IDS测试工具与使用方法介绍

1 IDS 测试工具与使用方法介绍测试工具与使用方法介绍 2 IDS 测试工具与使用方法介绍 1 Nmap 扫描工具 2 Nmap 简介 2 功能选项 2 Nmap 使用例子 2 Nikto 变形工具 一 2 Nikto 简介 2 Nikto 使用例子 2 Fragrouter 会话分片工具 2 Fragrouter 简介 2 环境配置 2 测试步骤 2 Blade Evasion gateway 变形工具 二 2 Blade Evasion 简介 2 Blade Evasion Gateway 配置 2 测试步骤 2 Snot NIDS 欺骗 2 Snot 简介 2 Snot 使用例子 2 Trojans 2 3 Nmap 扫描工具扫描工具 Nmap 简介简介 名称名称 Nmap 网络探测和安全扫描工具 语法语法 nmap Scan Type s Options 功能选项 功能选项 1 扫描类型扫描类型 sT TCP connect 扫描 这是最基本的 TCP 扫描方式 sS TCP 同步扫描 TCP SYN 因为不必全部打开一个 TCP 连接 所以这项技 术通常称为半开扫描 half open sF sX sN 秘密 FIN 数据包扫描 圣诞树 Xmas Tree 空 Null 扫描模式 sP ping 扫描 sU UDP 扫描 sR RPC 扫描 sV Version scan probes open ports determining service app names versions 2 通用选项通用选项 v 详细模式 强烈推荐使用这个选项 它会给出扫描过程中的详细信息 O 这个选项激活对 TCP IP 指纹特征 fingerprinting 的扫描 获得远程主机的标志 换句话说 nmap 使用一些技术检测目标主机操作系统网络协议栈的特征 nmap 使用这些信息建立远程主机的指纹特征 把它和已知的操作系统指纹特征数据库 做比较 就可以知道目标主机操作系统的类型 Nmap 使用例子 使用例子 nmap v sT 192 168 20 0 24 nmap v sU 192 168 20 140 200 nmap v sX 192 168 20 0 100 nmap v sN 192 168 20 101 144 nmap v O 192 168 20 145 245 4 Nikto 变形工具变形工具 一一 Nikto 简介简介 Nikto 是一款能对 web 服务器多种安全项目进行测试的扫描软件 能在 200 多种服务 器上扫描出 2000 多种有潜在危险的文件 CGI 及其他问题 nikto 1 35 共实现了九种 ids 逃避技术 安装在 windows 操作平台下时 需要安装 activestate perl 语法语法 niktonikto h h target target options options h target 目标主机的 ip 地址或名字 options evasion IDS evasion techniques This enables the intrusion detection evasion in LibWhisker Multiple options can be used by stringing the numbers together i e to enable methods 1 and 5 use e 15 The valid options are use the number preceeding each description 1 1 RandomRandom URIURI encodingencoding non UTF8 non UTF8 2 2 AddAdd directorydirectory self referenceself reference 3 3 PrematurePremature URLURL endingending 4 4 PrependPrepend longlong randomrandom stringstring toto requestrequest 5 5 FakeFake parametersparameters toto filesfiles 6 6 TABTAB asas requestrequest spacerspacer insteadinstead ofof spacesspaces 7 7 RandomRandom casecase sensitivitysensitivity 8 8 UseUse WindowsWindows directorydirectory separatorseparator insteadinstead ofof 9 9 SessionSession splicingsplicing Nikto 使用例子 使用例子 192 168 20 145 是目标主机 运行的环境是 IIS nikto pl h 192 168 20 145 e 1 nikto pl h 192 168 20 145 e 2 nikto pl h 192 168 20 145 e 3 nikto pl h 192 168 20 145 e 4 nikto pl h 192 168 20 145 e 5 nikto pl h 192 168 20 145 e 6 nikto pl h 192 168 20 145 e 7 nikto pl h 192 168 20 145 e 8 nikto pl h 192 168 20 145 e 9 5 Fragrouter 会话分片工具会话分片工具 Fragrouter 简介简介 fragrouter 是一个具有路由器功能的应用程序 它能够对攻击者发送的攻击流量进行分片 处理之后 向攻击目标转发 Fragrouter 可运行在如下的环境中 OpenBSD 2 x FreeBSD 3 x BSD OS 3 x Redhat Linux 5 x Solaris 2 x Fragrouter 原理如下所示 attack fragmented attack hax0r fragrouter victim V network IDS 语法语法 Usage fragrouter i interface p g hop G hopcount ATTACK Where ATTACKATTACK is one of the following B1 base 1 normal IP forwarding F1 frag 1 ordered 8 byte IP fragments F2 frag 2 ordered 24 byte IP fragments F3 frag 3 ordered 8 byte IP fragments one out of order F4 frag 4 ordered 8 byte IP fragments one duplicate F6 frag 6 ordered 8 byte fragments marked last frag first F7 frag 7 ordered 16 byte fragments fwd overwriting T1 tcp 1 3 whs bad TCP checksum FIN RST ordered 1 byte segments T3 tcp 3 3 whs ordered 1 byte segments one duplicate T4 tcp 4 3 whs ordered 1 byte segments one overwriting T5 tcp 5 3 whs ordered 2 byte segments fwd overwriting T7 tcp 7 3 whs ordered 1 byte segments interleaved null segments T8 tcp 8 3 whs ordered 1 byte segments one out of order T9 tcp 9 3 whs out of order 1 byte segments C2 tcbc 2 3 whs ordered 1 byte segments interleaved SYNs C3 tcbc 3 ordered 1 byte null segments 3 whs ordered 1 byte segments 6 R1 tcbt 1 3 whs RST 3 whs ordered 1 byte segments I2 ins 2 3 whs ordered 1 byte segments bad TCP checksums I3 ins 3 3 whs ordered 1 byte segments no ACK set 拓扑拓扑 Fragrouter Attacker 10 0 9 142 网关 10 0 9 40 Victim 192 168 20 145 网关 192 168 20 36 ABCDEFGH SELECTED ON LINE NIDS 192 168 20 36 10 0 9 40 SD SUPER STACK 10BASE T Status Alert Power Tx Link Rx SERIAL TD RD Alert Active OC 3 NETWORK LINE Alert Active 4321 SuperStack II PathBuilder S330 SLOT 1SLOT 2SLOT 3 CONSOLE Com3 Hub 环境配置 环境配置 1 攻击机 attacker 的配置 ip 地址为 10 0 9 142 网关配置为 10 0 9 40 2 安装 nikto 向 192 168 20 36 victim 发攻击流 3 在 linux 操作系统的主机上安装 fragrouter 主机是双网卡 两块网卡配置成不同的网 段 并配置成网关 具体步骤如下 a 配置网卡的接口地址 ifconfig eth1 10 0 9 40 ifconfig eth0 192 168 20 36 b 添加路由 route add net 192 168 20 0 gw 192 168 20 36 netmask 255 255 255 0 route add net 10 0 9 0 gw 10 0 9 40 netmask 255 255 255 0 c 修改配置 echo 1 proc sys net ipv4 ip forward d 禁用 iptables 4 victim 配置的 ip 地址为 192 168 20 145 网关配置为 192 168 20 36 装有 IIS 服务 7 测试步骤 测试步骤 1 先运行 fragrouter fragrouter B1 只是转发包 2 在 attack 上发攻击包 nikto pl h 192 168 20 145 3 攻击包发送完毕后 查看 NIDS 的上报事件 4 停掉 1 中运行的 fragrouter B1 5 运行 fragrouter F1 6 在 attack 上发攻击包 nikto pl h 192 168 20 145 7 攻击包发送完毕后 查看 NIDS 的上报事件 重复步骤 4 6 一次执行如下命令 fragrouter B1 fragrouter F1 fragrouter F2 fragrouter F3 fragrouter F4 fragrouter F6 fragrouter F7 fragrouter T1 fragrouter T3 fragrouter T4 fragrouter T5 fragrouter T7 fragrouter T8 fragrouter T9 fragrouter C2 fragrouter C3 fragrouter R1 fragrouter I2 fragrouter I3 8 BladeBlade EvasionEvasion gatewaygateway 变形工具变形工具 二二 Blade Evasion 简介简介 Blade Evasion Gateway 针对 HTTP 的 URL encoding 逃避技术的变形共十一种 如下图所 示 1 Reverse Backslash Forward slash is converted to a back slash so GET documents example pdf becomes GET documents example pdf 2 Directory Self Reference Initial directory or page is prepended with a directory self reference so GET documents example pdf becomes GET documents example pdf 3 Prepend Random String GET documents example pdf becomes GET documents example pdf 4 Fake Parameter GET documents example pdf becomes GET documents example pdf MyH asdRF 5 Random Case URL GET documents example pdf becomes GET doCuMentS ExaMPLe Pdf 6 TAB Separator GET Request GET documents example pdf becomes GET documents example pdf 7 Random case GET Request GET documents example pdf becomes geT documents example pdf 8 Invalid HTTP Version HTTP 1 1become HTTP 1 3 9 Invalid HTTP version dot HTTP 1 1 becomes HTTP 161 10 Random case HTTP HTTP 1 1 becomes HttP 1 1 11 Session Splicing 将 GET index htm 变形为 G E T I n d e x h t m 9 Blade Evasion Gateway 配置配置 拓扑拓扑 Blade Informer internal interface mac 00 00 00 00 00 11 ip address 192 168 3 100 gatewaymacaddres 00 00 00 00 00 aa external interface mac 00 50 ba a9 a3 00 ip address 192 168 1 100 gatewaiymacaddress 00 00 00 00 00 bb ABCDEFGH SELECTED ON LINE NIDS Blade Evasion Gateway Internal interface mac 00 00 00 00 00 aa ip address 192 168 3 254 gateway 0 0 0 0 Blade Evasion Gateway External interface mac 00 00 00 00 00 bb ip address 192 168 1 254 gateway 0 0 0 0 SD SUPER STACK 10BASE T Status Alert Power Tx Link Rx SERIAL TD RD Alert Active OC 3 NETWORK LINE Alert Active 4321 SuperStack II PathBuilder S330 SLOT 1SLOT 2SLOT 3 CONSOLE Com3 Hub 配置步骤 两台测试机 一台用作 blade Evasion Gateway 并要求是双网卡 另一台用作 Blade informer 也是双网卡 Blade Evasion Gateway 一端与 blade informer 直连 另一端接到与 NIDS 一起接到 HUB 上 1 首先配置 blade informer 如图所示 10 2 配置 blade evasion gateway 如图所示 测试步骤 测试步骤 1 Evasion Gateway 配置好后 点击 start gateway 启用 2 blade informer 在左边选取响应的攻击包后 右边分别配置源 ip 192 168 3 100 和 目的 ip 192 168 1 100 如图所示 1