Спустя два года с момента выхода прошлой версии представлен (http://libnids.sourceforge.net/) релиз библиотеки Libnids 1.24, эмулирующей работу TCP/IP стека и позволяющей перехватывать трафик с учетом пересборки разрозненных TCP-сегментов и дефрагментации TCP-пакетов. Libnids позволяет не только перехватывать хаотично идущий набор пакетов, как делает большинство снифферов (например, libpcap, tcpdump), но и отслеживать отдельные сессии, например, перехватывать SMTP трафик и разделять каждую SMTP сессию.
В новой версии добавлена возможность отслеживания соединений уже установленных на момент запуска Libnids. В коде также исправлена ошибка, связанная с возможностью удаленного вызова разыменования NULL-указателя, что может привести к инициированию отказа в обслуживании.URL: http://libnids.sourceforge.net/
Новость: http://www.opennet.me/opennews/art.shtml?num=25893
> возможностью удаленного вызова разыменования NULL-указателяНу все, и тут начались генетические проблемы ethereal/wireshark. Больше шансов порутать nids, чем то, за чем он следит.
В конторах где IDS - надолго и всерьёз, их принято вешать на Y- (T-) -коннекторы. В слушаемой сети у вас коннекшена как такового и не будет ...
IDS после Патча Бармина через дырку в диссекторе тоже не будет, гыгы :)
То что они шмогли: "коде также исправлена ошибка, связанная с возможностью удаленного вызова разыменования NULL-указателя, что может привести к инициированию отказа в обслуживании."
Это DOS. Ну перестанет нюхач нюхать ... трафик это не убьёт, man y-connector детко :) А у безопасности "собачка потявкает" да и перезапустит нюхач онный. Клиенты - вообще ничего не заметят, только секуритаты. А утром разберешься что к чему, да и заткнёшь. Премия опять же ... :)PS: (Забыл) - гы-гы :)