2009年6月12日金曜日

Snortについて

Snortについての日本語の情報って思っていたよりもないの?
Wikipediaの日本語記事がなくて、微妙にがっかりした今日この頃。

Snortとは何か?
1998年にMartin Roeschによってリリースされた、クロスプラットフォームで軽量なNIDS(Network intrusion detection systems/ネットワーク侵入検出システム)。
現在もSourcefire社によって開発されている。
GPL(GNU General Public License)の基で使用が可能。つまりはほとんど自由に使ってイイよってこと。
NIDSは基本的にお値段が高いが、Snortを使えば個人でもタダで使える!
小規模なTCP/IPネットワークをモニタリングし、怪しげなトラフィックを検出し調査できる。
2009年6月12日現在の安定バージョンは2.8.4.1。
ダウンロードはhttp://www.snort.org/downloadsから。


Snortの特徴

Snortはlibpcap(http://en.wikipedia.org/wiki/Pcap)を利用しパケットスニファを行う。
パケットスニファにより収集したデータに対して、ルールを基にログとして収集し、その内容に対してパターンマッチングを行う。
このパターンマッチングによりBuffer overflowsやstealth port scans, CGI attacks, SMB probesなどの様々な攻撃を検出できる。
Snortはこれらを検出した場合にリアルタイムで警告が可能で、また警告をSyslog(RFC 3164/ http://tools.ietf.org/html/rfc3146)に転送することも可能である。

0 件のコメント: