From: Deniz CEVIK (deniz@intellect.com.tr)
Date: Mon 09 Sep 2002 - 13:55:22 EEST
Fragmante olmus datalar arasina ttl'I routerda expire olacak bos paketler
yerlestirme, uni-code karakterler kullanma, paketleri fragmente edip yollama
vs gibi evasion metodlari sadece basit pattern matching yapan IDS leri
atlatabilir. Snort'un sadece basit paket analiz bolumunu kullanmis
olabilirsin. En azindan snort'un bu kadar basit atlatilamiyacagini
dusunuyorum.
Bununla birlikte NSS'in IDS ler hakkinda hazirladigi guzel bir dokuman
var.Snort dahil olmak uzere en yaygin IDS ler icin karsilastirmali raporlar
hazirlamislar. Bu dokumani www.nss.co.uk adresinden indirebilirsiniz. Eger
dokumani bulamazsaniz bana mail atarsaniz ftp sitesine koymaya calisirim.
-----Original Message-----
From: linux-guvenlik-bounce@linux.org.tr
[mailto:linux-guvenlik-bounce@linux.org.tr]On Behalf Of Tamer Sahin
Sent: 09 Eylul 2002 Pazartesi 13:45
To: linux-guvenlik@linux.org.tr
Subject: [linux-guvenlik] Re: snort
Monday, September 9, 2002, 9:53:00 AM, you wrote:
BD> On Mon, 2002-09-09 at 09:26, Emre BALCI wrote:
>> 1.Iss in realsecure kadar guvenilir saglam bir
>> programm=FDd=FDr ?
Selamlar bir aralar snort uzerinde URL evasion ile ugrasmistim. Bu
tarz zayifliklari onlemek icin etkili mekanizmalar kullaniyorlar
fakat hala su "false alert" olayina bir cozum bulamamislar gibime
geldi benim yazilimi yanitilip yanlis alarm'lar uretmek mumkun.
Notlarim asagidadir;
Url Evasion:
============
Istek:
GET /_vti_bin/shtml.dll HTTP/1.0
Cevap = OK
Snort Alarm:
02/22-07:21:56.500444 [**] [1:940:2] WEB-FRONTPAGE shtml.dll [**]
[Classification: access to a
potentually vulnerable web application] [Priority: 2] {TCP}
192.168.10.2:3569 -> 192.168.10.1:80
Degistirilmis istek:
GET /_vti_bin/////////////////shtml.dll HTTP/1.0
Cevap = OK
Snort Alarm:
02/22-07:22:27.360204 [**] [1:873:2] WEB-CGI scriptalias access [**]
[Classification: Attempted
Information Leak] [Priority: 2] {TCP} 192.168.10.2:3570 -> 192.168.10.1:80
False Alert:
============
Degistirilmis istek:
GET /_vti_bin/////////////////shtml.dll HTTP/0.9
Cevap = OK
Snort Alarm:
02/22-07:56:57.291383 [**] [1:1156:1] WEB-MISC apache DOS attempt [**]
[Classification: Attempted
Denial of Service] [Priority: 2] {TCP} 192.168.10.2:3618 -> 192.168.10.1:80
Test Edilen Ortam:
==================
OpenBSD 3.0/Apache 1.3.19/Snort 1.8.3
Benim tecrubelerim genelde bu tarz ufak trick'lerle uygulamanin basitce
yaniltilabilecegi yonunde.
Iyi Calismalar;
Tamer Sahin
http://www.securityoffice.net
-----------------------------------------------------------------------
Liste |yelipiniz ile ilgili her t|rl| i~lem igin
http://liste.linux.org.tr adresindeki web aray|z|n| kullanabilirsiniz.
Listeden g}kmak igin: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" k}sm}nda "unsubscribe" yazan bir e-posta gvnderiniz.
-----------------------------------------------------------------------
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------