文字列の書き換えについて
- http://www.otsune.com/diary/2003/12/25.html#200312252
- http://slashdot.jp/comments.pl?sid=143687&cid=461522
- そのとおり、としか言いようがないですよね。シグネチャ型IDSである限り、未知のものは検出できません。
- そして防御側のツールというものは大部分が未知のものに対して発動することはできません。
- 基本的にはいたちごっこです。でも止めるわけにはいけないので。(興味もありますしね)
- でも、これだけじゃちょっと悔しいので、まだこのシグネチャについては調査中。
- 文字列の変更については、同じ文字数であれば他のところで引っ掛けられる、かも。
- 確証を持つためには自分自身もうちょっとTCP/IPへの理解を深めないといけませんが…
- あくまでproxy経由での接続に限定してのお話です。
- パケット見ればすぐ気づくと思います、なにせわたしでも気がつくくらいですから。