Idee su come posso frammentare il traffico di rete catturato?

Naviga le tue risposte
7

Sto cercando di creare un ambiente di laboratorio in cui sia possibile analizzare soluzioni IDS comuni (a partire da Snort in particolare) e la loro capacità di riassemblare treni IP frammentati. Ho una collezione di pcaps dannosi, che quando sono stati eseguiti con tcpreplay, creano eventi e avvisi di incendio, come previsto.

Sto cercando di trovare un modo per frammentare tutti i pacchetti IP nei miei pcaps per testare il preprocessore frag3 in Snort. In questo modo, posso determinare quale motore di riassemblaggio Snort sta usando e testare cose come exploit e shellcode e la capacità di Snort di riassemblare correttamente.

Finora ho provato a usare fragroute, ma mi sembra che sia solo il frammenting layer 2. Ho provato a usare il motore fragroute con tcpreplay ma non riesco a compilare il motore con tcpreplay.
La mia idea iniziale era di usare Scapy per scorrere i pacchetti IP e frammentarli in quel modo, ma io sono bloccato.

    
posta Claude Babbage 03.03.2015 - 20:33
fonte

3 risposte

1

Il mio suggerimento è di andare con l'opzione Scapy. È meno doloroso a lungo termine e dà un controllo molto granulare sui pacchetti. Se vuoi testare la frammentazione allo scopo di bypassare IDS, avrai bisogno di un sacco di tentativi ed errori, cambiando molti e più campi (checksum, lunghezza intestazione, lunghezza del pacchetto) e almeno per la scalabilità, non vorrai frammenta i file pcap esistenti uno per uno. Hai detto che sei bloccato con Scapy, ma perché esattamente?

In ogni caso, wireedit a https://wireedit.com è uno dei migliori strumenti per gestire e modificare i file pcap.

    
risposta data 12.09.2015 - 07:52
fonte
0

Per testare i firewall, creo i miei script utilizzando hping .

Una delle opzioni è frammentare il traffico ( -f ) ed è possibile impostare la dimensione dei dati ( -d ).

    
risposta data 03.03.2015 - 21:36
fonte
0

Posso suggerire IPFragUtil che fa esattamente ciò che chiedi e supporta su Linux. Puoi facilmente frammentare tutti i pacchetti usando il comando: 

./IPFragUtil your_pcap_file.pcap -o fragmented_traffic.pcap -s [frag_size]
    
risposta data 11.01.2018 - 01:01
fonte

Leggi altre domande sui tag

I comandi proattivi SIM sono sicuri? Fino a che punto devo andare a proteggere l'UUID SMBIOS di un utente?