IDS欺骗之Fragroute篇(下)

　　作者：nixe0n

　　在上一篇，我们讨论了fragroute实现的功能。下面，我们将开始讨论fragroute的使用和规则。

　　如果是安装在Linux系统，fragroute需要三个库：libpcap、libdnet和libevent。下载了fragroute和需要的库之后，执行以下命令就可以把fragroute安装到系统中：

#tar zxvf libpcap-x.x.tar.gz
#cd libpcap-x.x
#./configure &&make &&make install
#cd ..
#tar zxvf libdnet-x.x.tar.gz
#cd libdnet-x.x
#./configure&&make&&make install
#cd ..
#tar zxvf libevent-x.x.tar.gz
#cd libevent
#./configure&&make&&make install
#cd ..
#tar zxvf fragroute-x.x.tar.gz
#cd fragroute-x.x
#./configure&&make&&make install

　　这些步骤完成之后，基本上完成了fragroute的安装。为了方便使用，在fragroute软件包中有很多现成的配置文件，因此我们还可以执行以下命令把这些配置文件安装到一个固定的位置：

#cd fragroute-x.x
#mkdir -p /usr/local/etc/fragroute.d
#cp scripts/* /usr/local/etc/fragroute.d
#rm -f /usr/local/etc/fragroute.d/Make*
#mv /usr/local/etc/fragroute.conf /usr/local/etc/fragroute.d/

　　需要特别说明的是，在scripts目录下有一个文件README.snort，在这个文件中有六个专门针对snort(1.8.6以前版本)的规则集配置。

　　fragroute命令没有太多的命令行选项，只有一个指定配置文件的-f选项：

#fragroute -f conf 目的地址
#执行实际的攻击程序

　　其中，conf是配置文件，例如：/usr/local/etc/fragroute.d/fragroute.conf；目的地址是一个单一的IP地址或者主机名，目前fragroute还不能用于多个目的地址。

　　在安装时，我们把fragroute提供的一些现成配置文件安装到了系统中，但是需要注意的是，使用其中一些配置文件时一定要慎重，因为如果使用这些些配置文件，不但不会起到避开入侵检测系统的作用，反而可能由于IP碎片太小引起大量报警(我在自己的环境中测试时，就曾经因为碎片过小使目标主机上的BlackICE产生大量碎片攻击报警)。

　　一般情况下，fragroute提供的默认配置文件fragroute.conf已经基本能够满足要求(这个文件被转移到了/usr/local/etc/fragroute.d)。

　　fragroute是由一些模块组成的，每个模块实现一个或者几个功能，目前fragroute支持的模块包括：

mod_delay
mod_drop
mod_dup
mod_echo
mod_ip_chaff
mod_ip_frag
mod_ip_opt,
mod_ip_ttl
mod_ip_tos
mod_order
mod_print
mod_tcp_chaff
mod_tcp_opt
mod_tcp_seg

　　这些模块都有各自的控制指令，你可以在配置文件中使用这些指令配置特定模块的行为。

3.1.fragroute规则集

　　fragroute在初始化时，会删除到目标的路由(目标不在同一个局域网中)或者ARP的相关条目(和目标在同一个局域网中)；接着，把到目标的网关设置为本地回环设备lo(127.0.0.1，在Linux下)；然后，利用libpcap在本地回环设备lo上监听，把截获的数据放到一个队列中，根据配置文件中的规则，使用上述模块对这个队列进行操作；最后，把队列中已经处理好数据包从正确的网络接口发送出去。

　　fragroute配置文件的每条规则包括模块名和控制指令两部分组成，其中模块名指定应用的模块，而控制指令部分设置模块的操作行为。配置文件中的规则是顺序执行的（这是由于fragroute管理规则的数据结构过于简单），因此即使是相同的规则，如果顺序不同，也可能达到不同效果。

　　下面我们详细介绍一下fragroute支持的规则：

• #string

  　　注释行，将被fragroute忽略。

• delay first|last|random ms

  　　把队列中的第一个(first)、最后一个(last)或者随机地选择一个数据包，延迟到ms微秒之后才投递出去。例如：delay random 20(随机选择一个数据包，延迟20微秒)；delay first 40(40微秒之后投递队列中的第一个数据包)。

• drop first|last|random prob-%

  　　模拟数据包丢失的情况，以prob%的几率丢弃队列中的第一(first)个、最后一个(last)或者随机选择数据包。例如：drop first 30(以30%的几率丢弃队列的第一个数据包),drop last 100(总是丢弃队列的第一个数据包)。

• dup frist|last|rendom prob-%

  　　以prob%的几率重复队列中的第一个(first)、最后一个(last)或者随机选择一个数据包。例如：dup first 100(在队列中复制第一个数据包的一个副本)、dup last 100(在队列中复制最后一个数据包的一个副本)。

• echo string...

  　　在标准输出设备输出字符串string。

• ip_chaff dup|opt|ttl

  　　为队列中的所有数据包都制作一个负载不同(里面的数据是随机填充的)的副本。如果使用dup选项，fragroute将延迟(延迟值是1微秒)投递数据包副本；如果使用opt选项，fragroute会在数据包副本中设置无效的IP选项；如果使用ttl选项，fragroute就把数据包副本的TTL值设置为较小的值。（原理请参考IDS欺骗之Fragroute篇(上)）

• ip_frag size [new|old]

  　　把队列中的所有数据包分成大小为size的碎片，并在第一个碎片中包含完整的传输层包头。这个模块还支持IP碎片重叠，有些系统是会以后到碎片的数据覆盖先到碎片的数据，对于这种系统需要使用new选项；反之，使用old。有关碎片重叠的技术细节请参考IDS欺骗之Fragroute篇(上)。要使用碎片数据重叠选项，需要对目标系统有深入的了解，如果拿不准，可以使用fragroute软件包中提供的工具fragtest进行测试。另外，还要
  
  

   如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<
  
  
  上一页12 3 下一页
  
  
  上一篇：Sendmail环境下利用DRAC杜绝垃圾邮件   下一篇：开放源代码怎么赚钱？
  
  【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】