说三道四技术文摘-感悟人生的经典句子
说三道四 > 文档快照

fragroute之浅显研究(1)

编辑:说三道四文库 发布时间:2018-07-20 05:14
HTML文档下载 WORD文档下载 PDF文档下载
Fragroute备忘 
1 Fragroute原理
Fragroute欺骗NIDS检测的方法是在保证victim的ip stack可以正确重组的情况下,对含有攻击特征串报文进行tcp分段和ip分片,同时塞入大量的错误分片报文,打乱顺序后发出,从而达到欺骗NIDS的目的。
根据Fragroute给出的Info文件,其支持的参数分别有:
 delay first|last|random ms
延迟发送第一个、最后一个或者随机的某个报文,延迟时间为ms毫秒。
 drop first|last|random prob-%
按照prob-%的概率,丢弃队列中的第一个、最后一个或者随机的某个报文。
 dup first|last|random prob-%
按照prob-%的概率,重复发送队列中的第一个、最后一个或者随机的某个报文。
 ip_chaff dup|opt|ttl
在发出的ip报文中,插入某些重复或者无用的报文,但是这些报文是不合法的,dup:重复某个报文再延迟发送;opt:ip头部选项错误;ttl:ttl值过小。
 ip_frag size [old|new]
把ip报文按照size的大小重新分片,同时可以形成重复的分片。old和new分别表示制造重复分片的时候,使用前一个报文还是后一个报文内容填充重复部分。
 ip_opt lsrr|ssrr ptr ip-addr ...
为每个ip报文设置(松|紧)原路由选项。
 ip_ttl ttl
为每个ip报文设置ttl
 ip_tos tos
为每个ip报文设置tos
 order random|reverse
按照随机顺序或者是反序发送ip报文
 tcp_chaff cksum|null|paws|rexmit|seq|syn|ttl
在tcp段中插入重复的tcp段。插入的tcp段,cksum:tcp校验和错误;null:tcp控制标志为空;paws:在序号回绕中使用旧于当前时间的时间戳;rexmit:错误的tcp段重传;seq:序列号超过了窗口边界;syn:在传输的过程中出现了非法的tcp syn报文;ttl:过短的ttl字段。
 tcp_opt mss|wscal size
为每个tcp段设置mss或者窗口扩大因子
 tcp_seg size  [old|new]
同ip_frag size命令,只不过是对于tcp段

 echo string ...
显示fragroute运行时的参数
 print 
打印出所有fragroute处理过的报文

其中,print命令可以用来进行调试。对于NIDS检测影响较大的命令有:delay, ip_chaff, ip_frag, ip_opt, order, tcp_chaff, tcp_seg。
2 存在的疑问
1. ip_frag 重复部分的内容如何处理?
2. ip_chaff ttl 是否有多个不同的ttl值?如果是,那么怎么确定那个ttl是正确的?
3. ip_opt 源地址路由如何处理?
4. tcp_chaff rexmit 特征是什么?
5. tcp_chaff paws 如何判断是否时间戳回退?

备案号:鲁ICP备13029499号-2 说三道四 www.s3d4.cn 说三道四技术文摘