約1か月前、サーバーの1つで、世界中のIPからランダムなパケットを受信し始めました。だから私は賢いことをして、IDSのインストールを延期するのをやめました。このIDSは、SnortおよびSnortSamに付属するClearOSゲートウェイです。私はそれとすべての分類を有効にしました。 「ネットワークスキャン」分類がそこにあります。つまり、ポートスキャンなどを検出する必要があります。
合計4つのポートが開いており、そのうち2つは私が話しているサーバーに転送されます。これらのポートは3724と8085であるため、ポートスキャンで簡単に検出されることはありません。
ただし、このサーバーのいくつかのログを確認すると、攻撃が再開されていることがわかりました。私はこれを見つけました
...
Accepting connection from '75.166.155.122'
[Auth] got unknown packet from '75.166.155.122'
Accepting connection from '98.164.154.93'
[Auth] got unknown packet from '98.164.154.93'
Ping MySQL to keep connection alive
Accepting connection from '70.241.195.129'
[Auth] got unknown packet from '70.241.195.129'
Accepting connection from '67.182.229.169'
[Auth] got unknown packet from '67.182.229.169'
Accepting connection from '69.137.140.38'
[Auth] got unknown packet from '69.137.140.38'
Accepting connection from '76.31.72.55'
[Auth] got unknown packet from '76.31.72.55'
Accepting connection from '97.88.139.39'
[Auth] got unknown packet from '97.88.139.39'
Accepting connection from '173.35.62.112'
[Auth] got unknown packet from '173.35.62.112'
Accepting connection from '187.15.10.73'
[Auth] got unknown packet from '187.15.10.73'
Accepting connection from '66.66.94.124'
[Auth] got unknown packet from '66.66.94.124'
Accepting connection from '75.159.219.124'
[Auth] got unknown packet from '75.159.219.124'
Accepting connection from '99.102.100.82'
[Auth] got unknown packet from '99.102.100.82'
Accepting connection from '24.128.240.45'
[Auth] got unknown packet from '24.128.240.45'
Accepting connection from '99.231.7.39'
[Auth] got unknown packet from '99.231.7.39'
Accepting connection from '206.255.79.56'
[Auth] got unknown packet from '206.255.79.56'
Accepting connection from '68.97.106.235'
[Auth] got unknown packet from '68.97.106.235'
Accepting connection from '69.134.67.251'
[Auth] got unknown packet from '69.134.67.251'
Accepting connection from '63.228.138.186'
[Auth] got unknown packet from '63.228.138.186'
Accepting connection from '184.39.146.193'
[Auth] got unknown packet from '184.39.146.193'
Accepting connection from '69.171.161.102'
[Auth] got unknown packet from '69.171.161.102'
Accepting connection from '76.0.47.228'
[Auth] got unknown packet from '76.0.47.228'
Ping MySQL to keep connection alive
Accepting connection from '126.112.201.14'
[Auth] got unknown packet from '126.112.201.14'
Ping MySQL to keep connection alive
今それは私を怖がらせます。 Snortがこれを検出しないのはなぜですか?彼らはどのようにしてこの特定のポートを見つけることができましたか?
さらに重要なことに、これらのパケットには通常何が含まれますか?これは私が心配すべきことですか?どうすればこれを止めることができますか?
ほとんどのIDSと同様に、Snortは非常に複雑な技術であり、有用な結果を生成し始めるにはかなりの労力が必要です。チューニングには、アラートの分析に多くの時間を費やすだけでなく、どのルールセットを有効にする必要があり、どのルールセットを無効にする必要があるかを判断できるように、利用可能なサービスの両方が必要です。あなたが2つのサービスに特に興味を持っていることを知っていることは、あなたが役立つかもしれないものを絞り込むのに役立ちます。
公式のSourceFireルールとサードパーティの両方を調べると EmergingThreats 、私が見つけた唯一のアラートは、World ofWarcraftのログインの成功と失敗を照合することです。私はあなたのサービスを SourceFireルールサイト で検索することから始めます。 Manual のsfPortscanプリプロセッサを読むことで利益を得るかもしれません。
残念ながら、ClearOSと、それらがアプリの管理をどのようにラップするかについてはよくわかりません。ただし、冗長性を理解すれば、snortアプリケーションは実際にはかなり読みやすいです。