.
セキュリティ / SSL => ICMPパケットの監視 > 1.ICMPパケットを監視する (iplogger導入)
Linux 活用ガイド:目次

サーバ構築ガイド

レンタル ガイド

ショップ 構築ガイド

情報漏洩対策

ICMPパケットを監視する (iplogger導入)

iploggerとpingloggerを導入します。TurboLinuxの場合はrpmパッケージが用意されていますのでそれらを使いました。インス トールについて省略します。ステルスモードに対応したルータや、iptables ファイアーウォールなど、何らかの方法で ICMP パケットを抑制していた場合は、ロギングする事はできません。

ログ監視を強化する

TurboLinux 6のパッケージでは、パケットをロギングするツールに以下が用意されています。何れもパケットをロギングするため、多くのディスクスペースを浪費しますので注意が必要です。

iplogger

TCP UDP ICMPパケットをロギングします。/var/log/message にログを出力します。TCP UDPについては大量のログが書き出されることになります。サーバーに対しポートスキャンが実行されると短時間に一斉にTCP UDP ログが観測されます。スキャンツールによっては、中にUDPパケットも含まれる場合もあります。ディスクが圧迫されるので導入には注意が必要です。また、messageログに出力されるため、他の重要なログが埋もれてしまいます。監視のためにはswatchなどの監視ツールは必須でしょう。

pinglogger

こちらは、ICMPパケットのみを監視します。サーバーにICMPパケットが到達すると/etc/log/ping.log へログが出力されます。

ICMP (Internet Control Message Protocol) パケットとは?

相手先のIPアドレスを指定し、ICMPエコー、すなわち返信要求を行うパケットを送出します。これは特定のサービスに対して行うものではなく、IPサービスのみに行います。相手と物理的に通信を行うことが可能であるかどうか、調べる時に利用されます。

pingはこのICMPパケットを送出することで相手 と物理的に通信可能であるかを調べるときに利用されますが、不正アクセスにも悪用されます。

外部から届くICMPパケットを監視する事で、不正アクセスの前兆を観測することが出来るようになります。

ICMPパケットの監視


ネットワーク関連 書籍案内

bottom_mark
ページ最上部
ページ最上部 前のページ