2001年8月16日 更新

IPモニタリング


パケットキャプチャでの侵入検知システムは誤報をいかに少なくするかが成功の要になりますが、そのための人員の教育には費用がかかる欠点があります。 IPモニタリングは侵入検知程のコストをかけず、安いコストで狭い範囲の侵入行動を検知することをメインとした検知システムです。 これはそれほど難しい方法ではなく、通常はDNSに登録していないグローバルアドレスの1つを常に監視して、このアドレス宛のパケットがきた場合に警報するという単純なものから、そのパケットを実際に受け取ってあたかもそのサービスが動作しているかのように見せかけ、侵入行動を把握するものまであります。
通常、クラッカーは侵入行動前にそのサイトのポートスキャンを行いますが、その際、DNSの登録状況に関係なくすべてのIPアドレスをスキャンする傾向があります。 この際、実際にはありえないIPアドレス向けパケットが送られてくるので、例えばルータでその特定の監視対象アドレス宛のパケットをフィルタリングで警報するようにするだけでも、簡単にポートスキャンを見分ける事が可能になります。(2つのアドレス監視すると効果的です)
また、ファイヤーウォールがある場合には、これを使って監視対象を監視すると良いでしょう。
警報が発生したなら、例えば数日間(最低1日程度)はそのアドレス(またはネットワーク)からのパケットは拒否するようにすることで、かなりの確立で攻撃を撃退できる可能性があります。
IPモニタリングは、理論上ありえないパケットの発生源をすべて攻撃とみなすので、パケットキャプチャほどは正確な警報を発生させることはできませんが、導入コストは低いので取りあえずルータへのフィルタリング程度のでのモニタをしておくと良いと思います。

単独のモニタリングシステムとしてのものは現在調査中です。