Snort. Preprocesadores. frag3

Ya sabemos que son los preprocesadores de Snort, como funcionan y donde se sitúan. Ahora vamos a ir estudiendo uno a uno. Empezamos con frag3.

El preprocesador frag3.

Este preprocesador sustituye a frag2. Es más rápido y sencillo en su funcionamiento interno.

Frag3 tiene como objetivo principal la detección de evasión del IDS por fragmentación. Es decir, se encarga del reensamblaje de paquetes fragmentados para que al pasar al motor de detección se pueda comparar el contenido de los paquetes o payload con las reglas de detección de ataques. Reconstruye el flujo lógico de los datos.

Existen dos directivas de configuración defrag3:

  • frag3_global. Solo una directiva global.
  • frag3_engine. Puede haber varias directiva de engine o motor con configuraciones distintas.

frag3_global tiene las siguientes opciones:

  • max_frags número. Número máximo de fragmento simultáneos a analizar. Por defecto es 8192.
  • memcap bytes. Memoría máxima de alamacenamiento para uso de frag3. Pr defecto es 4 MB.
  • prealloc_frags número. Número preasignado máximo de fragmentos individuales que pueden ser procesados a la vez.

frag3_engine tiene las siguientes opciones:

  • timeout segundos. Cantidad de segundos que se mantiene el fragmento en antes de que expire (por tieme out). Por defecto son 60 segundos.
  • ttl_limit valor. Máximo valor TTL que adepta frag3. Por defecto 5.
  • min_ttl valor. Mínimo valor aceptable para TTL de un paquete fragmentado. Por defecto es 1.
  • detect_anomalies si se quiere detectar anomalias en los fragmentos.
  • bind_to lista de IPs. Lista de IPs que analiza “frag3”. Por defecto entran todas las Ips.
  • policy tipo de politica según plataforma. “Plantilla” modo de fragmentación según la plataforma a analizar por frag3, es decir, según la plataforma sea Windows, Linux, BSD, etc. Tenemos las siguientes subopciones:
    • bsd
    • Last
    • Firs
    • linux
    • BSD-right

    Tabla de opciones según plataforma:

Plataforma Tipo
AIX 2 BSD
AIX 4.3 8.9.3 BSD
Cisco IOS Last
FreeBSD BSD
HP JetDirect (printer) BSD-right
HP-UX B.10.20 BSD
HP-UX 11.00 First
IRIX 4.0.5F BSD
IRIX 6.2 BSD
IRIX 6.3 BSD
IRIX64 6.4 BSD
Linux 2.2.10 linux
Linux 2.2.14-5.0 linux
Linux 2.2.16-3 linux
Linux 2.2.19-6.2.10smp linux
Linux 2.4.7-10 linux
Linux 2.4.9-31SGI 1.0.2smp linux
Linux 2.4 (RedHat 7.1-7.3) linux
MacOS (version unknown) First
NCD Thin Clients BSD
OpenBSD (version unknown) linux
OpenBSD (version unknown) linux
OpenVMS 7.1 BSD
OS/2 (version unknown) BSD
OSF1 V3.0 BSD
OSF1 V3.2 BSD
OSF1 V4.0,5.0,5.1 BSD
SunOS 4.1.4 BSD
SunOS 5.5.1,5.6,5.7,5.8 First
Tru64 Unix V5.0A,V5.1 BSD
Vax/VMS BSD
Windows (95/98/NT4/W2K/XP) First

Vemos algunos ejemplos de uso de frag3.

preprocessor frag3_global: prealloc_frags 8192 
preprocessor frag3_engine: policy linux, bind_to 192.168.1.0/24 
preprocessor frag3_engine: policy first, bind_to [192.168.2.0/24,] 
preprocessor frag3_engine: policy last, detect_anomalies

Vemos que, como ya hemos dicho, solo una directiva frag3_global.
Varias directivas frag3_engine para plataformas basadas en:

  • linux con lista de ips
  • first (windows)
  • last en este caso con detección de anomalias

¿ Complicado ?. Puede ser, pero saldremos de dudas más adelante cuando entremos en los ejemplos, frabricando paquetes a medida para ir porbando distintas configuraciones y el funcionamiento de frag3.

Esta entrada fue publicada en Seguridad y redes, Snort y etiquetada , , , , , , . Guarda el enlace permanente.

2 respuestas a Snort. Preprocesadores. frag3

  1. empleo dijo:

    hombre complicadillo sí es..pero la información se agradece.

  2. edinson dijo:

    no tiene por hay un laboratorio de graf3 ya que tengo que presentar uno le agradezco

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s