Seb le 19 Février 2008 à 19:10

Je feuillette mais certains trucs m'échapent.
Ton exemple d'attaque DOS, je ne pense pas avoir tout compris par exemple.
Pour le serpent qui se mort la queue j'imagine que de toute façon lorsque 2 IDS se partagent un réseau, ils ont connaissance l'un de l'autre ? Autrement si l'un d'eux lance une riposte contre un attaquant quel qu'il soit, l'autre IDS devrait alors le détecter comme dangeureux et l'attaquer à son tour ... pas très rentable :/

Et aussi, c'est quoi un "faux positif" ?

En tout cas j'aimerais bien voir tourner ça en vrai sur un gros réseau un de ces jours :)

farwarx le 19 Février 2008 à 20:34

Pour les faux positifs, j'ai mis à jour la présentation.
Concernant le serpent, regarde ce schéma: http://www.fullsecurity.ch/uploads/pics/archiprelude.png
Il faut 2 réseaux distincts, et il ne faut pas attaqué le manager directement mais un des serveurs en se faisant passer pour un autre serveur.
Ensuite il faut avoir rajouter des conditions, des sécurités pour ne pas que ça arrive évidemment, mais bon, pas si simple tout ça.

C'est sûr que voir un gros réseau avec un IDS bien configuré, ça doit en jeter ^^