Tips記事
» 2002年07月24日 00時00分 UPDATE

ポートスキャンのログ記録がしたい

[木田佳克,ITmedia]

 通常、Red Hat LinuxなどをシステムCD-ROMからインストールした場合、標準設定のままでは外部からのポートスキャン結果がログ記録されない。

 記録が可能なツールとしておすすめなのが「iplog」だ。ここではインストールから使用方法例までを解説しよう。なお、動作条件としてlibpcapも必要とするため、前もってRPMパッケージがインストールされているかを確認する必要がある。インストールされていない場合には、ディストリビューションCD-ROMや、「About SpeakEasy.Rpmfind.Net Server」から探し出せばよい。

# rpm -qa|grep libcap
libcap-1.92-4

 次に、iplogのダウンロードからインストール手順を挙げよう。make install後は、標準設定であれば/usr/local/sbin/ディレクトリ下にiplogの名で実行ファイルがインストールされる。

・iplog入手先
http://umn.dl.sourceforge.net/sourceforge/ojnk/

$ wget http://umn.dl.sourceforge.net/\ sourceforge/ojnk/iplog-2.2.3.tar.gz
$ tar zxfv iplog-2.2.3.tar.gz
$ cd iplog-2.2.3
$ ./configure
# make;make install

# /usr/local/sbin/iplog

# tail /var/log/messages

Jul 24 16:37:44 hikki iplog[5900]: iplog started.
Jul 24 16:37:44 hikki iplog[5901]: Fatal: iplog is already running (pid: 489)
Jul 24 16:37:56 hikki iplog[498]: TCP: netbios-ssn connection attempt from xxxxx.zdnet.co.jp:2633

 ただし、このままの状態では必要としないすべてのパケットまでが記録されてしまうだろう。実用的にするためにはiplogの設定ファイル(/etc/iplog.conf)を作成し、記録させないポート番号や、IPアドレスを指定する必要がある。また、あらかじめテンプレートとして/etc/iplog.rulesファイルが用意されているが、次の例を参考にして作成した方がよいだろう。

$ cat /etc/iplog.conf
ignore tcp sport 25 ←SMTPのパケットを記録しない
ignore tcp dport 25
ignore tcp sport 110 ←POP3のパケットを記録しない
ignore tcp dport 110
ignore udp sport 53 ←DNSのパケットを記録しない
ignore udp dport 53
ignore tcp sport 80 ←httpのパケットを記録しない
ignore tcp dport 80
ignore tcp from 192.168.0.0/24
ignore udp from 192.168.0.0/24
ignore icmp from 192.168.0.0/24

 上記設定ファイルのポイントを解説しよう。例えば上記の設定例1、2行目は、入力(dport)、出力(sport)それぞれを25番ポートで拒否(ignore)するという意味になる。

 IPアドレス指定の場合には、9〜11行目で定義しているように、例えば192.168.0.xxxからのTCPとUDPアクセスを拒否する(ignore xxx from 192.168.0.0/24)といった設定が有効だ。

 なお、ポートスキャンを受けた(可能性のある)場合には、次のような記録が残る。

# tail /var/log/messages

Jul 24 17:38:20 hikki iplog[9680]: TCP: port scan detected
[ports 3455,874,1664,621,1506,1532,50,868,3306,1501,...]
from xxxxxxxx.co.jp [ports 2925,2926,2927,2928,2929,...]

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ