[ 登录 ][ 注册 ] 天极传媒: 比特网 | 天极网 | IT专家网 | IT商网 | 52PK游戏网 | 手机天极 | IT分众 |
您现在的位置: IT专家网 > 安全子站 > 安全技巧

巧用FREL实现检测分段网络攻击流量

作者: linus,  出处:IT专家网, 责任编辑: 张帅, 
2007-11-08 08:52
  目前大多数入侵检测都是针对单个报文的,随着黑客攻击手段的丰富,假如攻击者将攻击信息分段隐藏在多个报文中,入侵检测系统就很难发现……

  【IT专家网独家】网络安全一直以来就是一个热门话题,相信伴随着网络技术的发展这个话题也会无休止的延续下去。“道高一尺,魔高一丈”,针对现在越来越多的入侵检测产品,攻击者也在不断丰富自己攻击手段。介于目前大多数入侵检测都是针对单个报文的,攻击者将自己攻击信息分段隐藏在多个报文,甚至是多个乱序的分段报文中,以此来规避检测。本文介绍的FREL就是这样一种报文分段工具,其是Fragrouter的升级版本,与Fragrouter所不同的是其能够运行在流量发起的机器上。

  应用场景

  巧用FREL实现分段网络攻击流量

  如上图所示,FREL运行在Client机器上,FREL分段所有从Client到Server的流量,这些分段流量都会经过Firewall。如果Client端没有运行FREL,攻击流量流经Firewall会被检测到,分段以后是否能够检测到,就需要考验Firewall的实力了。

  具体应用

  FREL通过option –i来指定其监听的物理端口,例如-i eth1,从这个端口上侦听流量,捕获它,分段以后再转发出去。对这些分段后的报文FREL并不进行路由查找和ARP查找,它只需要知道目的MAC。如上面TOPO,目的MAC就是Firewall的MAC。目的MAC的指定可以通过option –r 。报文的分段方式是由你的攻击模式来确定的,例如你想要分成顺序的8字节分段,选择参数-F1,如果想要乱序的8字节分段,选择-F5,具体的参数选择可以使用FREL –help来查看。因为是要将frel和流量发起端运行在同一台机器上,所以需要选定参数-m2,这样我们就有了如下的命令行:frel –m2 –i eth1 –r firewallmacaddress –F1。但是仅仅这样仍然不能分段报文,FREL并不是捕获所有流出侦听端口的报文,它只能捕获去往特定MAC地址的报文,前面我们用-r指定了分段需要发往的目的MAC,这里我们还需要通过option –s来告诉它需要捕获什么目的MAC的报文。在上面的TOPO中,目的MAC也是Firewall的MAC,因此frel需要提供一个参数选择-s firewallmacaddress。现在完整的frel命令就是

frel –m2 –i eth1 –r firewallmacaddress –s firewallmacaddress –F1

      命令行参数的具体解释如下:

  1.-m2:运行在流量始发端的机器上

  2.-i eth1:捕获并且分段发送流出该接口的报文

  3.-r firewallmacaddress:分段以后将报文发往这个地址

  4.-s firewallmacaddress:捕获并分段目的MAC为该值的报文

  5.-F1:根据需要的攻击手段选择不同的值。

  如何防止报文复制

  现在一切配置妥当之后,还是以上面的TOPO为例,我们从Client端ping Server端,同时在Client/Firewall接口上运行tcpdump来观察报文。我们仔细观察,我们会发现两部分报文:

  1. 正常的ping包

  2. 这些正常ping包的分段报文

  为什么会出现这两部分报文呢?原因是因为当报文发出去的时候frel并没有停止最初的报文发送,它只是捕获了报文的复制品,将其分段后再重新发送,所以这就导致了报文被发送了两次,一次是完整版的,一次是分段版的。出现复制报文,这在正常的情况下这是不允许的,所以我们需要阻止源报文的发送。要做到阻止源报文的发送,我们需要在Client机器上利用静态路由和静态ARP,本身Client要连接Server,在Client上也需要一条到Firewall的默认路由,同时Firewall的ARP也需要存在在Client的cache里。现在我们在Client上添加一条到Server的静态路由,该路由的gateway指向一个不存在的地址而不是Firewall,这样当Client需要发送报文到Server时,其会将报文发向这个不存在的地址而不是发到Firewall。这个不存在的地址应该与Client在同一个网段,不需要一台实际的机器,只需要一个IP地址即可。同时我们还需要为这个不存在的IP配置一个静态ARP,否则,Client在发送报文的时候会出现ARP请求失败,导致报文不能发送。当然这个ARP我们也配置一个不存在的ARP。在Client上我们需要配置如下命令:

  1. Route add –host victim gw dummyip-on-clients-network

  2. Arp –s dummyip-on-clients-network 00:01:02:03:04:05

  这样当Client ping Server的时候,所有的ping包都会被送往这个不存在的IP和ARP,frel的命令行需要做一下修改,我们捕获发往这个不存在的MAC的报文,但是仍然将分段后的报文发往Firewall的MAC,这样最初的ping包就会因为找不到目的IP而丢失,分段后的报文就正常的发往了Firewall,经Firewall转发后送往Server。这样也就避免了复制的报文。Frel命令行如下:frel –m2 –F1 –i eth1 –s 00:01:02:03:04:05 –r firewallmacaddress。

共2页。 1 2 :
  • 本文关键词:

网友评论

笔名 
请您注意:遵守国家有关法律、法规,尊重网上道德,承担一切因您的行为而直接或间接引起的法律责任。    IT专家网友拥有管理笔名和留言的一切权利。

邮件订阅


    • 解析Windows密码安全问题(第三部分)评论
      在前两部分文章中,我们讨论了Windows密码政策的问题以及它是如何在Active Directory环境被控制等问题,大家应该还记得在默认情况下密码政策和相关的设置位于默认域策略中(Default Domain Policy)。另外同样探讨了可以使用哪些技术破获windows密码,以及每种攻击方式的限制问题。那么,在本文中,我们将讨论如何让windows密码变得更加安全,以及如何能够解决在前两部分文章中出现的所有问题。本文将涉及Windows2002/2003/2008Active Directory默认安装带来的可能性以及其他能够整体提高密码安全的技术。
    • IDC创新和安全白皮书:合作或竞争评论
      业务创新是业务发展战略非常重要的一部分,并而日益成为公司保持竞争优势的决定性因素。由于创新的战略重要性,导致了我们越来越关注信息安全机制在抑制甚至扼杀业务创新方面起到的作用。IDC认为公司不仅是需要找到业务创新和有可能扼杀这种创新的信息安全机制,而且需要在这两者之间找到一个简洁的平衡来满足自己的业务需求。成功的企业能够在商业竞争中占有优势,是因为他们懂得去合理的利用两者使之成为一种具有杠杆作用的机制,而其它的企业只是单单强调其中的一个。
    • 预防企业数据丢失的6种最佳实践评论
      根据“私有权清算中心”(一家非赢利性消费者信息和倡导组织)的统计,自2005年1月以来,有将近2200万条记录遭到破坏。数据失窃和丢失案件数量惊人,这不仅是因为安全入侵事件正在以惊人的速度持续增长,数据丢失引发的财产损失事件也同样在飞速增加。根据美国政府的估计,所谓的“企业数据丢失”在去年使商业界损失了近1050亿美元。根据波尼蒙研究所(Ponemon Institute)的统计,仅仅内部人士导致的数据受损一项,每年给商业界造成的损失为平均每家公司3-4百万美元。产业分析公司Gartner集团估计,恢复数据的开销可以达到每条破坏记录150美元之高——这一数字还没有包括重拾客户信任和重建品牌价值、可能的罚款以及法律诉讼代理费的资金投入。在企业数据丢失案件有增无减的同时,公司也正在不断搜集更多数据,以求优化商业流程,改善客户服务,以及提升与合作伙伴的关系。更多的数据转化为相关数据在整个企业中数量不断增多的信息系统之间更广泛的传播。其结果就是——随着公司内外越来越多的用户获得接入系统的权限,敏感数据遭到破坏的风险也在不断增大。
    • RSA白皮书:管理银行的信息风险评论
      信息是银行的基础,但直到现在,金融机构还往往满足于以业务封闭式的方式管理风险。然而,行业的压力促使银行开始对这种战略展开思考。