configura frag3 no SNORT

1

Estou tentando testar sistemas IDS na evasão. Eu peguei o Snort IDS. Eu criei alguns cenários fragmentados de pacotes e estou enviando esses pacotes fragmentados para o endereço de destino. Todos esses cenários criados violam as regras RFC de alguma forma. Então, eu estou tentando obter o módulo pré-processador frag3 em execução para acionar alertas. Mas eu estou preso.

Quando eu defino minhas próprias regras em local.rules e envio esses pacotes, posso ver o alerta trigerado pelo Snort IDS. O problema é que essas regras só são configuradas para testar, se o Snort funcionar.

A verdadeira questão é acionar o alerta frag3 para ver o comportamento da regra do IDS. Mas eu realmente não sei como configurá-lo ou como acionar esses alertas. Eu estou esperando para obter pelo menos esses dois alertas, mas eu não sei como.

    8     Fragmentation overlap
    10    Bogus fragmentation packet. Possible BSD attack

Este é o meu código frag3 snort.conf:

    preprocessor frag3_global: max_frags 65536
    preprocessor frag3_engine: 

O caminho para os módulos de pré-processador no arquivo snort.conf é:

    var PREPROC_RULE_PATH c:\Snort\preproc_rules

Algum conselho? Obrigado pelo seu tempo.

M.G.

    
por mgaspar 17.05.2014 / 22:20

0 respostas