我正在尝试创建一个实验室环境,我可以在其中分析常见的 IDS 解决方案(特别是从 Snort 开始)以及它们重新组装分段 IP 序列的能力。我有一组恶意 pcap,当与 tcpreplay 一起运行时,会按预期创建事件并触发警报。
我试图找到一种方法来对我的 pcaps 中的所有 IP 数据包进行分段,以测试 Snort 中的 frag3 预处理器。这样,我可以确定 Snort 正在使用哪个重组引擎,并测试诸如漏洞利用和 shellcode 以及 Snort 正确重组的能力。
到目前为止,我已经尝试过使用 fragroute,但我似乎只是在对第 2 层进行分段。我尝试过将 fragroute 引擎与 tcpreplay 一起使用,但无法让引擎与 tcpreplay 一起编译。
我最初的想法是使用 Scapy 循环访问 IP 数据包并以这种方式对其进行分段,但我被卡住了。
我的建议是使用 Scapy 选项。从长远来看,它不会那么痛苦,并且可以对数据包进行非常精细的控制。如果您想测试分片以绕过 IDS,您将需要大量试验和错误,更改许多和多个字段(校验和、标头长度、数据包长度),至少为了可扩展性,您不会想要将现有的 pcap 文件一一分割。你提到你被 Scapy 困住了,但究竟为什么呢?
无论如何,wireedit athttps://wireedit.com是管理和编辑 pcap 文件的最佳工具之一。
为了测试防火墙,我使用hping生成自己的脚本。
选项之一是对流量进行分段 ( -f),您可以设置数据大小 ( -d)。
我可以建议IPFragUtil完全符合您在 Linux 上的要求和支持。您可以使用以下命令轻松地对所有数据包进行分段:
./IPFragUtil your_pcap_file.pcap -o fragmented_traffic.pcap -s [frag_size]