先日から悩んでいる Windows2000 の Header Checksum ですが、私が設定した2つの環境(Professional,Server)で起こったのですが、ほぼデフォルトインストールに近い状態では発生しないような雰囲気。時間がなくて細かくみれてませんが、少なくとも私が設定した WindowsXP Professional では発生してないようです。この件、ちょっと保留。
SNMPの件があったので、ルールを追加したりルールの内容が気になっていたものをのぞいたりして気づいたことがあった。
・いつの間にやら experimental.rules が追加されていた。古い snort.conf には記載が無いので追加が必要であることに気づく。
・いつからか preprocessor の minfrag が無くなっていた。
・いつからかCodeRedの検出が出てなくてオヤと思っていたら、WEB-MISC whisker space splice attack あたりが悪さしてた。vision18.rules にも似たのがある。むぅ。手抜きでルールセットを全て上書き&適用が敗因だが。むぅ。
・uricontentに":"を含ませたい場合がワカラン(爆)
その他いろいろ。
昨日のに日本語の記事追加