新闻中心

“未知攻、焉谈防” 捅破那些“虚胖”的安全

创建时间:2019-11-05 17:22:00

 

 

 
 
 
 
 

前言:

在你安装完 IDS/IPS 并且部署在生产系统准备使用时,你可能想知道它是否能正常的记录日志或者丢弃恶意的数据包。

 
 
 
 

 

 

cyber-4508911_960_720

 

开源工具介绍:

<Pytbull> 基于python的测试框架,这是一个附带11个测试模块的安全测试框架,模块如下:
badTraffic:不符合RFC的数据包被发送到服务器以测试数据包的处理方式。
bruteForce:测试服务器跟踪暴力攻击(例如FTP)的能力。在SnortSuricata上使用自定义规则。
clientSideAttacks:此模块使用反向shell为服务器提供下载远程恶意文件的说明。此模块测试IDS / IPS防止客户端攻击的能力。
denialOfService:测试IDS / IPS防止DoS尝试的能力
evasionTechniques:各种规避技术用于检查IDS / IPS是否可以检测到它们。
fragmentedPackets:将各种碎片有效负载发送到服务器,以测试其重构和检测攻击的能力。
ipReputation:测试服务器检测来自/到低信誉服务器的流量的能力。
normalUsage:与正常使用相对应的有效负载。
pcapReplay:允许重播pcap文件
shellCodes:在端口21 / tcp上向服务器发送各种shellcode,以测试服务器检测/拒绝shellcode的能力。
testRules:基本规则测试。这些攻击应该由IDS / IPS附带的规则集检测到。

 

搭建环境:

我们先假设我们有一台 IP 地址为 192.168.1.25 Ubuntu Linux 测试机 A 和一台 IP 地址为 192.168.1.1 的被检机器 B

在测试机 A 192.168.1.25上安装所有需要的软件包和依赖包。

 

#apt-get install python python-scapy nmap hping3 nikto tcpreplay python-iniparse

 

下载 Pytbull

 

#wget https://downloads.sourceforge.net/project/pytbull/pytbull-1.3.tar.bz2#bzip2 -cd pytbull-1.3.tar.bz2 | tar xf -#cd pytbull

 

环境配置修改:

#vi config.cfg
定义你想要对IDS/IPS 的测试种类,请参考 Pytbull 配置文件(config.cfg)尾部。
0 = 关闭
1 = 开启

 

[TESTS]clientSideAttacks = 1testRules = 1badTraffic = 1fragmentedPackets = 1multipleFailedLogins = 1evasionTechniques = 1shellCodes = 1denialOfService = 1pcapReplay = 1

 

运行测试:

192.168.1.25 上运行测试脚本,指定目的 IP 192.168.1.1:

 

#python pytbull.py -t 192.168.1.1

 

                     _ __  _   _| |_| |__  _   _| | |

                    | '_ \| | | | __| '_ \| | | | | |

                    | |_) | |_| | |_| |_) | |_| | | |

                    | .__/ \__, |\__|_.__/ \__,_|_|_|

                    |_|    |___/

                       Sebastien Damaye, aldeid.com

 

BASIC CHECKS

------------

Checking root privileges......................................... [   OK   ]
Checking remote port 21/tcp (FTP)................................ [   OK   ]
Checking remote port 22/tcp (SSH)................................ [   OK   ]
Checking remote port 80/tcp (HTTP)............................... [   OK   ]
Checking path for sudo........................................... [   OK   ]
Checking path for nmap........................................... [   OK   ]
Checking path for nikto.......................................... [   OK   ]
Checking path for niktoconf...................................... [   OK   ]
Checking path for hping3......................................... [   OK   ]
Checking path for tcpreplay...................................... [   OK   ]
Removing temporary file.......................................... [   OK   ]

TESTS
------------
Client Side Attacks.............................................. [   yes  ]
Test Rules....................................................... [   yes  ]
Bad Traffic...................................................... [   yes  ]
Fragmented Packets............................................... [   yes  ]
Multiple Failed Logins........................................... [   yes  ]
Evasion Techniques............................................... [   yes  ]

ShellCodes....................................................... [   yes  ]
Denial of Service................................................ [   yes  ]
Pcap Replay...................................................... [   yes  ]

-----------------------
DONE. Check the report.
-----------------------

 

报表视图:

在测试机器 192.168.1.25 浏览器中打开 http://192.168.1.25/report.html,就可以看到具体的测试报告。

 

测评:

<Pytbull> 易于配置,可以在未来集成新模块。
基本上有5种类型的测试:
socket在给定端口上打开一个套接字,并将有效负载发送到该端口上的远程目标。
command使用subprocess.call()python函数将命令发送到远程目标。
scapy根据Scapy语法发送特制的有效负载。
客户端攻击:在远程目标上使用反向shell并向其发送命令以使其由服务器处理(通常是wget命令)。
pcap重放:允许基于pcap文件重放流量。
 
Pytbull的主界面基于命令行(CLI)。为避免一长串参数,大多数选项都在配置文件中提供。
在测试期间,所有测试都会实时显示,并且可以使用调试选项显示详细结果。
测试基于非常全面的语法,使人们可以编写自己的测试。
Pytbull分为两种检测模式(独立模式,网关模式):
独立模式:这是默认模式。它可以测试连接到交换机的IDS,就像网络上的标准计算机一样(只使用一个网络接口)。
网关模式:此模式通常用于IPS,必须在IDS上使用两个网络接口时使用。

 

注意:您的防病毒程序可能会将pytbull检测为恶意软件,因为pytbull包含恶意负载(用于测试目的)。

 

下载地址:

https://sourceforge.net/projects/pytbull/files/

 

 

长连接安全实验室招聘

 
http://connectseclab.com/daaec7912dcdca1b

 

 

这里有最新的公司动态,这里有最新的网站设计、移动端设计、网页相关内容与你分享

首页    “未知攻、焉谈防” 捅破那些“虚胖”的安全
浏览量:0