[stalk:00240] Re: [FYI] Snot

[Koji Shikata <shikap@xxxxxxxxxxxx>]

しかＰです。

すでに脳味噌HALT状態で、英文mailを読む根性はなかったです。

少なくとも、snortのシグネチャをベースにして疑似攻撃するわけですから、
他のIDSが、全く同じシグネチャを使っているわけではない限り、誤検知
しまくってこける、という可能性は比較的少ないと思います。
元々誤検知しまくるIDSは覚悟を決めた方がいいかもしれないですが(^^;

とはいえ、ここがオープンソースの弱点かもしれん、と思うのですが、
snotに引っかかるような誤検知しまくりシグネチャを修正すると、
速攻で修正したシグネチャを使った疑似攻撃を食らうわけです。
じゃぁ、修正したシグネチャを公表しない、ってのもなんだか
なぁ、って言うことになるわけです。

むぅ。地震があったようです＞静岡
今のところ被害は入ってなさそう？　小休止。

復活（笑）。
静岡が震度５強。津波はなし。中部電力は平常通りだそうで。

少なくともシグネチャを使った疑似攻撃を防ぐのには、アタックを
余裕をもって処理できるCPUが一番簡単かも。
＃それと大量の誤検知を処理できる人間（苦笑）
・・・と書いていて思ったこと。
疑似アタックを繰り返すことで、処理する人間をDoS攻撃する、という
パターンが一番危ないかもしれないです。
人間がHALTする方が、IDSのダウンよりもうっとおしいかも。

-- 
  ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
  　　鹿田　幸治　　　　　　　Koji.Shikata
  　　　E-Mail:shikap@xxxxxxxxxxxx
              :shikap@xxxxxxxxxxxx
　snort1.7のパッチ公開中 http://www.yk.rim.or.jp/~shikap/patch/
  ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
            ★投げる！ 打つ！ 走る！ 春の高校野球放送中！★
○ ◎ http://www.infoseek.co.jp/Kky?pg=kky_top.html&svx=971122 ◎ ○