fragroute命令没有太多的命令行选项,只有一个指定配置文件的-f选项:
    #fragroute -f conf 目的地址
    #执行实际的***程序
  其中,conf是配置文件,例如:/usr/local/etc/fragroute.d/fragroute.conf;目的地址是一个单一的IP地址或者主机名,目前fragroute还不能用于多个目的地址。
  在安装时,我们把fragroute提供的一些现成配置文件安装到了系统中,但是需要注意的是,使用其中一些配置文件时一定要慎重,因为如果使 用这些些配置文件,不但不会起到避开***检测系统的作用,反而可能由于IP碎片太小引起大量报警(我在自己的环境中测试时,就曾经因为碎片过小使目标主机 上的BlackICE产生大量碎片***报警)。
  一般情况下,fragroute提供的默认配置文件fragroute.conf已经基本能够满足要求(这个文件被转移到了/usr/local/etc/fragroute.d)。
  fragroute是由一些模块组成的,每个模块实现一个或者几个功能,目前fragroute支持的模块包括:
  • mod_delay
  • mod_drop
  • mod_dup
  • mod_echo
  • mod_ip_chaff
  • mod_ip_frag
  • mod_ip_opt,
  • mod_ip_ttl
  • mod_ip_tos
  • mod_order
  • mod_print
  • mod_tcp_chaff
  • mod_tcp_opt
  • mod_tcp_seg
  这些模块都有各自的控制指令,你可以在配置文件中使用这些指令配置特定模块的行为。
3.1.fragroute规则集
  fragroute在初始化时,会删除到目标的路由(目标不在同一个局域网中)或者ARP的相关条目(和目标在同一个局域网中);接着,把到目 标的网关设置为本地回环设备lo(127.0.0.1,在Linux下);然后,利用libpcap在本地回环设备lo上监听,把截获的数据放到一个队列 中,根据配置文件中的规则,使用上述模块对这个队列进行操作;最后,把队列中已经处理好数据包从正确的网络接口发送出去。
  fragroute配置文件的每条规则包括模块名和控制指令两部分组成,其中模块名指定应用的模块,而控制指令部分设置模块的操作行为。配置文 件中的规则是顺序执行的(这是由于fragroute管理规则的数据结构过于简单),因此即使是相同的规则,如果顺序不同,也可能达到不同效果。
  下面我们详细介绍一下fragroute支持的规则:
  • #string
      注释行,将被fragroute忽略。
  • delay first|last|random ms
      把队列中的第一个(first)、最后一个(last)或者随机地选择一个数据包,延迟到ms微秒之后才投递出去。例如:delay random 20(随机选择一个数据包,延迟20微秒);delay first 40(40微秒之后投递队列中的第一个数据包)。
  • drop first|last|random prob-%
      模拟数据包丢失的情况,以prob%的几率丢弃队列中的第一(first)个、最后一个(last)或者随机选择数据包。例如:drop first 30(以30%的几率丢弃队列的第一个数据包),drop last 100(总是丢弃队列的第一个数据包)。
  • dup frist|last|rendom prob-%
      以prob%的几率重复队列中的第一个(first)、最后一个(last)或者随机选择一个数据包。例如:dup first 100(在队列中复制第一个数据包的一个副本)、dup last 100(在队列中复制最后一个数据包的一个副本)。
  • echo string...
      在标准输出设备输出字符串string。
  • ip_chaff dup|opt|ttl
      为队列中的所有数据包都制作一个负载不同(里面的数据是随机填充的)的副本。如果使用dup选项,fragroute将延迟(延迟值是1微秒) 投递数据包副本;如果使用opt选项,fragroute会在数据包副本中设置无效的IP选项;如果使用ttl选项,fragroute就把数据包副本的 TTL值设置为较小的值。(原理请参考IDS欺骗之Fragroute篇(上))
  • ip_frag size [new|old]
      把队列中的所有数据包分成大小为size的碎片,并在第一个碎片中包含完整的传输层包头。这个模块还支持IP碎片重叠,有些系统是会以后到碎片 的数据覆盖先到碎片的数据,对于这种系统需要使用new选项;反之,使用old。有关碎片重叠的技术细节请参考IDS欺骗之Fragroute篇(上)。 要使用碎片数据重叠选项,需要对目标系统有深入的了解,如果拿不准,可以使用fragroute软件包中提供的工具fragtest进行测试。另外,还要注意size一定要是8的倍数。
  • ip_opt lsrr|***r ptr ip-addr ...
      在每个数据包中设置IP选项:松散源路由(lsrr)或者严格源路由(***r)。ptr最小是4,而且必须是4的倍数。ip-addr是一系列的IP地址。
  • ip_ttl ttl
      把每个IP数据包的生存期设置为ttl。例如:ip_ttl 60。
  • ip_tos tos
      把每个数据包的服务类型域(type-of-service)设置为tos。
  • order random|reverse
      对队列中的数据包重新以随机(random)或者反向(reverse)的方式排序。
  • print
      以tcpdump的风格向标准输出设备输出队列中的所有数据包。
  • tcp_chaff cksum|null|paws|rexmit|seq|syn|
      在队列中交错插入每个TCP报文段的副本,负载和原来的报文段不同。其中副本报文段可以具有无效的校验和(cksum)、空的控制标志 (null)、旧的时间戳选项(paws)--针对序列号回卷保护(Protection Aginst Wrapped Sequence number,PAWS)、伪造的重传调度(rexmit)、超出窗口范围的序列号(seq)、在TCP数据流中间的重新同步序列号的请求(syn)或者 短的生存期值(ttl是一个大于0小于256的整数)。注意:和ip_chaff一样,一次也只能使用一条指令,例如:tcp_chaff cksum是一条正确的规则,而tcp_chaff cksum null是错误的(实际上这个规则也是可以使用的,不过它相当于tcp_chaff cksum)。
  • tcp_opt mss|wscale size
      为每个TCP报文段添加选项,设置其最大报文段长度(0--65535)或者窗口放大因子的大小(0--255)为size。例如:tcp_opt mss 31337、tcp_opt wscale 255。
tcp_seg size[old|new]
  把队列中的TCP数据分割为size大小的TCP报文段,后面两个是设置数据覆盖方式的选项,使用这两个选项有很大的难度,因为目标系统的覆盖方式很难掌握。不过,一般情况下不管是UNIX还是windows系统都是由新到的数据覆盖先到的数据。
3.2.配置示例
  fragroute的配置规则虽然比较简单,但是组织非常混乱,没有考虑到各个规则的层次或者优先级问题。因此,开始使用时最好先从比较简单的 规则入手。而且,使用规则最好按照TCP(以tcp开头)->IP(以ip开头)->其它(order、print、delay等)的顺序编 写规则文件。下面我们举几个实际应用的例子。
  • 目标为win32系统,使用IP碎片重叠技术躲避IDS的检测,并且使每个碎片的大小为16个字节:
    ip_frag 16 old
    print
  • 如果目标为unix系统,可以使用如下规则:
    ip_frag 16 new
  • 以下规则将使fragroute把TCP报文段长度设置为1,IP数据包和TCP报文段的生存期分别设置为11和10,然后打乱次序把数据包投递出去。
    tcp_seg 1
    tcp_chaff 10
    ip_ttl 11
    order random
4.fragtest
  在碎片躲避技术中,比较难以利用的是IP碎片数据重叠技术。因为各种系统的重叠行为并不相同。为此,Dug Song在fragroute软件包中提供了一个小程序fragtest来检测目标系统TCP/IP协议栈的行为。这个程序可以进行如下测试:
  • ping
      向目标主机发送ICMP echo请求包。
  • ip-tracert
      测试到目标的路由。
  • ip-opt
      向目标主机发送包含各种选项的ICMP echo请求包,测试目标主机支持哪些选项。
  • frag
      以8字节的碎片向目标主机发送ICMP echo请求包。
  • frag-new
      测试目标主机进行碎片重组时的覆盖行为是否是新到碎片覆盖先到碎片。
  • frag-old
      测试目标主机进行碎片重组时的覆盖行为是否是先到碎片覆盖后到碎片。
  • frag-timeout
      测试目标碎片重组的超时时间。
  fragtest的用法非常简单,可以单独测试某个选项,也可以一次进行全部测试行为,例如:
    #fragtest ping  192.168.1.2
    #fragtest frag-new 192.168.1.2
    #fragtest all 192.168.1.2
  不过,fragtest程序本身不支持超时功能,也就是如果目标主机不支持某个选项,fragtest将不能返回,需要通过Ctrl+C终止。 因此,fragtest all测试基本没有什么用处:),只能逐个测试。为了方便,可以使用以下脚本封装fragtest,自动完成各项测试:
    #!/usr/bin/perl
    my $destination=shift or die "Usage: Fragtest.pl destination";
    my ($tmp,$fragtest)=split /s/,`whereis fragtest`;
    die "Please install fragroute first" unless $fragtest;
    my @options=('ping','ip-opt','ip-tracert','frag','frag-new','frag-old');
    my (@results);
    my $result;
    foreach (@options){
    print "Testing $_....";
    eval{
    local $SIG{ALRM}=sub {die "Timeout"};
    alarm(10);
    $result=`$fragtest $_ $destination`;
    alarm(0);
    };
    push @results,$result;
    }
    print "Testing frag timeout,perhaps need to wait long time";
    $result=`$fragtest frag-timeout $destination`;
    push @results,$result;
    print @results;
    exit 0;
5.fragroute VS snort
  fragroute的发布在***检测领域引起过不小震动,尤其是在snort的开发人员和用户中间。snort是一个开放源码的***检测系统, 其优点和缺点同样突出。作为一个轻量***检测系统,snort采用的是字符串匹配检测方式,虽然通过各种插件做了很大的扩展,但是snort的协议分析能 力较差。例如,如果收到顺序被打乱的IP碎片,snort会直接让它们通过检测引擎。Dug Song针对snort的一些弱点,发布了一些专门针对snort的规则集。对于这些问题,snort开发者很快就提出了解决问题的办法。不过,由于 snort的先天缺陷,有些解决方案并不完美。这恐怕要寄希望于snort2了,Martin Roesch在中展望了snort2的许多迷人特征。
  下面,我们详细分析一下这些针对snort弱点的fragroute规则集及其解决方案。
  • snort的TCP报文段重组插件优先接受新的重传数据,即使已经收到了序列号准确的数据,因此可以使用TCP重传欺骗指令实现对snort的欺骗:
      tcp_seg 1
      tcp_chaff rexmit
      order radom
  • 以新到数据优先的方式在TCP报文段中进行数据覆盖
      tcp_seg 1 new
  • 使用旧的TCP时间戳选项消除PAWS(序列号回卷保护)的TCP欺骗报文段
      tcp_seg 1
      tcp_chaff paws
      order random
  • snort的IP碎片重组模块似乎总是新到数据优先,因此可以使用负载不同的重复IP碎片实现欺骗的目的
      ip_frag 8
      ip_chaff dup
      order random
  • 使用具有无效选项的重复碎片
      ip_frag 8
      ip_chaff opt
      order random
  • 如果到snort检测设备跳数或者时间小于到目标的跳数或者时间,可以使用短的TTL在监视设备中插入垃圾数据
      ip_frag 8
      ip_ttl 11
      ip_chaff 10
      order random
      或者
      tcp_seg 1
      ip_ttl 11
      tcp_chaff 10
      order random
  对于这些问题,开发人员对snort做如下很改进:
  • 发现重叠的碎片就发出报警。
  • 为frag2和stream4预处理模块加入了TTL限制,防止***者通过短生存期的方法插入垃圾数据,用户可以通过min_ttl选项使用这个功能。
  • 对TCP重传欺骗进行报警。
  • 对TCP报文段数据覆盖发出报警。
  • 对包含IP选项的IP碎片进行报警。
  对于用户来说,只要使用如下命令就可以很好地对检测fragroute***:
    preprocessor frag2: detect_state_problems
    processessor stream4: detect_state_problems
6.最后的一点废话:P
  使用fragroute需要注意一个问题,由于有的防火墙(例如:iptables)会具有碎片重组功能,因此可能造成IP碎片无法通过。