Hackerboard WikiHaboBlog

[HaBo]

 
Network · LAN, WAN, Firewalls Alle Fragen rund um das große, kleine Internet finden hier eine Antwort. LANs, WANs, Router, Switches, Bridges, Verkabelung...

sniffer/ids-sensor->SPI->Überbuchung

Diskussion: sniffer/ids-sensor->SPI->Überbuchung im Forum Network · LAN, WAN, Firewalls, in der Kategorie Web, Network & Multimedia Palace; Hallo zusammen, hat jemand schon mal einen sniffer/ids-sensor im Einsatz gehabt, der aufgrund der Dantenrate die an seiner Nase vorbeisaust, ...
Antwort
Themen-Optionen Ansicht
   
Alt 15.09.09, 19:59   #1 (permalink)
friday0D
Guest
 
Standard sniffer/ids-sensor->SPI->Überbuchung


Hallo zusammen,

hat jemand schon mal einen sniffer/ids-sensor im Einsatz gehabt, der aufgrund der Dantenrate die an seiner Nase vorbeisaust, nicht alle Pakete mitbekommt ?
Ich konnte diese Situation bisher nicht nachstellen, jedoch interessiert mich, um vorbereitet zu sein, was passiert wenn der sniffer z.B. tcp Verbindungen stateful inspiziert. Als Beispiel z.B. snort. Wenn Pakete verloren gehen, könnten dem Sniffer Störungen, möglicherweise maliziöse, bekannt werden die dann als false positives weitergetragen werden; oder Verfügen stabile Lösungen wie z.B. snort über Mittel, solchen Situationen tolerant entgegenzutreten ?

  Mit Zitat antworten
Alt 22.09.09, 16:43   #2 (permalink)
Moderator
 
Registriert seit: 30.06.08
Chromatin Leistung: K 6-3Chromatin Leistung: K 6-3Chromatin Leistung: K 6-3
Standard
Man kann IDS Systeme mit sowas schnell in die Knie zwingen. Manipulierte Pakete (dazu noch schlecht konfigurierte FWs) oder einfach riesige Mengen an Paketen.

Das positive daran ist: Man merkt, dass etwas im Busche ist.
__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/
Chromatin ist offline   Mit Zitat antworten
   
HaBOT
 

Werbung ist gerade online    
Alt 25.09.09, 18:58   #3 (permalink)
friday0D
Guest
 
Standard
Zitat:
Original von Chromatin
Man kann IDS Systeme mit sowas schnell in die Knie zwingen. Manipulierte Pakete (dazu noch schlecht konfigurierte FWs) oder einfach riesige Mengen an Paketen.

Das positive daran ist: Man merkt, dass etwas im Busche ist.
Naja ok, also gibt's keine Konzepte, die tolerant darauf reagieren ? (zumindest auf die Datenflut)
Gibt's denn Erfahrungswerte, ab wann es Volumen-Probleme bei sniffern gibt ? (Verhältnis Sensor-Leistung -> Datenrate) ?
  Mit Zitat antworten
Alt 28.09.09, 10:34   #4 (permalink)
Moderator
 
Registriert seit: 30.06.08
Chromatin Leistung: K 6-3Chromatin Leistung: K 6-3Chromatin Leistung: K 6-3
Standard
Zitat:
Naja ok, also gibt's keine Konzepte, die tolerant darauf reagieren ? (zumindest auf die Datenflut) Gibt's denn Erfahrungswerte, ab wann es Volumen-Probleme bei sniffern gibt ? (Verhältnis Sensor-Leistung -> Datenrate) ?
Letztendlich kommts auf die Umgebung an und auf die Maschine. Und dann wiederum auf deine NICs, RAM und Betriebssystem und natuerlich auf das, was ueber die Leitungen geht. es gibt solche Faustregeln, wie zB: "nicht mehr als 10% Auslastung der Maschine bei Normalbetrieb". Das mag in wirklichen grossen Umgebungen ein (wirtschaftliches) Argument sein. Ansonsten, einfach angehen und gucken. Es gibt einige gut Buecher wie:



http://www.amazon.de/gp/offer-listin...&condition=all
Oder
http://www.amazon.de/Internet-Worm-D...4126227&sr=8-1
Im zweiten beschreibt er sehr detailliert den Aufbau eines NIDS. Da das beides Dissertationen sind, sind die sehr technisch und definitiv nichts fuer nen "groben" Uberblick.

Leider ziemlich teuer.
__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/
Chromatin ist offline   Mit Zitat antworten
Alt 30.09.09, 20:44   #5 (permalink)
friday0D
Guest
 
Standard
...danke!

Ich denke ich werde den rauhen Weg gehen und mal ordentlich Datenmüll produzieren, distributed!
  Mit Zitat antworten
Antwort
   

Werbung ist gerade online    

[HaBo] » Web, Network & Multimedia Palace » Network · LAN, WAN, Firewalls » sniffer/ids-sensor->SPI->Überbuchung
« Vorheriges Thema | Nächstes Thema »
Themen-Optionen
Ansicht
Linear-Darstellung Linear-Darstellung

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Temperaturen sensor & everest bigkahuna Hardware Probleme 0 12.03.09 14:32
IP Sniffer fischeroliv Network · LAN, WAN, Firewalls 1 07.10.06 23:04
Sniffer LordZed Virenschutz · Tools & Aggressive Software 23 30.05.06 20:04

Alle Zeitangaben in WEZ +1. Es ist jetzt 08:00 Uhr.
vBulletin® v3.8.7, Copyright ©2000-2012, vBulletin Solutions, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61