web-dev-qa-db-ja.com

侵入防止ログ

IDSログを含むメールをクライアントから受信しました。次のログに、サーバーが危険にさらされているという実際の兆候があるかどうか疑問に思いました。状況を診断するために私にできることがあるなら、私はどんな提案でも開いています。

###Log Start##
02/28/2011 08:58:42.352 - Alert - Intrusion Prevention - Possible port scan
detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 8897, OPT - TCP scanned
port list, 8869, 8867, 8863, 8898, 8899
02/28/2011 09:08:01.144 - Alert - Intrusion Prevention - Possible port scan
detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 12470, OPT - TCP scanned
port list, 12403, 12454, 12462, 12466, 12472
02/28/2011 09:09:20.080 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 14037, OPT - TCP
scanned port list, 13972, 13970, 14023, 13979, 13983
02/28/2011 09:10:58.496 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 15749, OPT - TCP
scanned port list, 15755, 15715, 15697, 15717, 15751
02/28/2011 09:14:24.112 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 19277, OPT - TCP
scanned port list, 19239, 19266, 19269, 19273, 19275
02/28/2011 09:15:50.592 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 21033, OPT - TCP
scanned port list, 21071, 20965, 21111, 20955, 21090
02/28/2011 09:26:15.016 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 37244, OPT - TCP
scanned port list, 37260, 37278, 37235, 37238, 37247
02/28/2011 09:28:53.592 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 40411, OPT - TCP
scanned port list, 40468, 40453, 40454, 40455, 40465
02/28/2011 09:29:19.128 - Alert - Intrusion Prevention - Possible port scan
detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 41163, OPT - TCP scanned
port list, 41217, 41216, 41178, 41137, 41138
02/28/2011 09:40:38.240 - Alert - Intrusion Prevention - Probable TCP FIN
scan detected - x.x.x.x.x, 443, OPT - x.x.x.x.x, 55567, OPT - TCP
scanned port list, 55555, 55553, 55582, 55589, 55561
###Log End##
7
rizzo0917

ログに妥協の兆候はありません。それらは最悪のポートスキャンでのみ表示されます。これは開いているポートを探す行為であり、開いているポートが見つかった場合の次の段階は、実行中のソフトウェアのバージョンを確認し、潜在的な脆弱性を利用してアクセス権を取得することです。これはログにも表示されます(IDSが正しく調整されていない限り)。

ただし、このアクティビティのソースアドレスがWebサーバーを使用する有効なIPに対応しているかどうかを確認するには、Webサーバーのログを確認する価値があります。場合によっては、クライアントがサービスに接続しようとすると、リモートポート(この場合は443)で接続を確立し、サーバーが戻りトラフィック用の高ポートを開こうとします。これがブロックされている場合、接続は別のハイポートを確立しようとする場合があります。これにより、ポートスキャンのように見える場合があります。

4
David Stubley

回答

いいえ、これは妥協の兆候ではありません。

ポートスキャンの詳細

メッセージが示すように、2種類のポートスキャンが発生しています。

  • TCPスキャン:フル(SYN、SYN/ACK、ACK)またはハーフオープン(SYN、SYN/ACK)スキャン
  • FINスキャン:より高度なスキャン手法

FW/IDSモジュールがこれらのメッセージを生成するために必要なしきい値によって異なります。異なる製品には 異なるデフォルト値 が付属しています。 2番目のスキャン手法は非常に人気がなく、無害なまぐれと見なされることはあまり一般的ではありません。これは、ターゲットサイトを列挙するために誰かが時間をかけていることを示している可能性があります。検出により、その人は熟練度が低いか、急いでいると想定できます。

DoSの試みはほとんどありません

さらに、メッセージのタイミングは、可能なDDoSフラッディングアプローチを示していません。遅すぎる。

0
Marc Ruef