• ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:snortに関して)

snortに関しての質問

このQ&Aのポイント
  • snortに関して、フィルタリングとポートスキャン検出についての質問です。
  • snortの走査はフィルタを通過したパケットに対してのみ行われるのか、ポートスキャンの検出方法についてお聞きしたいです。
  • また、alertファイルに書かれる各項目の意味や見方がわかるページがあれば教えていただけると嬉しいです。
  • retr
  • お礼率90% (27/30)

質問者が選んだベストアンサー

  • ベストアンサー
回答No.1

まず1点目ですが、iptablesでフィルタをしているか否かはまったく関係ありません。 もっと極端な話をすると、NICにIPアドレスが割り当てられていなくても、Snortはパケットをキャプチャできます。 2点目ですが、例の中の"111.222.333.xxx"が自ホストのIPアドレスということですよね。 "6 targets 6 ports in 12 seconds"と書かれていますが、12秒の間に6ホストの6ポートに対するアクセスがあったため、ポートスキャンとみなされたようです。 それぞれ別々の接続先に繋がるネットワークアプリケーションを多数立ち上げて、それらを同時に利用すればこれらの状況が発生すると思いますが、そのような使い方をしていませんでしょうか? あまりにこのアラートが多く出るようでしたら、ルールの修正や無効化を考えたほうがいいかもしれません。 参考ページですが、いろいろ見てもやはり英語の公式マニュアルが一番わかりやすいので、まずはそちらを参照してみてはいかがでしょうか。

retr
質問者

お礼

遅くなって申し訳ありません。解答ありがとうございました。 2点目に関してですが、知り合いのサーバからポートスキャンした場合も、fromとtoが逆に載ってしまうのです。もう少し自分で調べてみます。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. その他(OS)

関連するQ&A

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる! OKWAVE セレクト

専門家に質問してみよう

職業から探して質問する
質問する