Estoy tratando de crear un entorno de laboratorio donde pueda analizar soluciones comunes de IDS (comenzando específicamente con Snort) y su capacidad para volver a ensamblar trenes IP fragmentados. Tengo una colección de pcaps maliciosos, que cuando se ejecuta con tcpreplay, crea eventos y dispara alertas, como se esperaba.
Estoy tratando de encontrar una manera de fragmentar todos los paquetes IP en mis pcaps para probar el preprocesador frag3 en Snort. De esta manera, puedo determinar qué motor de reensamblado está usando Snort y probar cosas como exploits y shellcode y la capacidad de Snort para volver a ensamblar correctamente.
Hasta ahora he intentado usar fragroute, pero parece que solo estoy fragmentando la capa 2. He intentado usar el motor de fragroute con tcpreplay pero no puedo compilar el motor con tcpreplay.
Mi idea inicial fue usar Scapy para recorrer los paquetes IP y fragmentarlos de esa manera pero estoy atascado.