我正在尝试测试 IDS 系统的逃避能力。我已经选择了 Snort IDS。我制作了一些碎片数据包场景,并将这些碎片数据包发送到目标地址。所有这些精心设计的场景都以某种方式违反了 RFC 规则。所以我试图让 frag3 预处理器模块运行以触发警报。但我陷入了困境。
当我在 local.rules 中定义自己的规则并发送这些数据包时,我可以看到 Snort IDS 触发的警报。问题是这些规则仅用于测试 Snort 是否有效。
真正的问题是触发 frag3 警报以查看 IDS 规则行为。但我真的不知道如何配置它,或者如何触发这些警报。我希望至少收到这两个警报,但我不知道如何。
8 Fragmentation overlap
10 Bogus fragmentation packet. Possible BSD attack
这是我的 frag3 snort.conf 代码:
preprocessor frag3_global: max_frags 65536
preprocessor frag3_engine:
snort.conf文件中预处理器模块的方式是:
var PREPROC_RULE_PATH c:\Snort\preproc_rules
有什么建议吗?谢谢您的宝贵时间。
MG