IDS inundator 测试过程

2024-02-19 05:10
文章标签 过程 测试 ids inundator

本文主要是介绍IDS inundator 测试过程,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Inundator ce gros relou

Dead Meat by Jam WahLa nouveauté fait peur, une chimère à ranger non pas dans la caste les vulgaires créatures réanimées parmi lesquelles on compte les momies et autres zombies, mais plutôt dans la catégorie des grands anciens que président Cthulhu et Nyarlathotep. Évitons les terreurs inutiles, restons bien à l’abri dans le giron d’une terre que l’on a déjà parcourue. Aujourd’hui je vous parlerai une nouvelle fois de stress testing et de déni de service, avec cette fois un petit programme original au potentiel sudatoire important… Pour les équipes de supervision en tout cas !

 Dans ce billet j’apporte un peu de lumière sur un outil excessivement simple d’utilisation, inundator, qui est pourtant en mesure de retourner complètement une plateforme de supervision et de rendre plus que nervous-breakdown les administrateurs du réseau.

 Le principe de fonctionnement d’inundator est relativement trivial, le programme pioche dans la liste de règles de Snort (qui doit être présente sur la machine depuis laquelle inundator est lancé, il est donc nécessaire d’installer Snort ou de récupérer l’archive de règles sur le site de l’IDS), afin de forger des paquets susceptibles de déclencher une alarme sur l’IDS/IPS supervisant le réseau. Les finalités sont nombreuses, on peut en citer quelques unes, comme la dissimulation d’une attaque réelle menée simultanément sur le même réseau, créer une diversion pour attaquer une partie du système ou du réseau qui serait alors momentanément délaissée ou encore déclencher illégitimement les triggers associés aux différentes alarmes… Mais plutôt que de nous perdre en supputations, voyons plutôt comment ça marche…

Comment ça marche… Pas ©

 Petit aparté culturelle, saviez vous que le mot « ça » de l’expression « comment ça va ? » désignerait à l’origine les selles ? Cette banale question permettait de se renseigner sur l’état de santé de votre interlocuteur tout en s’épargnant des détails sous-jacents peu ragoûtants.

 Inundator est capable de prendre pour cible, une machine spécifique, une fourchette d’adresses ou encore un sous réseau entier. Un IDS/IPS est classiquement placé sur un port en mode monitor sur lequel est répliqué l’intégralité du trafic qui traverse l’équipement réseau. C’est la raison pour laquelle ce serveur de détection d’intrusion sera capable de capter les paquets émis par inundator quelque soit l’adresse de destination. Entrons dans le vif du sujet avec cette commande quasiment imberbe ! (192.168.0.1 est monserveur Snort. Dessus on retrouve les serveurs HTTP, SSH, SNMP, SMTP, qui seront les cibles d’attaques simulées par inundator!)

root@kali:~# inundator 192.168.0.1
[+] queuing up attacks...
[+] queuing up target(s)...
[+] detecting open ports on 192.168.0.1...
[+] child 1 now attacking.
[!] connection error!
[!] connection error!
...
[!] connection error!

Et là Zobned !, pléthore de messages inquiétants  ! Du coup, en grand naïf, je me suis dit que tout roulait sûrement, que l’appli était sans doute juste un peu trop verbeuse et que ces connection error! traduisaient un comportement normal de inundator… Mais non.

Après le scan de ports initial et une salve de paquets, plus rien n’était émis. J’ai donc passé la commande à l’invert match de grep pour filtrer un peu les messages (inundator 192.168.0.1 | grep -v error!), et je suis maintenant en mesure d’affirmer que même les programmes se bourrent la gueule !

...
[!] connection errr!
[!] cr!
[!] connecr!
[!] connection errr!
[!] connecr!
[!] connection errr!
[!] connectioor!
[!] or!
[!] connectioror!
[!]or!
[!] connectioor!
[!] connectior!
...

Fix-it

Ça m’apprendra, gros naze que je suis, à ne pas respecter l’adage vieux comme le monde Unix : « Read The Fucking Manual » ! Voilà ce que l’on peut lire dans le –help de inundator et qui explique ce petit FAIL bien mérité :

-p, --proxy Define the SOCKS proxy to use for attacks in host:port format. The use of a SOCKS proxy is mandatory for rather obvious reasons. Default: localhost:9050 (tor)

Du coup forcément, sans SOCKS Proxy en écoute sur le port 9050 ça n’risquait pas de marcher ! Pour les besoins de ce billet, je vais utiliser un proxy local, mais je vous suggère de suivre le judicieux conseil debindshell.nl en utilisant Tor ou assimilé…

On va un peu empiéter sur un prochain billet ou j’explique comment mettre en place le combo Tor + Proxy Local pour utiliser ni vu ni connu des applications telles que Havij ! Mais « est-ce un bien ou est-ce un mal ?« 

Pour monter un proxy local, je vous propose deux solutions : Si vous utilisez Windows comme hôte de votre Linux virtuel, vous pouvez utiliser Privoxy sur votre Windows. Une fois lancé, il vous suffira d’utiliser inundator avec l’option -p @IP_Windows:8118 ! Deuxième solution, que vous soyez dans la première situation ou que vous utilisiez directement Linux comme système d’exploitation, vous pouvez taper la commande magique suivante que j’ai découvert ici :

ssh -N -D 0.0.0.0:1080 localhost

We are under attack !

0x0ff@kali:~# inundator -p localhost:1081 192.168.0.1
[+] queuing up attacks...
[+] queuing up target(s)...
[+] detecting open ports on 192.168.0.1...
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers
[+] child 1 now attacking.
[+] child 2 now attacking.
...
[+] child 24 now attacking.
[+] parent now attacking.
[=] press ctrl+\ at any time to stop.

Voilà qui est beaucoup mieux ! Pour vous montrer l’impact que ce script a sur un IDS/IPS (Snort en l’occurrence, mécaniquement le plus réceptif à cet outil), je vais réutiliser le petit script cmatrix légèrement modifié que j’ai présenté dans cet article. Chaque brin rouge qui apparaît dans le terminal ci-dessous correspond à une alerte émise par Snort.

cmatrix -L /var/log/snort/alert

cmatrix & inundator

Go Deep.

Je vous propose de vous attarder quelques minutes de plus sur ce billet pour découvrir le fonctionnement global de inundator, une nouvelle fois grâce à ce fabuleux outil qu’est Wireshark !

La première chose que va faire inundator, c’est chercher les ports ouverts sur les machines ciblées. Dans les premières secondes de vie du processus, on observe donc un gros scan de port. La capture ci-dessous montre la découverte fructueuse du port 22 et 80 correspondants respectivement au protocole SSH etHTTP.

inundator_port_scan

 Une fois cette phase préliminaire achevée, inundator va émettre vers ces ports ouverts, des paquets correspondant aux protocoles normalement associés à chacun d’entre eux, fabriqués de façon à les rendre suspects pour l’IDS/IPS qui écouterait le réseau.

Exemple SSH

inundator capture 1

La règle associée est aisément identifiable :

0x0ff@kali:~# cat /etc/snort/rules/* | grep GOBBLES
alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"EXPLOIT gobbles SSH exploit attempt"; flow:to_server,established; content:"GOBBLES"; reference:bugtraq,5093; reference:cve,2002-0390; reference:cve,2002-0639; classtype:misc-attack; sid:1812; rev:5;)

Exemple HTTP

inundator capture 2

Alarme normalement remontée par cette règle :

0x0ff@kali:~# cat /etc/snort/rules/* | grep axs.cgi
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-CGI axs.cgi access"; flow:to_server,established; uricontent:"/axs.cgi"; classtype:web-application-activity; sid:1205; rev:6;)

 

Vous l’aurez compris, inundator est sans doute l’un des outils les plus funs de la distribution Kali Linux. On peut également saluer le choix noob-friendly des auteurs d’avoir par défaut pipé inundator sur tor, un bon petit conseil éducatif en plus ! On arrive à la fin de ce nouveau billet, j’espère qu’il vous aura plu, ou tout du moins qu’il aura plu à Sans-pseudo-fix ! ;)

这篇关于IDS inundator 测试过程的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/723587

相关文章

浅析Spring Security认证过程

类图 为了方便理解Spring Security认证流程,特意画了如下的类图,包含相关的核心认证类 概述 核心验证器 AuthenticationManager 该对象提供了认证方法的入口,接收一个Authentiaton对象作为参数; public interface AuthenticationManager {Authentication authenticate(Authenti

性能测试介绍

性能测试是一种测试方法,旨在评估系统、应用程序或组件在现实场景中的性能表现和可靠性。它通常用于衡量系统在不同负载条件下的响应时间、吞吐量、资源利用率、稳定性和可扩展性等关键指标。 为什么要进行性能测试 通过性能测试,可以确定系统是否能够满足预期的性能要求,找出性能瓶颈和潜在的问题,并进行优化和调整。 发现性能瓶颈:性能测试可以帮助发现系统的性能瓶颈,即系统在高负载或高并发情况下可能出现的问题

作业提交过程之HDFSMapReduce

作业提交全过程详解 (1)作业提交 第1步:Client调用job.waitForCompletion方法,向整个集群提交MapReduce作业。 第2步:Client向RM申请一个作业id。 第3步:RM给Client返回该job资源的提交路径和作业id。 第4步:Client提交jar包、切片信息和配置文件到指定的资源提交路径。 第5步:Client提交完资源后,向RM申请运行MrAp

字节面试 | 如何测试RocketMQ、RocketMQ?

字节面试:RocketMQ是怎么测试的呢? 答: 首先保证消息的消费正确、设计逆向用例,在验证消息内容为空等情况时的消费正确性; 推送大批量MQ,通过Admin控制台查看MQ消费的情况,是否出现消费假死、TPS是否正常等等问题。(上述都是临场发挥,但是RocketMQ真正的测试点,还真的需要探讨) 01 先了解RocketMQ 作为测试也是要简单了解RocketMQ。简单来说,就是一个分

【测试】输入正确用户名和密码,点击登录没有响应的可能性原因

目录 一、前端问题 1. 界面交互问题 2. 输入数据校验问题 二、网络问题 1. 网络连接中断 2. 代理设置问题 三、后端问题 1. 服务器故障 2. 数据库问题 3. 权限问题: 四、其他问题 1. 缓存问题 2. 第三方服务问题 3. 配置问题 一、前端问题 1. 界面交互问题 登录按钮的点击事件未正确绑定,导致点击后无法触发登录操作。 页面可能存在

【机器学习】高斯过程的基本概念和应用领域以及在python中的实例

引言 高斯过程(Gaussian Process,简称GP)是一种概率模型,用于描述一组随机变量的联合概率分布,其中任何一个有限维度的子集都具有高斯分布 文章目录 引言一、高斯过程1.1 基本定义1.1.1 随机过程1.1.2 高斯分布 1.2 高斯过程的特性1.2.1 联合高斯性1.2.2 均值函数1.2.3 协方差函数(或核函数) 1.3 核函数1.4 高斯过程回归(Gauss

业务中14个需要进行A/B测试的时刻[信息图]

在本指南中,我们将全面了解有关 A/B测试 的所有内容。 我们将介绍不同类型的A/B测试,如何有效地规划和启动测试,如何评估测试是否成功,您应该关注哪些指标,多年来我们发现的常见错误等等。 什么是A/B测试? A/B测试(有时称为“分割测试”)是一种实验类型,其中您创建两种或多种内容变体——如登录页面、电子邮件或广告——并将它们显示给不同的受众群体,以查看哪一种效果最好。 本质上,A/B测

Solr 使用Facet分组过程中与分词的矛盾解决办法

对于一般查询而言  ,  分词和存储都是必要的  .  比如  CPU  类型  ”Intel  酷睿  2  双核  P7570”,  拆分成  ”Intel”,”  酷睿  ”,”P7570”  这样一些关键字并分别索引  ,  可能提供更好的搜索体验  .  但是如果将  CPU  作为 Facet  字段  ,  最好不进行分词  .  这样就造成了矛盾  ,  解决方法

Python:豆瓣电影商业数据分析-爬取全数据【附带爬虫豆瓣,数据处理过程,数据分析,可视化,以及完整PPT报告】

**爬取豆瓣电影信息,分析近年电影行业的发展情况** 本文是完整的数据分析展现,代码有完整版,包含豆瓣电影爬取的具体方式【附带爬虫豆瓣,数据处理过程,数据分析,可视化,以及完整PPT报告】   最近MBA在学习《商业数据分析》,大实训作业给了数据要进行数据分析,所以先拿豆瓣电影练练手,网络上爬取豆瓣电影TOP250较多,但对于豆瓣电影全数据的爬取教程很少,所以我自己做一版。 目

Verybot之OpenCV应用一:安装与图像采集测试

在Verybot上安装OpenCV是很简单的,只需要执行:         sudo apt-get update         sudo apt-get install libopencv-dev         sudo apt-get install python-opencv         下面就对安装好的OpenCV进行一下测试,编写一个通过USB摄像头采