[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:53061] Re: 侵入検知システム「Snort」について



こんばんわ.渥美と申します.

以前snortをbuildして利用していたことがあるので前半部分だけ答えます.

canon <kame55-itasenpara123@xxxxxxxxxxxxx> wrote (Sat, 26 Sep 2009 17:48:21 +0900)

> 最初の疑問ですが、Snortのデフォルトはプロミスキャスモードでの起動です
> が、万が一そこから第三者からスニファリングされて盗聴される、ということは
> あるのでしょうか。なお、現在「ifconfig」の結果は「eth0」インターフェイス
> が「UP BROADCAST RUNNING MULTICAST」でした(プロミスキャスモードではな
> い?)。

ありや,無しや,の話なら有りです.今までにsnortのキャプチャリングのセ
キュリティホールを突いた攻撃手法がいくつか公開されています.現在のバー
ジョンは,知られている範囲ですべてfixされていると思いますが,今後もセ
キュリティーホールが見つからないという保証はありません.

1.ストーリーとしては,snortに適当な攻撃データを吸わせる.
2.snortがそのpayloadを解析中にバッファオーバフローなどを起こしてプロ
  セスがペイロード上のプログラムに支配される.
3.2のプロセスが攻撃者の指示待ちをしたり,攻撃者に乗っ取ったことを通知
   することで,攻撃者の意のままに動くスニファーとなる.

と言うところです.しかし,ターゲットコンピュータによってバッファオーバー
フローの攻撃ツールの調整が必要なので,実際にはそんなに簡単には成功しま
せん.しかし,ここでOSとsnortのバージョンを宣言してしまうと攻撃はしや
すくなることは知っておいて下さい.

私はsnortについてはパッケージ版ではなく,オリジナルからbuildすることを
お勧めします.

--
Kiyotaka ATSUMI, Suzuka National College of Technology
Web: https://www.ka-lab.jp/
PGP Public Key: https://www.ka-lab.jp/pubkey/20090703.kiyotaka-at-ka-lab.jp.asc
Finger Print: 9E2A 80B4 0F3D 424E 035F B594 991F 7795 DD6D 560F