Re: [ml] Testare un NIDS

Giuro che poi la smetto...

>> MGEN crea traffico UDP, quindi a) stateless e b) intrinsecamente
>> minoritario su una rete reale.
> 
> Non controbatti in maniera costruttiva in quanto esisto generatori di
> traffico tcp randomici,

No, non ne esistono: non con le caratteristiche che servono.

> oppure è possibile sciversene uno in maniera
> semplice.

E' sicuramente possibile scriverne uno (lo stiamo facendo) ma ti
garantisco che se lo vuoi fare bene e' tutto fuorche' semplice.

> L'esempio del generatore dimostrava che le simulazioni non sono
> necessariamente lineari.

Eh ?

> Le capacià di carico di un IDS/IPS l'hai proprio detto tu che è
> dimostrabile dalla capacità di accodamnto dei pacchetti, 

No, affatto. E' data dall'interazione tra coda, tempo di servizio e
distribuzione dei tempi di servizio, distribuzione degli ingressi.

Se usi pacchetti UDP hai tempi di servizio e distribuzioni di tempi
diverse da quelle dei pacchetti TCP.

Peraltro, e' probabile che un qualsiasi sistema stateful sia load
dependent (ovvero, se gestisce 5000 connessioni che fanno 5000 pacchetti
al secondo funziona diversamente che se gestisce 50000 connessioni che
fanno gli stessi 5000 pacchetti al secondo), per cui questo modello e'
ancora piu' difficile da tarare sulla base di prove.

> dato che lo
> sniffing di rete (alla base di un ids)

Alla base di alcuni IDS, ma vabbe', irrilevante

>  può essere effettuato senza
> stack tcp/ip secondo te ha senso che sia UDP o TCP ?

Eh ? In che senso "senza stack TCP/IP" ?

Comunque si', e' rilevantissimo che il traffico sia TCP o UDP. Forse tu
pensi a dei banali sistemi che facciano pattern matching, ma non c'e'
niente di cosi' banale negli IDS moderni.

> Non sottovalutando il fatto che il tallone d'achille degli IDS/IPS è
> proprio la gestione di protocolli su base UDP quali
> streaming,voip......

Ehm, elementi a sostegno di questo ?

> Vorrei sapere se chi usa nikto fa attacchi buoni....
> Nessus ha un opzione chiamata safe check che se disabilitata
> implementa attacchi simulati. Ma stiamo attaccando i nostri sistemi o
> testando un ids?

Stiamo testando un IDS con un oggetto che non fa attacchi ? Bel test :)

>> Che sono obsoleti e inutilizzabili.
> 
> Inutilizzabili per chi li in-utilizzza.....

Mettiamola cosi', chi li utilizza fa un disservizio a se stesso e a
chiunque creda a dati generati con quei cosi :)

> Difficile non è impossibile se si ha cognizione di causa.

No, ma avendo cognizione di causa si puo' ammettere (senza sentirsi
sminuiti da cio') che il tema e' troppo complesso per "rispondere" in
una mail.

-- 
Cordiali saluti,
Stefano Zanero

Politecnico di Milano - Dip. Elettronica e Informazione
Via Ponzio, 34/5 I-20133 Milano - ITALY
Tel.    +39 02 2399-4010/3660
Fax.    +39 02 2399-3411
E-mail: zanero@xxxxxxxxxxxxxx
Web:    www.elet.polimi.it/upload/zanero