ntop ntopngユーザースクリプトSYN SCAN検知

ntop社のntopngユーザースクリプトを3個紹介してきました。

  1. ntop ntopngユーザースクリプト アクティブ時間差分アラート
  2. ntop ntopngユーザースクリプト ブラックリス国アラート
  3. ntop ntopngユーザースクリプト インターフェイススループット

本日は、サイバーセキュリティツールに変貌を遂げたntopngの一機能、SYN SCANを検知できるユーザースクリプトをご紹介します。

ユーザースクリプトって何?という方は、上記3つの記事を読んでください。

ここでは、設定と検証結果をお見せします。

図1 ホストユーザースクリプト

図1の上段2つのユーザースクリプトが今回検証する対象です。

SYNスキャン攻撃者アラート、SYNスキャン被害者アラート、この2つです。

設定は、1分間に10個のSYNを受信もしくは送信したホストがアラート対象となります。

図2 SYN SCAN nmap実行

検証環境はあいかわらず我が家での実行となります。

Windows10にインストールしたnmap(オプション -sS)を実行し、apu4に対してSYNスキャンを実行します。

図3 nmapの実行

スキャンボタンを押すと開始となります。

apu4側でtcpdumpを取ってみました。大量のSYNが確認できます。

図4 apu4側 tcpdump実行

アラートが出ているか、ntopngのアラートメニューを確認してみましょう。

図5 TCP SYNスキャンアラート

図5の通り、1954,1952といった値で送受信側双方のアラートが発報されていることが確認できます。

ntopngは他にもインシデント検知に利用できるアラートがたくさんあるので、ご紹介していきたいと思います。

(Visited 96 times, 1 visits today)
The following two tabs change content below.
【好きなもの】 インフラ技術が好き。古いものが好き。 【生きてきたフィールド】 システム運用、ソフトウェア開発、ミドルウェア検証、OSSサポート、プリセールスエンジニア、プロジェクトマネジメント 【このサイトでの役割】 サイト管理者。