API Reference Manual

NIDSupport

NIDSuportクラスは全体の挙動を設定するためにあります。

スーパークラス

Object

メソッド

NIDSupport::ipfilter()以外の各メソッドは引数を与えないと 現在の状態を返します。逆に引数を与えることで設定を変更することができます。

次のスクリプトは表示と変更の簡単な例です。

#!/usr/bin/ruby

require "rnids"

printf "device name is %s\n", NIDSupport::device

NIDSupport::device("eth1")

printf "device name is %s\n", NIDSupport::device

device

デフォルト値は""。
String型のオブジェクトでパケットを読み取るために使用する インタフェースの名前を指定することができる。

dev_addon

デフォルト値は-1。
sk_buffのサイズを変更できる。

ip_filter

デフォルト値はfalse。
trueにすると各パケットに対して NIDSupport::ipfilter(ip_packet) が呼ばれます。一度trueにしてからfalseにするとC言語のレベルで 常に1を返す関数がipfilterの代りに使われます。

ipfilter(ip_packet)

常に1を返す。ip_packetはNIDS_IPオジェクトで、このメソッドが0を 返した場合にはそのパケットは処理されません。

n_hosts

hash_hosts_size

デフォルト値は256。
デフラグメント化したIPのためのテーブルの大きさを指定します。

n_tcp_streams

hash_streams_size

デフォルト値は1040。
再構成するTCPパケットのためのテーブルの大きさを指定します。

pcap_filter

デフォルト値は""。
String型のオブジェクトでtcpdumpと同様のpcapへの フィルターを指定できます。lynk-layerに対してのみ動作するので "tcp dst port 25"のようなフィルターは意味を持ちません。 "ip host 192.168.1.1"のような指定を受け付けます。

promisc

promiscuous

デフォルト値はtrue。
ネッタワーク・インタフェースをpromiscuous modeにするかどうかの フラグをセットします。

scan_delay

デフォルト値は3000。
単位は[ms]。 ポートスキャンと認識するために時間間隔の上限を指定します。

scan_num_ports

デフォルト値は10。
同一の送信元アドレスに対して、ポートスキャンと認識するための ポート数の下限を指定します。

scan_num_hosts

デフォルト値は256。
ポートスキャンの際にホストを識別するためのテーブルの大きさを 指定します。0にするとポートスキャンは行なわれません。

sk_buff_size

デフォルト値は168。
このサイズは変更しない方が無難です。 詳しくはlibnids-1.16に含まれるdoc/API.txtを御覧ください。

syslog_level

syslog_priority

デフォルト値は1。
整数でloglevel(priority)が指定できます。 portscanが検出された際にはsyslogd以外へメッセージを出力することは できないのでこの値で挙動を変更してください。 ちなみに標準の1はLOG_ALERTの事で、facilityはLOG_LOCAL0が使われています。 しかしfacilityについてはlibnids-1.16では文書化されていないようなので 注意が必要です。