[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00236] Re: [FYI] Snot

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:00236] Re: [FYI] Snot
From: MICKY <micky@xxxxxxxxx>
Date: Tue, 03 Apr 2001 20:33:37 +0900



みっきーです。

さらに自己レス [stalk:00231] [FYI] Snot

snotをsnortとNFRに撃ってみてすこし考えてみました。

stickもそうですけど、これらのジェネレータはsnortのシグネチャをベース
にして疑似攻撃パターンを再現してるワケですよね。するとsnortが検出す
るのは極当たり前だけど、バリバリ誤検知して白目剥いて死んじゃうIDS使
ってる所は、すぐにsnortに乗り換えた方がどちらかと言うと安全ってコト
になってしまうのかな？(非難を受けそうな発言だな)

NFRは負荷は上がったものの、攻撃だと検知した箇所は意外と少なかったん
ですよね。もっともpackage環境整えてないから言い切れはしないけど。

snortは誤検知バリバリだけど、耐え抜きそうです。あと自分でシグネチャ
工夫すれば誤検知もしません。難しいかもしんないけど。

どんなもんでしょ？

>----- みっきーのネットワーク研究所 -----<
>  http://www.hawkeye.ac/micky           <
>  所長：犬のみっきー <micky@xxxxxxxxx>  <
>----------------------------------------<

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
            ★投げる！ 打つ！ 走る！ 春の高校野球放送中！★
○ ◎ http://www.infoseek.co.jp/Kky?pg=kky_top.html&svx=971122 ◎ ○

Follow-Ups:
- [stalk:00237] Re: [FYI] Snot
  - From: HIROKI IWAI
- [stalk:00240] Re: [FYI] Snot
  - From: Koji Shikata
- [stalk:00241] Re: [FYI] Snot
  - From: Koji Shikata

References:
- [stalk:00231] [FYI] Snot
  - From: MICKY
- [stalk:00233] Re: [FYI] Snot
  - From: MICKY

Prev by Date: [stalk:00235] Re: Firewall Defenders
Next by Date: [stalk:00237] Re: [FYI] Snot
Previous by thread: [stalk:00233] Re: [FYI] Snot
Next by thread: [stalk:00237] Re: [FYI] Snot
Index(es):
- Date
- Thread