Zitat:
|
Zitat von Catweazle TCPDUMP entgeht ja in der Regel auch kein Paket. |
Es macht aber einen riesigen Unterschied aus, ob Du die Pakete nur anzuzeigen oder analysieren willst.
Zitat:
|
Zitat von Catweazle Darüberhinaus existiert bei Snort schon seit längerem ein Paket Reassembly Modul, welches fragmentierte Pakete wieder zusammensetzt. |
Das soll für ALLE Netzwerkpakete einer JEDEN Verbindung gelten? Dann müsste er ja für jede einzelne Verbindung einen separaten TCP/IP-Stack aufbauen. Wie soll er das machen, in der Kürze der Zeit, die ihm zur Verfügung steht? Ich denke, daß kann er nur, wenn Regeln für >>bestimmte<< Pakete/Ports/Server erstellt wurden. Und diese Anzahl ist durch seine Leistung begrenzt. Die andere Möglichkeit wäre, daß er ähnlich wie eine SIF mit Protokolldaten arbeitet. Aber dann kann von einem wirklichen Reassembly keine Rede sein. Auf die Daten der zusammenhängenden Pakete kann er dann nämlich nicht mehr zugreifen.
Zitat:
|
Zitat von Catweazle Die NIC ist im Promiscous Mode |
Genau darin steckt auch das Problem eines jeden Sniffers: Er nimmt nicht aktiv an der Verbindung teil. Bei einer festgestellten Attacke, welche er anhand der DB-Regeln "erkannt" hat, muß er sich intern auf eine genaue Analyse der Verbindung einstellen (Pakete bis OSI 7 aufbereiten, zusammensetzen, reinschauen, analysieren) Nur so kommt er an die detaillierten Infos für den Trace. Du könntest jetzt sagen, daß eine ALF das ja auch macht. Aber mit dem Unterschied, daß sie als Proxy aktiv an der Verbindung teilnimmt. Selbst wenn sie im Router-Modus arbeiten würde, welche ebenfalls real zwischen zwei Netzen hängt, könnte sie Pakete verwerfen, neu anfordern, etc. Eben daß, was man so machen kann, um den Datenstrom wenn nötig zu drosseln. Dein IDS Sniffer kann das nicht, da er lediglich am Netz horcht (Monitor Mode), ohne daß die Pakete ihn passieren müssen. Ich bezweifle mal, daß er genügend Reserven hat, um mal nebenher die Attacke zu analysieren und gleichzeitig seinen bisherigen Aufgaben in einem 100 MBit-Netz nachzugehen. Und wenn er die Reserven hat, was passiert dann bei zwei, drei, fünf Attacken? Irgendwann wird er schon aufgeben, was eine IDS-Attacke wieder möglich macht.
Natürlich kann ich mich irren. Es mag sein, daß die Algorithmen derart verbessert wurden, daß sich moderne IDS zusammen mit der neuen Hardware von solchen Attacken auch in 100MBit-Netzen nicht mehr blenden lassen (der Hersteller wird das auf jeden Fall behaupten). Das käme auf einen Test an.
Zitat:
|
Zitat von Catweazle …aber Deine zweite Komponente beschreibt bereits ein IRS (Intrusion Respone System), … |
Der Satz war nicht für Dich gedacht. Er war für die anderen Leser, damit sie wissen, was ein IDS ist (deshalb der Hinweis: „Für alle anderen Leser: …“). Ein Network-Based-IDS einer Desktop Firewall, um den es im Thread später gehen wird, arbeitet tatsächlich mehr als IPS – also mit integriertem IRS. Aber dazu kommen wir noch.
Wie ich gemerkt habe, hinke ich den neueren Modellen stark hinterher. Ich muß mich dringend mal wieder damit auseinandersetzen. Da scheint sich einiges getan zu haben^^
Bye, Ronald