この広告は、90日以上更新していないブログに表示しています。

2003-12-25

文字列の書き換えについて

• http://www.otsune.com/diary/2003/12/25.html#200312252
• http://slashdot.jp/comments.pl?sid=143687&cid=461522
  • そのとおり、としか言いようがないですよね。シグネチャ型IDSである限り、未知のものは検出できません。
  • そして防御側のツールというものは大部分が未知のものに対して発動することはできません。
    • 未知のものへの対応としてハニーポットを使ったり、IDSでもシグネチャに頼らないものが存在します。
      • (ソースを出したいところですが、仮端末なので生産性が著しく落ちているため、後日気が向いたらってことで)
  • 基本的にはいたちごっこです。でも止めるわけにはいけないので。(興味もありますしね)
  • でも、これだけじゃちょっと悔しいので、まだこのシグネチャについては調査中。
    • 文字列の変更については、同じ文字数であれば他のところで引っ掛けられる、かも。
    • 確証を持つためには自分自身もうちょっとTCP/IPへの理解を深めないといけませんが…
      • あくまでproxy経由での接続に限定してのお話です。
      • パケット見ればすぐ気づくと思います、なにせわたしでも気がつくくらいですから。