[connect24h:02006] Re: snort IIS Unicode attack signature

[DANNA <danna@xxxxxxxxxxx>]

kirei　　『ねぇ、見た？このサイト』
　suteki　『これでしょう！いいよね♪』
         http://www.kadan.ne.jp/bn.cgi?info02 
　kantan　『お、いいね。早速使おうっと！』
------------------------------------------------------------------------


ダンナ＠サポセンです。

昨日からsnortのACIDで遊んでます。ログ管理に要する時間がsnortsnarfを
使うのに比べて、体感で半分くらいになってしまった。アプリケーション
レイヤまで参照できるし、イロイロなクエリをかけられるしで、とっても
気に入りました。これでシグネチャのメンテナンスもリモートで出来ると
嬉しいな。

それはさておいて、

> これって、64.7.21.19から単にIIS Unicode アタックが来ているだけの
> ような気がするんですが、本当のところ、どうなんでしょう

ちょっとみてきました、単なる誤検知っぽい気がします。と言うか、SNORT
のUNICODE DETECTORの部分って、英語圏しか想定してないみたいですから、
「信じちゃイカン！」ってカンジですか？
。

# シグネチャで対応できるかな？とかって無責任に思ったりして。

武田さんの仰るように、この部分に関しては２バイトコード圏からのフィ
ードバックが必要でしょう。

どなたか有志の方はいらっしゃいません？

# または、pakemonにUNICODE DETECTORを内蔵するのダメ？

+---------------------------------------+
+    DANNA @ SAPOSEN
+  e-mail : danna@xxxxxxxxxxx
+  web site : http://www.hawkeye.ac/micky
+---------------------------------------+