なるほど
あちこちで急にデムパの話が出ていた理由がやっと分かった。
コマリモノですな。
ネットワークの設定
バージョン:WindowsXPSP1 + WinPcap3.0 + snort2.0.2 + IDScenter1.1RC4
IDScenterでのネットワークに関する設定は[Wizards]->[Network variables]で行う。
以下、変数の説明(記述例はsnort.confの中でのもの)
- HOME_NET(デフォルト値=any)
記述例: #ネットワークを指定する var HOME_NET 192.168.200.0/24 #ホストを指定する var HOME_NET 192.168.200.1/32 #複数のネットワークを指定する var HOME_NET [192.168.200.0/24,192.168.201.0/24]
- EXTERNAL_NET(デフォルト値=any)
- DNS_SERVERS(デフォルト値=$HOME_NET)
- DNSサーバの場所を示す変数。SERVERSという名前だが、ネットワークを指定してもよい。以下同じ。
- SMTP_SERVERS(デフォルト値=$HOME_NET)
- メールサーバの場所を示す変数。
- HTTP_SERVERS(デフォルト値=$HOME_NET)
- webサーバの場所を示す変数。
- SQL_SERVERS(デフォルト値=$HOME_NET)
- SQL SERVERが動いているサーバの場所を示す変数。
- TELNET_SERVERS(デフォルト値=$HOME_NET)
- telnetのポートを開けているサーバの場所を示す変数。
- HTTP_PORTS(デフォルト値=80)
- webサーバが使用するポート番号を示す変数。
- 複数指定する場合は、「ポート番号:ポート番号」のように記述する。現在は連続した値しか指定できない。
記述例: var HTTP_PORTS 80 #80から8080までを指定する(というか指定されてしまう) var HTTP_PORTS 80:8080
- SHELLCODE_PORTS(デフォルト値=!80)
- シェルコード系の攻撃の監視したいポートを指定する変数。
- ORACLE_PORTS(デフォルト値=1521)
- oracleのリスナーポートを示す変数。
- AIM_SERVERS(デフォルト値は略)
- AIM(AOL Instant Messenger)のサーバを示す変数。
- デフォルトのままでよいと思われる。
- RULE_PATH(デフォルト値=../rules)
これらの変数は監視対象のトラフィックを絞り込むために使用される。デフォルトの値だとほぼ全てのトラフィックが監視対象になる事となる。
このペースだとシグニチャに触れるのは何年先かなぁ。(笑)
宅配便が来ねぇ
パトラッシュ、もう疲れたよ。なんだか眠いや……
宅急便来たけど
時間指定が午前中の荷物が14:30に届くってのはどういう事だ?(怒)