セキュリティ / SSL => ICMPパケットの監視 > 1.ICMPパケットを監視する (iplogger導入)
iploggerとpingloggerを導入します。TurboLinuxの場合はrpmパッケージが用意されていますのでそれらを使いました。インス トールについて省略します。ステルスモードに対応したルータや、iptables ファイアーウォールなど、何らかの方法で ICMP パケットを抑制していた場合は、ロギングする事はできません。
TurboLinux 6のパッケージでは、パケットをロギングするツールに以下が用意されています。何れもパケットをロギングするため、多くのディスクスペースを浪費しますので注意が必要です。
TCP UDP ICMPパケットをロギングします。/var/log/message にログを出力します。TCP UDPについては大量のログが書き出されることになります。サーバーに対しポートスキャンが実行されると短時間に一斉にTCP UDP ログが観測されます。スキャンツールによっては、中にUDPパケットも含まれる場合もあります。ディスクが圧迫されるので導入には注意が必要です。また、messageログに出力されるため、他の重要なログが埋もれてしまいます。監視のためにはswatchなどの監視ツールは必須でしょう。
こちらは、ICMPパケットのみを監視します。サーバーにICMPパケットが到達すると/etc/log/ping.log へログが出力されます。
相手先のIPアドレスを指定し、ICMPエコー、すなわち返信要求を行うパケットを送出します。これは特定のサービスに対して行うものではなく、IPサービスのみに行います。相手と物理的に通信を行うことが可能であるかどうか、調べる時に利用されます。
pingはこのICMPパケットを送出することで相手 と物理的に通信可能であるかを調べるときに利用されますが、不正アクセスにも悪用されます。
外部から届くICMPパケットを監視する事で、不正アクセスの前兆を観測することが出来るようになります。
この標題のトップへ 1 / 3 
