Snortの高速化（Snort+GigaPcap)

Snortの高速化 (Snort+GigaPcap)

IDSツール「Snort」

SNORT(R)はGPLライセンスである、IDS(Intrusion Detection System)ソフトウエアである。ネットワーク回線上から不正に侵入するパケットを発見したり、フィルタルールに基づいて警告を発したり、パケットのログを保管する侵入検知機能を持つ。

Snortの問題点

ネットワークの帯域が増すにつれて、CPUへの負荷が大きくなる為パケットの取りこぼしが発生する可能性がある。この場合、不正侵入のパケットが回線上を通過したとしてもそれを警告したりログに記録することはできない。不正アクセスの見落としや証拠となるべきパケットデータを見失うことは、IDSとして致命的な欠点である。

Snort + GigaPcap の動作モード

Snortには
(1) スニファー　(2)ロギング　(3)IDS
のモードがある。
Snort+GigaPcapは、この3つのモードの中のスニファーモードにおいてGigabitEtherの1Gbpsの高帯域環境において100%パケットキャプチャを可能とするものである。

GigaPcap で Snort を高速化

ギガビットレートのパケットキャプチャは割り込みも多く発生する為、パケットキャプチャによるCPUの負担はとても大きく、特にPentiumD2.8GHzといったマシンにおいてもプロトコルスタックの処理にCPUの性能の60～70%が使用される。これを100とするとGigaPcap+Snortでは同じ処理が20～50のCPU性能で処理可能となる。
PCAPヘッダ解析などのパケット処理も、帯域の増加に比例して増す。GigaPcap+Snortでは、それらのパケット毎の処理をハードウェアで行うため、帯域の増加によるCPUへの負荷を劇的に低減することが可能である。

高速化Snort のアドバンテージ

GigaPcapを使えば、Snort で1Gbpsの高帯域環境においてもパケットロス無しで監視可能
GigaPcapを使えばサーバのCPU処理負荷が軽減可能
GigaPcapを使えば、Snortでより複雑な条件が設定可能

高速化 Snort の適用例

監視したいトラヒックのミラーなどをIDSに接続することで、設定したフィルタに基づいて警告を発することができる。
下図はネットワーク型IDS(NIDS)としてDMZ領域に設置した高速化Snortの適用例である。

Snort + GigaPcap インストールマニュアル

ここではSnort2.4.4を対象として、Snortをシステムに組み込む方法を説明します。また、GigaPcap上にSnortを組み込む方法を説明します。
Linux系のOS上でSnortを利用するには、パケットキャプチャ用のライブラリであるlibpcapが必要です。GigaPcapはlibpcapの機能が含まれており、Snortのコンパイル時にGigaPcap用のライブラリを指定することでlibpcapを使用します。

Snort+GigaPcapインストールマニュアルPDFダウンロード「snort_gigapcap_inst0600915.pdf（131kb）」

PDF方式のファイルを読むには「Adobe Reader」のインストールが必要です。
右の「Get ADOBE READER」のボタンを押して移動したサイトで入手できます。

詳細は下記リンクをご覧ください

■GigaPcap
■GigaPcapベンチマーク
■NetFlowの高速化（NetFlow+GigaPcap）
■Etherealの高速化（Ethereal+GigaPcap）
■GigaPcap 情報漏洩対策
■情報漏洩対策ニーズ
■内部統制における記録のニーズ
■情報漏洩対策関連用語

コンテンツ

ニュース＆イベント

u10 blog