自从Snort采用有偿Rule服务的形式以后,不知国内还有多少厂商和客户在“用”这个采用“较古老”的低效率规则匹配方式的轻量级IDS。昨天早上看到Snort VRT宣布发布了针对六月微软安全公告的Rules Update,其中包括针对 MS08-035 的检测( GID:3, SID: 13835 ),于是晚上搭了DC+Snort 2.8的平台尝试自定义一个Rule来匹配这个D.o.S Exploit Code。很不幸,测试下来我并不认为这个Exploitation code可以通过Snort的单条Rule实现有效检测,并且其误报率一定会很高,因为这样的攻击流程事实上是基于正常的LDAP访问(发现者也是
Read More...
听到报警器发出一声长嘀,我乖乖地走向那个十公分高的圆台,站了上去,很自觉地抬起双臂做欲飞翔的什么人状,等待着左前方穿着制服正和人说话的女孩儿的扫描。一秒钟后女孩儿手持着设备回头看到我,皱起了眉头: “完了!” “嗯!?……”,我一时没反应过来。 “完了呀!走啊?!” 我不敢再做懵然无知状,赶快下了圆台拿了外套往前走,突然发现前面的一个人穿着和我几乎一模一样的衬衫和裤子——这个身高发型和我差不多的兄弟刚刚在我前面过了这个女孩儿的安检……
Read More...
