2009年9月27日

[debian-users:53063] Re: 侵入検知システム「Snort」について

すみません、水原です。

ちょっと質問の意図を誤解していたようで、失礼しました。

渥美さんのメールは私にとっても非常に参考になったのですけど、これって
Promiscuous mode かどうかに関わらず発生する問題だという理解で正しいで
しょうか?

At Sun, 27 Sep 2009 00:11:11 +0900,
Kiyotaka ATSUMI wrote:
>
> こんばんわ.渥美と申します.
>
> 以前snortをbuildして利用していたことがあるので前半部分だけ答えます.
>
> canon <kame55-itasenpara123@xxxxx> wrote (Sat, 26 Sep 2009 17:48:21 +0900)
>
> > 最初の疑問ですが、Snortのデフォルトはプロミスキャスモードでの起動です
> > が、万が一そこから第三者からスニファリングされて盗聴される、ということは
> > あるのでしょうか。なお、現在「ifconfig」の結果は「eth0」インターフェイス
> > が「UP BROADCAST RUNNING MULTICAST」でした(プロミスキャスモードではな
> > い?)。
>
> ありや,無しや,の話なら有りです.今までにsnortのキャプチャリングのセ
> キュリティホールを突いた攻撃手法がいくつか公開されています.現在のバー
> ジョンは,知られている範囲ですべてfixされていると思いますが,今後もセ
> キュリティーホールが見つからないという保証はありません.
>
> 1.ストーリーとしては,snortに適当な攻撃データを吸わせる.
> 2.snortがそのpayloadを解析中にバッファオーバフローなどを起こしてプロ
>   セスがペイロード上のプログラムに支配される.
> 3.2のプロセスが攻撃者の指示待ちをしたり,攻撃者に乗っ取ったことを通知
> することで,攻撃者の意のままに動くスニファーとなる.
>
> と言うところです.しかし,ターゲットコンピュータによってバッファオーバー
> フローの攻撃ツールの調整が必要なので,実際にはそんなに簡単には成功しま
> せん.しかし,ここでOSとsnortのバージョンを宣言してしまうと攻撃はしや
> すくなることは知っておいて下さい.
>
> 私はsnortについてはパッケージ版ではなく,オリジナルからbuildすることを
> お勧めします.
>
> --
> Kiyotaka ATSUMI, Suzuka National College of Technology
> Web: https://www.ka-lab.jp/
> PGP Public Key: https://www.ka-lab.jp/pubkey/20090703.kiyotaka-at-ka-lab.jp.asc
> Finger Print: 9E2A 80B4 0F3D 424E 035F B594 991F 7795 DD6D 560F
>
>
>
>
>


投稿者 xml-rpc : 2009年9月27日 00:49
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/88916
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。