[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:01384] Re: IDS の目的って？

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:01384] Re: IDS の目的って？
From: Kenji Yamamoto <yamaken@xxxxxxxxxx>
Date: Wed, 09 Oct 2002 23:37:01 +0900

山本です。

|Subject: [stalk:01381] Re: IDS の目的って？
|From: MICKY <micky@xxxxxxxxx>
|Date: Wed, 09 Oct 2002 17:03:02 +0900
|Message-Id: <20021009165620.20D0.MICKY@xxxxxxxxx>
|User-Agent: Becky! ver. 2.05.01

| シグネチャをカスタマイズしまくって，ワームのとび具合とか，トラフィ
| ックに含まれる特定文字の検出とかやってるトコもあるそうです．これら
| を元にしてサーバやネットワーク増強のバックデータにするんだとか．

聞いたところによると、AD2002 ではどなたかが Ethereal か何かのキャ
プチャデータをそのまま Snort に喰わせたりしていたようですね。＜
デモあるいはプレゼンの中で。

実際 Ethereal Win32 版で採ったキャプチャデータ(外からポートスキャン
してもらった際の。)を 

Snort -A full -r tcpdmp.cpt -c ./snort.cnf -l ../var/log/

とかなんとかしてやると、今使ってるルールに当てはめてソートしてく
れます。SnortSnarf で見ると結構みやすげですね。Silicon Defense 
のサイトを参照すると、結構お手軽に、Windows 上での Snort 及び、 
SnortSnarf や ACID 構築までを行えます。
http://www.silicondefense.com/

以上

山本謙次 [MVP]

-- 
Japan Windows NT Users Group Newsletter Web 
http://www.jwntug.or.jp/services/newsletter/index.html
Kenji Yamamoto, Microsoft MVP (Windows Server Security), MCP+I, MCSE (TCP/IP, IIS4, IEAK4)
mailto:ethernet@xxxxxxxxxxxxxxxx
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　★今なら登録するだけで現金50万円が当たる！？
  http://research.infoseek.co.jp/research/index.phtml/mail?svx=971122

References:
- [stalk:01377] IDS の目的って？
  - From: MICKY
- [stalk:01381] Re: IDS の目的って？
  - From: MICKY

Prev by Date: [stalk:01383] Re: IDS の目的って？
Next by Date: [stalk:01385] [FYI] 解法？ IE の con tent-type無視問題
Previous by thread: [stalk:01381] Re: IDS の目的って？
Next by thread: [stalk:01388] Re: IDS の目的って？
Index(es):
- Date
- Thread