Fragroute

fragroute

Como explicado aqui os IDS/IPS analisam e autorizam ou no caso de detectarem um movimento ou um tráfego malicioso, negam acessos à rede. Todos estes movimentos são pacotes de dados que os IDS/IPS analisam. Se os pacotes recebidos numa rede são maiores do que o MTU,(Maximum Transmission Unit) de unidade por transmissão, estes são partidos em bocados mais pequenos para que possam entrar na rede. Estes pequenos pacotes são os chamados de fragmentos.

É aqui que o fragroute entra, ele intercepta, modifica, e rescreve à saída , o tráfego destinado a um alojamento especifico.

 

Como os IDS/IPS analisam o tráfego, o fragroute parte-o em fragmentos de maneira a que tráfego  malicioso, baralha a sua ordem para que consiga passar.
Fragroute

O Fragroute precisa de um ficheiro de configuração, que por defeito se encontra em  /etc/fragroute.conf com os seguintes parâmetros por defeito:

tcp_seg 1 new
 ip_frag 24
 ip_chaff dup
 order random
 print

Se não for indicado nenhum ficheiro de configuração com o parâmetro -f o fragroute irá buscar o por defeito.

fragroute -f /caminho/para/o/ficheiro/de/configuração  endereço_a_atacar.com

Vamos criar um teste, vamos utilizar o domínio example.com e o ficheiro de configuração por defeito. Neste caso basta omitir o parâmetro -f

fragroute example.com

Acedam agora através do vosso navegador ao example.com e vejam os pacotes que são passados na consola.

Mas o fragroute foi feito para enviar os vossos pacotes, de nodo a que quando fazem uma fragmentação:

fragroute -f /caminho/para/o/ficheiro/de/configuração  endereço_a_atacar.com

Ele fica activo e espera pelo dados que querem enviar.

Fragroute

Quanto ao ficheiro de configuração vamos criar um no Desktop com o nome de fragroute.conf. As opções que podem escolher são as seguinte, uma por linha no ficheiro:

delay first|last|random ms

Atrasa o primeiro (first),o ultimo(last) ou aleatoriamente (random), pacote do tráfego por milésimos de segundo. Exemplo de um atraso de 50 milésimos aleatoriamente:

delay random 50

 

drop first|last|random prob-%

Deixa cair o primeiro (first), o ultimo (last) ou aleatoriamente (random) pacote com a probabilidade em percentagem indicada. Exemplo de deixar cair aleatoriamente com 50 % de hipóteses.

drop random 50%

dup first|last|random prob-%

Duplica o primeiro (first), o ultimo (last) ou aleatoriamente (random) pacote com a probabilidade em percentagem indicada. Exemplo para duplicar o primeiro pacote  com 50 % de hipóteses.

dup first 50%

echo argumentos …

Envia os argumentos passados na ligação.

fragroute echo

ip_chaff dup|opt|ttl

Intercalam pacotes IP no envio com pacotes IP duplicados contendo diferentes cargas, seja agendado para entrega posterior, carregando as opções de IP inválido, ou com curto período de tempo de vida para esses valores.

ip_chaff dup
ip_chaff 8

ip_frag size [old|new]

Fragmenta cada pacote na fila em fragmentos do tamanho indicado em bytes,  preservando o cabeçalho de transporte completo no primeiro fragmento.

A sobreposição dos fragmentos pode ser especificado como velho ou novo (old , new), para  favorecer os dados mais recentes ou mais antigas.

ip_frag 32 new

ip_ttl ttl

Determina o tempo de vida de cada pacote correspondente ao IP

ip_tll 30

ip_tos tos

Muda o tipo de serviço de todos os pacotes para o tipo de serviço (Type of Services ou ToS) indicado

ip_tos 5

 

order random|reverse

Ordena os pacotes em modo aleatório (random) ou de trás para a frente, método reversivo (reverse)

order reverse

print

Mostra cada pacote em transferencia no estilo tcddump.

print

tcp_seg size [old|new]

Segue cada segmento de dados TCP na transferência em TCP tamanho-byte. A sobreposição do segmento opcional pode ser especificado como velho ou novo, para favorecer os dados mais recentes ou mais antigas.

tcp_seg 4 new

Deixar uma resposta