¿Ideas sobre cómo puedo fragmentar el tráfico de red capturado?

7

Estoy tratando de crear un entorno de laboratorio donde pueda analizar soluciones comunes de IDS (comenzando específicamente con Snort) y su capacidad para volver a ensamblar trenes IP fragmentados. Tengo una colección de pcaps maliciosos, que cuando se ejecuta con tcpreplay, crea eventos y dispara alertas, como se esperaba.

Estoy tratando de encontrar una manera de fragmentar todos los paquetes IP en mis pcaps para probar el preprocesador frag3 en Snort. De esta manera, puedo determinar qué motor de reensamblado está usando Snort y probar cosas como exploits y shellcode y la capacidad de Snort para volver a ensamblar correctamente.

Hasta ahora he intentado usar fragroute, pero parece que solo estoy fragmentando la capa 2. He intentado usar el motor de fragroute con tcpreplay pero no puedo compilar el motor con tcpreplay.
Mi idea inicial fue usar Scapy para recorrer los paquetes IP y fragmentarlos de esa manera pero estoy atascado.

    
pregunta Claude Babbage 03.03.2015 - 20:33
fuente

3 respuestas

1

Mi sugerencia es ir con la opción Scapy. Es menos doloroso a largo plazo y da un control muy granular sobre los paquetes. Si desea probar la fragmentación con el propósito de omitir IDS, necesitará MUCHA prueba y error, cambiará muchos y múltiples campos (sumas de comprobación, longitud del encabezado, longitud del paquete) y al menos para la escalabilidad, no querrá fragmentar los archivos pcap existentes uno por uno Usted mencionó que está atrapado con Scapy, pero ¿por qué exactamente?

En cualquier caso, wireedit at https://wireedit.com es una de las mejores herramientas para administrar y editar archivos pcap.

    
respondido por el Sidharth 12.09.2015 - 07:52
fuente
0

Para probar los firewalls, genero mis propios scripts usando hping .

Una de las opciones es fragmentar el tráfico ( -f ) y puede establecer el tamaño de los datos ( -d ).

    
respondido por el schroeder 03.03.2015 - 21:36
fuente
0

Puedo sugerir IPFragUtil que hace exactamente lo que pide y soporta en Linux. Puede fragmentar fácilmente todos los paquetes con el comando:

./IPFragUtil your_pcap_file.pcap -o fragmented_traffic.pcap -s [frag_size]
    
respondido por el John 11.01.2018 - 01:01
fuente

Lea otras preguntas en las etiquetas