IDS攻撃専用ツール・評価データの紹介
●IDS攻撃専用ツール
プロミスキャスモードを検知するツール。ローカルネットワークのPCをリモートから検査し、パケットを不正に取得する状態になっているPCを見つけ出す有料ソフトウェア。
IDS攻撃ツールではないが、盗聴ツールの1つ。
Snortにおける誤検知(FalsePositive)を生成するperlで書かれたプログラム。無料で公開されている。Snortのルールテストを目的に作成されたツールの1つ。
◆Stick(参考資料[3],[4])
元々ネットワーク型IDSの処理性能を評価するために開発されたツール。IDSが検出する攻撃パターンのパケットを擬似的に多数作成する。
しかしこれを悪用してIDSが攻撃された例が報告されており、大量のログにより処理能力に限界が来て、数分でIDSがダウンしてしまうことがわかっている。
◆snot(参考資料[5])
これもStickのように攻撃パターンのパケットを擬似的に作成するもの。ただStickとちがい、攻撃項目はある程度限定されているようである。
攻撃パターンは様々。過去に広まったワームやソフトウェア上のセキュリティホールなどを利用して短時間に攻撃を行う。オプションとして偽装IPアドレスも可能。無料で公開されている。
→この他にも探せばまだまだいろいろありそう。
●評価データ
マサチューセッツ工科大学のLINCOLN研究所が作成した侵入検知システム評価用データ。アメリカ国防総省の研究・開発部門であるDARPAの支援に
よって作成されており、侵入検知システムを評価する上で広く利用されている。ネットワーク上を流れる5週間分のトラフィックデータが提供されている。
学習用データ・攻撃データ・評価データに分けられてtcpdump形式で提供されている。
→これをSnortなどに読み込ませて使用することができる。
データマイニングを目的として提供されているため、この研究で使用できるかどうか不明。tcpdump形式ではなさそうだが、侵入検知に関する攻撃情報などが入っているので興味深いデータとはいえる。
●その他攻撃ツール
apache専用の攻撃ツールや短時間に大量にpingを送るツールなども発見。
●参考資料
[1] セキュリティフライデー株式会社: PromiScan. http://www.securityfriday.com/jp/
[2] SecuriTeam: sneeze.pl. http://www.securiteam.com/tools/5DP0T0AB5G.html
[3] Stick. http://www.eurocompton.net/stick/※現在リンク切れ。
[4] @IT:【特集】不正侵入対策最前線(前編)〜不正侵入の現状とトータルセキュリティのススメ〜. http://www.atmarkit.co.jp/fsecurity/special/07ids/ids01a.html
[5] snot. http://www.stolenshoes.net/sniph/index.html※現在ソフトは削除されているもよう。
[6] HSC: IDSWakeup. http://www.hsc.fr/ressources/outils/idswakeup/index.html.en
[7] Lincoln Laboratory, Massachusetts Institute of Technology: 1999 DARPA Intrusion Detection Evaluation Data Set. http://www.ll.mit.edu/IST/ideval/data/1999/1999_data_index.html
[8] Donald Bren School of Information and Computer Science, University of California,Irvine: KDD Cup 1999 Data. http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html