●SnortSnarfの閲覧 |
SnortSnarfのページでは、「Signature」に検知された内容が、どこから接続が行われたかといった詳細な情報については「Detail link」にある「Summary」をクリックすると表示される(写真2)。さらに接続先のIPアドレスをクリックすると「Whois」、「DNS lookup」などへのリンクとともに、接続が行われた日時、内容などを閲覧することができる。
「Signature」にある「sid」はSnortサイトのデータベースへリンクされており、これをクリックするとルールファイルの内容が閲覧ができる(写真3)。また「Bugtraq」などへのリンクがあれば、それをクリックすることで攻撃内容を確認することも可能だ。
写真2■ntpdのバッファオーバーフロー攻撃を検知した際の「Summary」 |
写真3■「sid」のリンクをクリックするとルールファイルの内容が閲覧できる。 |
SnortSnarfが正常に動作することが確認できたら、cronで自動的にアップデートするように設定しておくとよいだろう。
・Cronの記述例【例】毎日、午前2時30分にアップデートを行う
# vi /etc/crontab
30 2 * * * cd /usr/local/snortsnarf; ./snortsnarf.pl
-d /var/www/html/snort /var/log /snort/alert /var/ |
3/5 |