[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:53063] Re: 侵入検知システム「Snort」について

From: mizuhara@xxxxxxx (水原文)
Subject: [debian-users:53063] Re: 侵入検知システム「Snort」について
Date: Sun, 27 Sep 2009 00:49:32 +0900
List-help: <mailto:debian-users-ctl@debian.or.jp?body=help>
List-id: debian-users.debian.or.jp
List-owner: <mailto:debian-users-admin@debian.or.jp>
List-post: <mailto:debian-users@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-users-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-users-ctl@debian.or.jp; help=<mailto:debian-users-ctl@debian.or.jp?body=help>
X-ml-name: debian-users
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-spam-checker-version: SpamAssassin 3.1.7-deb3 (2006-10-05) on osdn.debian.or.jp
X-spam-level: *
X-spam-status: No, score=1.1 required=10.0 tests=GAPPY_SUBJECT,KI,PLING_QUERY, SUBJECT_ENCODED_TWICE autolearn=disabled version=3.1.7-deb3
X-virus-scanned: Debian amavisd-new at coup.rim.or.jp
References: <1253954900.11773.65.camel@xxxxxxxxxxxxxxxxxxxxxxxxxx> <20090927.000944.193709450.kiyotaka@xxxxxxxxx>
Message-id: <87vdj5k8oq.wl@xxxxxxxxxxxxxxxxxxxxxxxx>
X-mail-count: 53063
User-agent: Wanderlust/2.14.0 (Africa) SEMI/1.14.6 (Maruoka) FLIM/1.14.8 (Shij�) APEL/10.6 Emacs/21.4 (i486-pc-linux-gnu) MULE/5.0 (SAKAKI)

すみません、水原です。

ちょっと質問の意図を誤解していたようで、失礼しました。

渥美さんのメールは私にとっても非常に参考になったのですけど、これって
Promiscuous mode かどうかに関わらず発生する問題だという理解で正しいで
しょうか？

At Sun, 27 Sep 2009 00:11:11 +0900,
Kiyotaka ATSUMI wrote:
> 
> こんばんわ．渥美と申します．
> 
> 以前snortをbuildして利用していたことがあるので前半部分だけ答えます．
> 
> canon <kame55-itasenpara123@xxxxxxxxxxxxx> wrote (Sat, 26 Sep 2009 17:48:21 +0900)
> 
> > 最初の疑問ですが、Snortのデフォルトはプロミスキャスモードでの起動です
> > が、万が一そこから第三者からスニファリングされて盗聴される、ということは
> > あるのでしょうか。なお、現在「ifconfig」の結果は「eth0」インターフェイス
> > が「UP BROADCAST RUNNING MULTICAST」でした（プロミスキャスモードではな
> > い？）。
> 
> ありや，無しや，の話なら有りです．今までにsnortのキャプチャリングのセ
> キュリティホールを突いた攻撃手法がいくつか公開されています．現在のバー
> ジョンは，知られている範囲ですべてfixされていると思いますが，今後もセ
> キュリティーホールが見つからないという保証はありません．
> 
> 1．ストーリーとしては，snortに適当な攻撃データを吸わせる．
> 2．snortがそのpayloadを解析中にバッファオーバフローなどを起こしてプロ
> 　 セスがペイロード上のプログラムに支配される．
> 3．2のプロセスが攻撃者の指示待ちをしたり，攻撃者に乗っ取ったことを通知
>    することで，攻撃者の意のままに動くスニファーとなる．
> 
> と言うところです．しかし，ターゲットコンピュータによってバッファオーバー
> フローの攻撃ツールの調整が必要なので，実際にはそんなに簡単には成功しま
> せん．しかし，ここでOSとsnortのバージョンを宣言してしまうと攻撃はしや
> すくなることは知っておいて下さい．
> 
> 私はsnortについてはパッケージ版ではなく，オリジナルからbuildすることを
> お勧めします．
> 
> --
> Kiyotaka ATSUMI, Suzuka National College of Technology
> Web: https://www.ka-lab.jp/
> PGP Public Key: https://www.ka-lab.jp/pubkey/20090703.kiyotaka-at-ka-lab.jp.asc
> Finger Print: 9E2A 80B4 0F3D 424E 035F B594 991F 7795 DD6D 560F
> 
> 
> 
> 
>

Follow-Ups:
- [debian-users:53064] Re: 侵入検知システム「Snort」について
  - From: Kiyotaka ATSUMI

References:
- [debian-users:53057] 侵入検知システム「Snort」について
  - From: canon
- [debian-users:53061] Re: 侵入検知システム「Snort」について
  - From: Kiyotaka ATSUMI

Prev by Date: [debian-users:53062] Re: WLI-U2-KG54での無線LAN接続
Next by Date: [debian-users:53064] Re: 侵入検知システム「Snort」について
Previous by thread: [debian-users:53061] Re: 侵入検知システム「Snort」について
Next by thread: [debian-users:53064] Re: 侵入検知システム「Snort」について
Index(es):
- Date
- Thread