一般的なIDSソリューション(具体的にはSnortから開始)と、断片化されたIPトレインを再構成する能力を分析できるラボ環境を作成しようとしています。悪意のあるpcapのコレクションがあり、tcpreplayを使用して実行すると、期待どおりにイベントと火災アラートが作成されます。
私のpcapsですべてのIPパケットをフラグメント化してSnortでfrag3プリプロセッサをテストする方法を見つけようとしています。このようにして、Snortが使用している再構成エンジンを特定し、エクスプロイトやシェルコード、Snortの適切な再構成機能などをテストできます。
これまでにfragrouteを使用してみましたが、レイヤー2を断片化しているようです。tcpreplayでfragrouteエンジンを使用しようとしましたが、tcpreplayでエンジンをコンパイルできません。
私の最初のアイデアは、Scapyを使用してIPパケットをループし、そのようにフラグメント化することでしたが、行き詰まっています。
私の提案はScapyオプションで行くことです。長期的にはそれほど苦痛ではなく、パケットを非常に細かく制御できます。 IDSをバイパスする目的で断片化をテストする場合は、試行錯誤を繰り返し、多数のフィールド(チェックサム、ヘッダー長、パケット長)を変更し、少なくともスケーラビリティーのために、既存のpcapファイルを1つずつフラグメント化します。あなたはスケイピーで立ち往生していると述べたが、なぜ正確に?
いずれの場合も、https://wireedit.com
は、pcapファイルを管理および編集するための最良のツールの1つです。
ファイアウォールをテストするために、私は hping を使用して独自のスクリプトを生成します。
オプションの1つは、トラフィックをフラグメント化することです(-f
)とデータサイズ(-d
)。
私は IPFragUtil を提案できます。これは、Linuxでの要求とサポートを正確に実行します。次のコマンドを使用して、すべてのパケットを簡単にフラグメント化できます。
./IPFragUtil your_pcap_file.pcap -o fragmented_traffic.pcap -s [frag_size]