I, newbie » broのリンク
「もうsnortはダメかな」と思い始めて幾年月。broがすげーよ、とうるさく触れ回ってるんですが、なにせIDSのふりしたネットワークスクリプト言語なので、なかなかまとめ記事が書けない。とりあえずリンクだけ貼っておく。付属のPDFは内容が古いので、本家のWikiを参照のこと。 bro-cluster High Performance Packet Capture Bro + Afterglow == Flow Insight with Link Graph これはargusででもできるかな Bro Scripting Language - The Basics Bro Publications broは論文がたくさん公開されてるのも特徴
独自ルールファイルで細かなチューニング
※ご注意 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 今回はSnortのシグネチャを自作できるようになるために、シグネチャの構造について解説していきたい。通常、あらかじめ用意されたシグネチャだけで事足りることと思うが、それらではカバーできない部分も当然のことながら存在する。そんなとき、自作のシグネチャを活用すれば、まさに“かゆい所に手が届く”Snortを作り出すことができる。 シグネチャの構成 始めに、シグネチャの例を見ていこう。まずは標準添付されているシグネチャの中から1つ抜き出して見てみよう。下記はweb-php.rulesに含まれているシグネチャだ(便宜上改行しているが実際は1行である)。 alert tcp $EXT
エンタープライズ:セキュリティ How-To - 第5回 Snortへの攻撃とその対策
■IDSの導入による不正侵入の検知とネットワーク管理 Snort解説の第5回目として、今回はSnortへの攻撃は実際にどのようなものがあるのか、取り上げてみたい。攻撃方法を知ることで、その対策も自ずから分かってくるだろう 侵入や攻撃を試みるクラッカーにとって、IDSは厄介な存在だ。下調べに標的サーバへのスキャンを行った時点でIDSに検知されてしまえば、管理者に攻撃の前兆を知られてしまう可能性もある。 しかし、当然のことながらIDSが導入されているからといって、クラッカーがサーバへの侵入、攻撃を諦めるわけではない。現状では、IDSに対する攻撃方法として、DoSアタック(サービス不能攻撃)や攻撃時にIDSの検知を回避するためのツールなどがインターネット上で公開されている。順を追って解説していこう。 もし自分がクラッカーだったとしたら、IDSの設置されたサーバへどういった攻撃を仕掛けるだろうか。
Snort - Network Intrusion Detection & Prevention System
Snort is the foremost Open Source Intrusion Prevention System (IPS) in the world. Snort IPS uses a series of rules that help define malicious network activity and uses those rules to find packets that match against them and generates alerts for users. Snort can be deployed inline to stop these packets, as well. Snort has three primary uses: As a packet sniffer like tcpdump, as a packet logger — wh
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
