[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00240] Re: [FYI] Snot





しかPです。

すでに脳味噌HALT状態で、英文mailを読む根性はなかったです。

少なくとも、snortのシグネチャをベースにして疑似攻撃するわけですから、
他のIDSが、全く同じシグネチャを使っているわけではない限り、誤検知
しまくってこける、という可能性は比較的少ないと思います。
元々誤検知しまくるIDSは覚悟を決めた方がいいかもしれないですが(^^;

とはいえ、ここがオープンソースの弱点かもしれん、と思うのですが、
snotに引っかかるような誤検知しまくりシグネチャを修正すると、
速攻で修正したシグネチャを使った疑似攻撃を食らうわけです。
じゃぁ、修正したシグネチャを公表しない、ってのもなんだか
なぁ、って言うことになるわけです。

むぅ。地震があったようです>静岡
今のところ被害は入ってなさそう? 小休止。

復活(笑)。
静岡が震度5強。津波はなし。中部電力は平常通りだそうで。

少なくともシグネチャを使った疑似攻撃を防ぐのには、アタックを
余裕をもって処理できるCPUが一番簡単かも。
#それと大量の誤検知を処理できる人間(苦笑)
・・・と書いていて思ったこと。
疑似アタックを繰り返すことで、処理する人間をDoS攻撃する、という
パターンが一番危ないかもしれないです。
人間がHALTする方が、IDSのダウンよりもうっとおしいかも。

-- 
  ===============================
    鹿田 幸治       Koji.Shikata
     E-Mail:shikap@xxxxxxxxxxxx
              :shikap@xxxxxxxxxxxx
 snort1.7のパッチ公開中 http://www.yk.rim.or.jp/~shikap/patch/
  ===============================

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
            ★投げる! 打つ! 走る! 春の高校野球放送中!★
○ ◎ http://www.infoseek.co.jp/Kky?pg=kky_top.html&svx=971122 ◎ ○