From: Burak DAYIOGLU (dayioglu@metu.edu.tr)
Date: Mon 09 Sep 2002 - 14:26:47 EEST
On Mon, 2002-09-09 at 13:45, Tamer Sahin wrote:
> Selamlar bir aralar snort uzerinde URL evasion ile ugrasmistim. Bu
> tarz zayifliklari onlemek icin etkili mekanizmalar kullaniyorlar
> fakat hala su "false alert" olayina bir cozum bulamamislar gibime
> geldi benim yazilimi yanitilip yanlis alarm'lar uretmek mumkun.
Merhaba,
Orneklerinizdeki uretilen alarmlarin yanlis oldugu dogru ama sonucta
en azindan incelenmesi icin alarmlar uretilmis durumda... Yanlis alarm
deyince benim aklima "false positive" (saldiri yokken saldiri alarmi
uretilmesi) ve "false negative" (saldiri varken alarm uretilmemesi)
geliyor ki bunlarin her ikisi de sizin ifade ettiginizden daha kotu bir
durum... :)
Snort'un http_decode preprocessor'i var. Bu /'ler ile yaptiginiz
numarayi engellemek icin kucuk bir yama bu dosyaya yapilabilir; yapmak
ile ilgilenir misiniz?
Yine de genel olarak kolayca aldatilabilir olmak ile ilgili yorumunuzda
haklisiniz. Protocol decoder'larin daha iyi yazilmasi problemi kucultur
ama bitirmez...
selamlar.
-- Burak DAYIOGLU Phone: +90 312 2103379 Fax: +90 312 2103333 http://www.dayioglu.net ICQ UIN: 72276975----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------