[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Novembre 2006 ml@sikurezza.org Soggetto: Re: [ml] Testare un NIDS Mittente: Andrea Barisani Data: Fri, 17 Nov 2006 00:44:07 +0100 (CET)
On Thu, Nov 16, 2006 at 09:15:35PM +0100, Stefano Zanero wrote:
> pierpaolo palazzoli wrote:
>
> > Parto dalla distinzione nella metologia di cattura di snort
> > rispetto snort_inline o snort in modalit? inline, il primo usa le libpcap e
> > il secondo le ip_queue di iptables.
>
> Osservazione interessante (questa e le seguenti sulla coda), tuttavia:
>
> > Quindi mettete alla prova il vostro Snort IDS/IPS con strumenti di
> > carico di rete, possibilmente che implementino traffico variegato come
> > MGEN in modalit? poisoning :
> > http://cs.itd.nrl.navy.mil/work/mgen/index.php
>
> MGEN crea traffico UDP, quindi a) stateless e b) intrinsecamente
> minoritario su una rete reale.
>
http://dev.inversepath.com/trac/ftester
Tenta di generare traffico stateful e di verificare che Snort intepreta bene
le sue stesse ruleset. Non sono supportate le ultime keyword (si accettano
contributi), e richiede un po' di pazienza nel setup ma funziona bene ed ha
trovato numerosi bachi nei primi engine stateful di snort, preprocessori e
sniffer vari...
Ovviamente testa solo il parsing delle ruleset e non l'efficacia...che e'
tutta un'altra cosa come appare evidente da questo thread (e molti altri
passati...troppo sangue e' passato su questo argomento ;) ).
Bye
--
Andrea Barisani Inverse Path Ltd
Chief Security Engineer -----> <--------
<andrea@xxxxxxxxxxxxxxx> http://www.inversepath.com
0x864C9B9E 0A76 074A 02CD E989 CE7F AC3F DA47 578E 864C 9B9E
"Pluralitas non est ponenda sine necessitate"
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005