ネットワークベースでもホストベースでも使えるフレキシブルなIDS、snortには面白い機能があります。FlexRespと呼ばれるこの機能は、「パターンにマッチした通信を強制終了させる」というものです。 この機能を理解するには、TCP/IPがどの様に通信を制御しているか、が分からないと話になりません。ここでそれについて書き始めると大変なことになるので(^^;、ざっくり言い切ってしまうと、「RSTパケット(TCPの場合)もしくはICMP-Unreachable(UDPの場合)を受信すると通信は終了」という事になっています(詳細はRFCなり参考書なりを調べてください)。 この通信の約束事を利用すると、「ネットワークを流れる任意の通信を強制終了できる」わけです。これを悪用すると、通信をバンバン遮断することでDoS攻撃が可能、と言うことになりますが、これをうまく利用するのがここで紹介するFlexRe