内容摘要:这个工具是网络入侵检测系统(NIDS)性能测试套件--nidsbench一个部分,顾名思义,fragrouter是一个具有路由器功能的应用程序,它能够对攻击者发送的攻击流量进行分片处理之后,向攻击目标转发。
IDS欺骗之Fragroute
fragroute能够截取、修改和重写向外发送的报文,实现大部分在了Secure Networks Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection中叙述的IDS欺骗技术,包括IP、TCP层的数据包碎片以及数据包数据重叠等。
fragroute和fragrouter
其实,早在1999年5月,Dug Song就发布了一个类似的工具--fragrouter。这个工具是网络入侵检测系统(NIDS)性能测试套件--nidsbench一个部分,顾名思义,fragrouter是一个具有路由器功能的应用程序,它能够对攻击者发送的攻击流量进行分片处理之后,向攻击目标转发。其原理如下所示:
攻击流量 分片之后的攻击流量
+-------+ +------------+ +--------+
| hax0r | ------->| fragrouter | - - - - - - - - - - ->| victim |
+-------+ +------------+ | +--------+
V
+------+------+
| network IDS |
+-------------+
如果入侵检测系统不能进行IP和TCP分片重组或者重组功能不太完善,将不能发现针对victim攻击。
从实现的技术来看,fragroute和fragrouter差不多。和fragroute不同的是,它只处理本地主机发送到远程主机的数据流量,不支持数据包的转发,因此不会在本地主机打开IP转发功能。
网络层和传输控制层IDS欺骗技术
在介绍fragroute之前,我们首先要介绍一些fragroute实现的技术,这些技术主要是在网络层和传输控制层。除此之外,还有一些应用应用层的技术,不过,在本文中将不多做赘述。如果您希望了解更多信息,可以参考Insertion,Evasion and Denial of Service: Eluding Network Intrusion Detection、IDS Evasion Techniques and Tactics、IDS Evasion with Unicode、 A Look At Whisker's Anti-IDS Tactics和Polymorphic Shellcodes vs. Application IDSs等文档。
责编:豆豆技术应用