荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: hellsolaris (qq), 信区: Security
标 题: IDS欺骗之Fragroute(上)(1)
发信站: 荔园晨风BBS站 (Sat Nov 1 12:59:50 2003), 站内信件
IDS欺骗之Fragroute(上)(1)
作者:nixe0n 文章来源:www.cnsafe.net 2002年07月18日
1.引言
2002年3月左右,Dug Song(dugsong@monkey.org)发布了一个工具fragroute,在入侵检
测领域引起了相当大的震动。有关fragroute的讨论成了3-4月http://www.securityfocu
s.com和snort邮件列表的一个热点。
fragroute能够截取、修改和重写向外发送的报文,实现大部分在了Secure Networks
Insertion, Evasion, and Denial of Service: Eluding Network Intrusion
Detection中叙述的IDS欺骗技术,包括IP、TCP层的数据包碎片以及数据包数据重叠等。
其实,早在1999年5月,Dug Song就发布了一个类似的工具--fragrouter。这个工具是网
络入侵检测系统(NIDS)性能测试套件--nidsbench一个部分,顾名思义,fragrouter是一
个具有路由器功能的应用程序,它能够对攻击者发送的攻击流量进行分片处理之后,向
攻击目标转发。其原理如下所示:
攻击流量 分片之后的攻击流量
+-------+ +------------+ +--------+
| hax0r |------->| fragrouter |- - - - - - - - - - ->| victim |
+-------+ +------------+ | +--------+
V
+------+------+
| network IDS |
+-------------+
如果入侵检测系统不能进行IP和TCP分片重组或者重组功能不太完善,将不能发现针对vi
ctim攻击。
从实现的技术来看,fragroute和fragrouter差不多。和fragroute不同的是,它只处理
本地主机发送到远程主机的数据流量,不支持数据包的转发,因此不会在本地主机打开I
P转发功能。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店