Я пытаюсь проверить системы IDS на уклонение. Я взял Snort IDS. Я создал несколько сценариев фрагментированных пакетов и отправляю эти фрагментированные пакеты по адресу назначения. Все эти созданные сценарии каким-то образом нарушают правила RFC. Итак, я пытаюсь запустить модуль препроцессора frag3 для запуска предупреждений. Но я застрял.
Когда я определяю свои собственные правила в local.rules и отправляю эти пакеты, я вижу предупреждение, запускаемое Snort IDS. Проблема в том, что эти правила настроены только для проверки работы Snort.
Реальное дело - вызвать предупреждение frag3, чтобы увидеть поведение правила IDS. Но я действительно не знаю, как его настроить или как получить эти предупреждения. Я ожидаю получить по крайней мере эти два предупреждения, но я не знаю как.
8 Fragmentation overlap
10 Bogus fragmentation packet. Possible BSD attack
Это мой код frag3 snort.conf:
preprocessor frag3_global: max_frags 65536
preprocessor frag3_engine:
Путь для модулей препроцессора в файле snort.conf:
var PREPROC_RULE_PATH c:\Snort\preproc_rules
Любой совет? Спасибо за ваше время.
М.Г.