘れなく。
参考
10分で出来る snort インストールと検知テスト at www.morihi-soc.net
ゼロから始めるLinuxセキュリティ(最終回):ネットワーク型IDS「Snort」のシグネチャ作成法 - @IT