先日、あるプロトコルの通信を検出したいと思って、スノートやドラゴン等を試してみた。が、IDS のルール記述言語の表現能力はたいしたことがないので、パターンマッチが不可能なパケットの検出には向いていないようだ。そこで、そのプロトコルを検出できる専用の IDS を作ってみた。
snort は libpcap (Windows 版では WinPCAP) を使用しているが、これってパケットの取りこぼしは無いのだろうか？ IDS 用のマシンを監視対象の通信部分のミラーリングポートに接続してモニタするのは良いが、パケットが欠けてしまった場合はやはり検出できないのか…… となると確実に検出するにはブリッジ型に接続する IDS を作らなければダメか。
ついでに、IDS が動いているマシンに、Web カメラを付けて本当の侵入検地システムにしてみたが、隣の研究室がよく映ってしまっていて怒られた。