Snort. Opciones de las reglas no relacionadas con el contenido.

Después de las vacaciones y una temporada de relajación bitacoril, además de temporada de bastante trabajo, sigo añadiendo contenido. En este caso seguimos con las opciones de las reglas Snort. Ya he hablado de las reglas en los diferentes artículos al respecto, el último de ellos referido a las reglas de contenido, las opciones para crear reglas Snort, y, en general, todo lo respecto a Snort com IDS (Sistema Detección de Intrusos). En este artículo vamos a tratar las opciones de reglas Snort que no está relacionadas con el contenido o Payload. Entre estas opciones veremos, a través de varios artículos, algunas como:

  • fragoffset
  • ttl
  • id
  • dsize
  • fragbits
  • seq
  • ack
  • icode
  • tos
  • …….

Fragoffset y Fragbits.

Ya vimos en el capítulo dedicado a la interpretacion del datagrama IP, que el campo Fragment offset o Posición de longitud de 13 bits. nos informa de la posición del fragmento dentro del datagrama.

De forma muy general podemos decir que la MTU es el tamaño del paquete ó datagrama más grande que una red puede transmitir dependiendo de la tecnología de red usada. Se expresa en bytes. Cuando se sobrepasa la MTU, el paquete se fragmenta, de divide en otro paquetes de menor tamaño. Solo el primero de estos paquetes contendrá la cabecera TCP asociada al paquete origen. El resto de fragmentos contienen la cabecera IP + datos. El campo de la cabecera IP Fragment Offset informa dela existencia de más fragmentos y la relación entre ellos.

Siempre y cuando la longitud total del datagrma sea igual o menor que el valor de MTU, no habrá fragmentación. Ccaso contrario puede ocurrit que el bit de no fragmentación DF este activado y tampoco se pueda fragmentar. se descarta el datagrama y se informa por los mecanismos establecidos. Si DF no está activado entonces hay fragmentación.

Ya vimos en su momento que respecto a la cabecera IP los valores que acabamos de ver se encuentran en el campo Flag:

4 Bandera (Flag) Campo de 3 bits.

  • El primer bit esta reservado y es siempre 0.
  • El segundo es el el bit de indicación de no fragmentación (DF). (010)
  • El tercero (MF) es de verificación que el datagrama llega a su destino (001) completo, está activo en todos los datagramas enviados excepto en el último para informar que ya no hay más fragmentos.

En los paquetes fragmentados Fragment offset nos indica, pues, la posición que ocupa el paquete actual dentro del datagrama original de forma que el destino pueda reconstruirlo. En el primer o un único fragmento el valor es siempre 0.

La opción Fragoffset de las reglas permite comparar el valor de Fragment offset del datagrama IP contra un valor decimal. Podemos ayudarnos también de la opción Fragbits que comprueba el bit de fragmentación del datagrama IP.

Fragbits inspecciona los bits de fragmentación además de los reservados (3 bits):

  • R bit resrervado
  • D bit de no fragmentación (DF en el campo de la cabecera IP)
  • M bit de más fragmento (MF en el campo de la cabecera IP)

A la hora de aplicar la opción, podemos incluir dos de estos bits usando la notación siguiente:

  • + aparece el bit especificado y cualquier otro
  • * se produce la coincidencia si cuaklquiera de los bits especificados aparece
  • ! notación de negación.

Por ejemplo, la notación D especifica que solo aparece el bit de fragmentación. En el caso de R+ se especifica la aparición del bit reservado independientemente de la activación o no de los demás.

Un ejemplo:

alert ip any any - any any  (msg: "Primer Fragmento"; fragbits: M; fragoffset: 0;)
.
La importancia de esta opción la veremos más adelante. Ataques como evasión de IDS, diversos ataques basados en framentación, etc.
Esta entrada fue publicada en Seguridad y redes, Snort y etiquetada , , , , , . Guarda el enlace permanente.

3 respuestas a Snort. Opciones de las reglas no relacionadas con el contenido.

  1. faxed dijo:

    Como siempre excelentes artículos Alfon, hace rato que no te aparecías escribiendo algo.
    Saludos.

  2. alfon dijo:

    Gracias faxed. Pues ya estoy aquí de nuevo, con muchos más temas que tratar, más fuerza que nunca y ganas de profundizar más en los temas ya abiertos.
    Saludos,

  3. Joselite dijo:

    Buen artículo. Gracias.
    Saludos

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s