|
awacs@hawkeyeです。
またもや懲りずに(?)、SoftwareDesign誌にsnortのドキュメントを書かせていただきました。執筆時期が年度末に重なり、バージョンアップも絡み、ひぃひぃ言いながらの執筆となってしまったため、いい加減な記事になってしまったような気がしてしょうがありません。というより、なるべく多くの情報を限られた紙面に書く、という作業に慣れていないせいか、ひたすらサポートページ(ここ)をみろ、と言う文言で逃げてしまった感があります。
じゃぁ、ここはきちんと書いてあるのか、と言うと、微妙です。;-)
なんせ、原稿をあげた時点でだいぶ燃え尽きまして・・・・。いい加減な私だったりします。
いい加減と言われようがなんだろうが、適当でも少しは役にたつ情報を流していきたいと思っています。
ちなみに、なぜここにawacs@hawkeyeのページを置いているかというと、hawkeyeサーバにコンテンツを載っける余裕(回線その他)と、ISPサーバの方が応答がいいだろう、程度のものです。つまり、他意はありません。
- SD誌のご厚意で公開を快諾いただいた、前回執筆させていただいたsnort記事のPDFはこちらです。禁転載とさせてください。もし、転載したい場合には、私にご一報いただくとともに、SD誌に仁義を切ってください。お願いします。
- ちょっと古くなってきた感もありますが、snort-FAQの日本語版がこちらにあります。参考にしてみて下さい。
- みっきー氏のサイトはこちらです。なんといってもsnort使い必見のサイトです。
- ACIDのネタ元、しかP氏のコンテンツはこちらです。
- jem氏はsnortに絞ったサイトを運営されています。こちらがホームです。こちらも必見です
- Windowsでのsnort活用なら、まずはいはら氏のサイトを見てください。なお、「情報が古い」(本人曰くです)ので、ご注意下さい。
- 本文においても書かせていただきましたが、2.0rc1以前には検出不能パターンの存在が知られています。
- また、2.0rc1を含む、古いsnortには、オーバーフローの脆弱性が確認されました。こちらをご参照下さい。
- というわけで、2.0が正式リリースとなっております。こちらからダウンロードできます。
- なお、コンパイル自体は、今回記事の通りに1.9.1がコンパイル可能であれば、コンパイルできます。configureの修正も必要ないようです。
(2.0以前は使って欲しくないので、パッチ等は公開しません。ご了承下さい。)
(もっとも、すでにリリースバージョンとしてダウンロードできるのは2.0.0だけとなっていますけど・・・)
- 本文にもある、-Cオプションがない場合の不具合は2.0rcの段階で修正が入っていました。
とても誤解を招きやすい誤植、もとい、書き間違えがあるので、取り急ぎ訂正します。
ストリーム再構築とマルチコンテンツの行で、「ストリーム再構築が入ってしまうと、ストリーム内には必ず文字列”USER”が入ってしまう」と書いています。それ自体は間違っていないのですが、今試してみるとどうも想像したとおりになりません(^^;;;
とはいえ、この文章で例に挙げているルールは、本文の先頭付近に「USER」という単語のある、長めの行を含むメールの受信で誤検知することは確かですから、一般ユーザは信頼できる、と判断してpassルールを使う、などの方策が必要になってくることは確かでしょう。
・・・・どこで勘違いしたのだろう・・・・・・(^^;;;
ここにはネタが入る予定・・・・未定ですが(苦笑)
|