Snortログについて
私はSnortを初めて使用し、.capファイルを使用してSnortを実行し、解釈すべきログを取得しました。以下のようなログのブロックを例にとります。
[**] [1:2463:7] EXPLOIT IGMP IGAP message overflow attempt [**]
[Classification: Attempted Administrator Privilege Gain] [Priority: 1]
05/29-19:44:02.238185 249.94.153.251 -> 249.94.153.77
IGMP TTL:255 TOS:0x0 ID:9744 IpLen:20 DgmLen:502 MF
Frag Offset: 0x1FFF Frag Size: 0x01E2
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0367][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0176][Xref => http://www.securityfocus.com/bid/9952]
これはGID = 1シグニチャID 2363、リビジョン7で生成されたアラートであることはわかっています(私が間違っていない場合、それはサービス拒否のアラートも意味します)、他の情報はどういう意味ですか?
[1:2463:7]:侵入シグネチャEXPLOIT IGMP IGAP message overflow attempt [Classification: Attempted Administrator Privilege Gain] [Priority: 1] 05/29-19:44:02.238185:攻撃の起こり得る結果を説明するメッセージ。
249.94.153.251:送信元IP:これは、snortが攻撃の発信元と信じているIPアドレスです。
249.94.153.77:宛先IP:これは攻撃ターゲットのIPアドレスです。
IGMP TTL:255 TOS:0x0 ID:9744 IpLen:20 DgmLen:502 MF Frag Offset: 0x1FFF Frag Size: 0x01E2:基本的に、この攻撃では、攻撃者は不正なIGAPパケットを作成して送信し、脆弱なバージョンのEthereal/tetherealによってデコードされると、バッファオーバーフローを引き起こし、その後、任意のコードを実行する可能性があります。したがって、このデータは、アラートをトリガーしたIGMPパケットに関する情報を示しています。詳細については、存続可能時間(TTL)やサービスの種類(TOS)と同様に http://www.tcpipguide.com/free/t_IPDatagramGeneralFormat.htm を参照してください。
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0367][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2004-0176][Xref => http://www.securityfocus.com/bid/9952]:これらは、この攻撃を可能にする脆弱性に関する詳細情報を提供する追加リンクです。 Common Vulnerabilities and Exposures(CVE)システムは、既知の情報セキュリティの脆弱性に対する参照方法を提供します。
他のsnortの署名については https://www.snort.org/rule_docs/ を参照してください
これがsnortアラートを理解するのに役立つことを願っています