[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:3581] Re: インドとNetVCR

To: connect24h@xxxxxxxxxx
Subject: [connect24h:3581] Re: インドとNetVCR
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Tue, 02 Apr 2002 12:11:40 +0900

こんにちは、Port139 伊原です。

On Tue, 02 Apr 2002 09:21:11 +0900
hama <hamamoto@xxxxxxxxxxx> wrote:

>ネットワーク型のIDSで、シグネチャベースのIDSは、処理速度的にそのままでは
>Gbitの帯域に対応できないので、プロトコルで振り分けて既存のシグネチャベー
>スのIDSを使うか、NetVCRのようにとにかく全て保存するか、リアルタイムで統計
>的な検出を行うか、だと思います。他にネットワークベースで検知のアプローチっ

とても恥ずかしい質問な気がするのですが...

プロミスキャスモードで NIDS やパケットキャプチャを動かした場合、
帯域や CPU 負荷などによりパケットの取りこぼしが発生するのは理解
できるのですが、自分宛のパケットで取りこぼすケースってあるので
しょうか。

例えば、ホスト型 IDS やパケットキャプチャツールが、自分ホスト宛
のパケットを監視しているようなケースで、IDS がパケットを取りこ
ぼすということは発生するのでしょうか？(Y/n)

>てあるのかなぁ。。。後は、ホストベースIDSや、Tripwireのようなファイル改竄
>検知型IDSくらいですかね。

CodeRed や Nimda の感染時点のように、メモリだけに変化が発生する
ようなケースでは、ファイル改ざんを監視するタイプだと検出が難し
いので、異常なネットワーク利用を検出できる製品っていうのはその
ような場合にいいのかなぁと個人的には感じています。

＃もちろん、感染による被害範囲を確認するのに Tripwire など整合性
＃チェックツールは必須なんですが...

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/


--[PR]------------------------------------------------------------------
 ┏━━━━━━━━━━━━  Find Job !  ━━━━━━━━━━━━┓
　あなたにぴったりのデジタル系アルバイト・転職情報をメールでお届け
 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
 ▼　　インターネット業界でアルバイト・転職をしたい人は必見！　　▼
　　　　　 http://ad.freeml.com/cgi-bin/ad.cgi?id=aPSKT
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp

Follow-Ups:
- [connect24h:3584] Re: インドとNetVCR
  - From: hama
- [connect24h:3587] Re: インドとNetVCR
  - From: Hamano

References:
- [connect24h:3567] Re: インドとNetVCR
  - From: Mutsumi Takahashi
- [connect24h:3572] Re: インドとNetVCR
  - From: hama

Prev by Date: [connect24h:3580] Re: 話題提供 4/1
Next by Date: [connect24h:3582] Re: 話題提供 4/1
Previous by thread: [connect24h:3572] Re: インドとNetVCR
Next by thread: [connect24h:3584] Re: インドとNetVCR
Index(es):
- Date
- Thread