Snort の検出結果の意味を教えてください

先日会社のサーバのSnortを入れました。

下記のアラートの意味についてご存知の方があれば
教えてください。

SHELLCODE x86 inc ecx NOOP [**] [Classification: Executable code was detected]

同サーバがもつ複数IPの443ポートに対してなんらかのスキャンがされているようなの
ですが…

ちなみに、Version 2.9.0.1 GRE　が入っています。

どうぞよろしくお願いします。

No.1 ベストアンサー 回答者： happyslacker 回答日時： 2012/07/03 13:58

Registered User Releaseのsnortrules-snapshot-2912を見てみたところ、

　SHELLCODE x86 inc ecx NOOP [**] [Classification: Executable code was detected]
はパケットのデータ中に"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" 31個の連続したA(x86環境でのinc ecx命令)が含まれる場合に本アラートが出力されます。
このアラート自体は既知の脆弱性をついた攻撃へのアラートではなく、シェルコードと呼ばれる攻撃時に良く使われる特定の目的を達成するための最小限のバイナリコードの特徴にマッチしたことへのアラートです。

他のログなども確認し、False Positiveであれば該当アラートの検知対象絞込み(443/tcpは除外するとか)や該当アラートの無効化など、チューニングを行っていく感じになるかと思います。

※このあたりのチューニングが非常に難しい/面倒なところなんですよね。。。

この回答へのお礼

教えていただいてありがとうございます！

フィルター的には通常ではありえないデータを含むケース、との理解でよいのでしょうか？

いずれにしても下記の点から今回のものは攻撃（いたずら？）なのかなぁとの判断です。
(1)接続元が海外で、無関係な接続元IP　※内部向けのサービスなので、一般公開していない。
(2)連続したIPのサーバに対して同じアラートが発生。

一方、接続元が関係者IPの場合は除外する設定を追加しないとダメだなぁという感じです(*_*)

お礼日時：2012/07/07 00:42