Re: [ml] Testare un NIDS

pierpaolo palazzoli wrote:

> Parto dalla distinzione nella metologia di cattura di snort
> rispetto snort_inline o snort in modalità inline, il primo usa le libpcap e
> il secondo le ip_queue di iptables.

Osservazione interessante (questa e le seguenti sulla coda), tuttavia:

> Quindi mettete alla prova il vostro Snort IDS/IPS con strumenti di
> carico di rete, possibilmente che implementino traffico variegato come
> MGEN in modalità poisoning :
> http://cs.itd.nrl.navy.mil/work/mgen/index.php

MGEN crea traffico UDP, quindi a) stateless e b) intrinsecamente
minoritario su una rete reale.

Pertanto, MGEN non e' uno strumento adatto per testare un IDS, IPS o
firewall (o qualsiasi dispositivo stateful)

> abbinato a nessus o nikto 

Che non sono generatori di attacchi buoni

> o i software di test menzionati da Danilo

Che sono obsoleti e inutilizzabili.

Non scherzavo quando dicevo che e' difficile :)

-- 
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel.    +39 02 2399-4010/3660
Fax.    +39 02 2399-3411
E-mail: zanero@xxxxxxxxxxxxxx
Web:    www.elet.polimi.it/upload/zanero