PREPROCESSOR_ICMPSPOOFING

Contact:snort@islab.demokritos.gr,jpa3nos@islab.demokritos.gr

Download Ver1.1

Docs

Χαιρετισμούς σε όλους,
Εδώ και κάποιο καιρό ασχολούμαι με την δημιουργία ενός preprocessor για το Open Source NIDS Snort.Τo αποτέλεσμα είναι ο spp_icmpspoof.Ο συγκεκριμένος preprocessor μπορεί να ανιχνεύει spoofed ICMP ECHO Request/Reply πακέτα που μπορεί να είναι μέρος του εισερχόμενου ή εξερχόμενου traffic του δίκτυο που προστατεύεται από το Snort.
Επίσης μπορεί να ανιχνεύει εισερχόμενα/ εξερχόμενα πακέτα που παράχθηκαν σαν απάντηση σε κάποιο spoofed ICMP ECHO Request/Reply πακέτο που έλαβε χώρα στο εσωτερικό traffic του προστατευόμενου δικτύου ή που κάποιος εκτός του δικτύου έστειλε κάπου αλλού πλαστογραφώντας μία IP διεύθυνση που ανήκει στο προστατευόμενο δίκτυο. Ανιχνεύει το spoofing όταν κάποιος εκτός του προστατευόμενου δικτύου στέλνει spoofed πακέτα σε κάποιον εκτός ή εντός του προστατευόμενου δικτύου, spoofed πακέτα που στέλνονται μέσα από το προστατευόμενο δίκτυο και άλλα spoofing σενάρια. Κάθε φορά που ανιχνεύεται ένα spoofed πακέτο, τότε παράγεται ένα alert καθώς επίσης και ένα πιθανό σενάριο που περιγράφει τον ρόλο και την θέση του κάθε συστήματος που πήρε μέρος στην διαδικασία.Περισσότερες λεπτομέρειες στο README αρχείο.Ο spp_icmpspoof δοκιμάστηκε σε ένα RedHat 7.3 σύστημα με snort-1.9.1 και snort-2.0.0.Κάποιες πολύ μικρές αλλαγές απαιτούνται να γίνουν για το snort-1.8.7. Δεν έχουν γίνει οι απαραίτητοι εξονυχιστικοί έλεγχοι, αλλά φαίνεται να λειτουργεί ικανοποιητικά.
Αυτός ο preprocessor θα μπορούσε να αποτελέσει μία λύση για την ανίχνευση των Covert Channels, Decoy Traffic,Scanning-Network Mapping, OS fingerprinting, DDoS επιθέσεων και διάφορων άλλων επιθέσεων στις οποίες γίνεται χρήση spoofed ICMP ECHO πακέτων.
Υπάρχει ακόμα δουλεία να γίνει και περισσότερες δυνατότητες που μπορούν να προστεθούν για το μέλλον. Το πρόγραμμα αυτό είναι ελεύθερο προς δοκιμή και χρήση και παρακαλώ μην διστάσετε να μου γράψετε κάποια σχόλια ή ερωτήσεις. Οποιαδήποτε κριτική είναι δεκτή.

Ο preprocessor είναι διαθέσιμος από την παρακάτω διεύθυνση:
http://www.islab.demokritos.gr/gr/html/snort/preprocessor_icmpspoof/downloads/

Με εκτίμηση,
Γιάννης Παπαπάνος (Internet Systematics Lab).