Estou tentando testar sistemas IDS na evasão. Eu peguei o Snort IDS. Eu criei alguns cenários fragmentados de pacotes e estou enviando esses pacotes fragmentados para o endereço de destino. Todos esses cenários criados violam as regras RFC de alguma forma. Então, eu estou tentando obter o módulo pré-processador frag3 em execução para acionar alertas. Mas eu estou preso.
Quando eu defino minhas próprias regras em local.rules e envio esses pacotes, posso ver o alerta trigerado pelo Snort IDS. O problema é que essas regras só são configuradas para testar, se o Snort funcionar.
A verdadeira questão é acionar o alerta frag3 para ver o comportamento da regra do IDS. Mas eu realmente não sei como configurá-lo ou como acionar esses alertas. Eu estou esperando para obter pelo menos esses dois alertas, mas eu não sei como.
8 Fragmentation overlap
10 Bogus fragmentation packet. Possible BSD attack
Este é o meu código frag3 snort.conf:
preprocessor frag3_global: max_frags 65536
preprocessor frag3_engine:
O caminho para os módulos de pré-processador no arquivo snort.conf é:
var PREPROC_RULE_PATH c:\Snort\preproc_rules
Algum conselho? Obrigado pelo seu tempo.
M.G.