2009年9月27日

[debian-users:53061] Re: 侵入検知システム「Snort」について

こんばんわ.渥美と申します.

以前snortをbuildして利用していたことがあるので前半部分だけ答えます.

canon <kame55-itasenpara123@xxxxx> wrote (Sat, 26 Sep 2009 17:48:21 +0900)

> 最初の疑問ですが、Snortのデフォルトはプロミスキャスモードでの起動です
> が、万が一そこから第三者からスニファリングされて盗聴される、ということは

> あるのでしょうか。なお、現在「ifconfig」の結果は「eth0」インターフェイス
> が「UP BROADCAST RUNNING MULTICAST」でした(プロミスキャスモードではな
> い?)。

ありや,無しや,の話なら有りです.今までにsnortのキャプチャリングのセ
キュリティホールを突いた攻撃手法がいくつか公開されています.現在のバー
ジョンは,知られている範囲ですべてfixされていると思いますが,今後もセ
キュリティーホールが見つからないという保証はありません.

1.ストーリーとしては,snortに適当な攻撃データを吸わせる.
2.snortがそのpayloadを解析中にバッファオーバフローなどを起こしてプロ
  セスがペイロード上のプログラムに支配される.
3.2のプロセスが攻撃者の指示待ちをしたり,攻撃者に乗っ取ったことを通知
することで,攻撃者の意のままに動くスニファーとなる.

と言うところです.しかし,ターゲットコンピュータによってバッファオーバー
フローの攻撃ツールの調整が必要なので,実際にはそんなに簡単には成功しま
せん.しかし,ここでOSとsnortのバージョンを宣言してしまうと攻撃はしや
すくなることは知っておいて下さい.

私はsnortについてはパッケージ版ではなく,オリジナルからbuildすることを
お勧めします.

--
Kiyotaka ATSUMI, Suzuka National College of Technology
Web: https://www.ka-lab.jp/
PGP Public Key: https://www.ka-lab.jp/pubkey/20090703.kiyotaka-at-ka-lab.jp.asc
Finger Print: 9E2A 80B4 0F3D 424E 035F B594 991F 7795 DD6D 560F

投稿者 xml-rpc : 2009年9月27日 00:11
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/88914
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。