From: Deniz CEVIK (deniz@intellect.com.tr)
Date: Tue 06 Feb 2001 - 18:07:24 EET
Genelde ids denilen yazilimlar sniffer tabanli olarak çalisirlar. Eger
snort ve benzeri programlarin requirmentlarina bakarsaniz lipcap gibi,
libnet gibi seylere ihtiyaç duyarlar. Basit bir ids bulundugu networkteki
trafigi dinleyerek kendi databasin'de tanimlanmis belli degerlerle o anda
üzerinden geçen paketlerin belli alanlarini karsilastirir.
Örnegin lotus notes'un bir açigini ele alalim ../..blahblah/win.ini seklinde
bir http requesti aslinda basit bir http baglantisi gibi gorunsede karsi
tarafta win.ini dosyasini görintülemeye izin verir. IDS bu request ile kendi
databaseinideki uygun aktiviteyi karsilastiri eger match ise bu bir ataktir
diyip baglantiyi kes idyebilir veya arkasindaki firewall bu baglantiyi su
kadar üreligine kapat diyebilir veya diyebilmeli. Bu basit yöntemi tabi
birde akilli yontemler var sanbox denen yontemler gibi bunlar biraz daha
karisik. Birde paketler encrypted yollandigi zaman yapilan islemler varki
bunlari snortun dokumaninda bulamazsin. Bunlar daha cok ticari urunler olan
RealSecure, intrusion.com, NFR gibi ürünlerin özellikleri.
Iyi çalismalar.
-----Original Message-----
From: linux@listweb.bilkent.edu.tr [mailto:linux@listweb.bilkent.edu.tr]On
Behalf Of Ugur Coskun
Sent: 05 Şubat 2001 Pazartesi 22:45
To: Multiple recipients of list LINUX
Subject: [LINUX:24940] snort ve saldiri tespiti TEKRAR
kusura bakmayin turkce karakter kullanmisim duzeltip tekrar gonderiyorum.
kusura bakmayin. Saygilarimla...
UGUR COSKUN
> selamlar
>
> snort hakkinda dokuman okuyordum fakat anlayamadigim birkac nokta var.
> Simdiden gorusleriniz ve yardimlariniz icin tesekkur ederim
>
> soru1: "Kotu Kullanim Tanimlama Pattern-matching vb. yontemlerle
> gerceklestirilir" deniliyor. Bu cumlenin anlami nedir?
> soru2: Saldiri tespitinde genel guclukler basligiyla ""Bilesen temelli
> saldiri tespiti" gelismemis durumda
> IETF - IDWG
> GIDOS (http://www.gidos.org)" denerek ne denmek istenmis.
> soru3: "Yön bilgisinin verilebilmesi" ne demektir.
> soru4:
> alert TCP any any <> any 6699 (msg:"Napster Client Data"; Content: ".mp3";
> nocase; )
>
> alert TCP !$HOME_NET any -> $HOME_NET 53 (msg:"OVERFLOW-Named-ADM-NXT -
> 8.2->8.2.1"; content: "ADMROCKS"; )
>
> alert TCP !$HOME_NET any -> $HOME_NET any (msg:"IDS5 - SCAN-Possible NMAP
> Fingerprint attempt"; flags: SFPU; )"
>
> mesaj veya paket inceleme tanimlari eylem/protokol/kaynak/hedef/yön
> formatinda fakat burdaki herhangi bir satiri bana aciklamali olarak
> yazabilirmisiniz. ornegin bir suru any kullanilmis. bir kismini
> cozdum fakat
> olayi kavrayamadim sanirim on bilgim eksik.
>
> soru5: "Libpcap ve libnet paketlerinin varl???n? denetleyin" denmis fakat
> ben neyi denetleyecegimi anlamadim :)
>
> cevaplariniz icin tekrar tesekkur ederim. Basarilar :))
>
> UGUR COSKUN
> ITU MATEMATIK MUHENDISLIGI
>
>
>
> Listeden cikmak icin:
> unsub linux
> mesajini listeci@bilkent.edu.tr adresine gonderiniz.
> Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
> Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
> Liste arsivinin adresi: http://listweb.bilkent.edu.tr/
>
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/