Ya sabemos que son los preprocesadores de Snort, como funcionan y donde se sitúan. Ahora vamos a ir estudiendo uno a uno. Empezamos con frag3.
El preprocesador frag3.
Este preprocesador sustituye a frag2. Es más rápido y sencillo en su funcionamiento interno.
Frag3 tiene como objetivo principal la detección de evasión del IDS por fragmentación. Es decir, se encarga del reensamblaje de paquetes fragmentados para que al pasar al motor de detección se pueda comparar el contenido de los paquetes o payload con las reglas de detección de ataques. Reconstruye el flujo lógico de los datos.
Existen dos directivas de configuración defrag3:
- frag3_global. Solo una directiva global.
- frag3_engine. Puede haber varias directiva de engine o motor con configuraciones distintas.
frag3_global tiene las siguientes opciones:
- max_frags número. Número máximo de fragmento simultáneos a analizar. Por defecto es 8192.
- memcap bytes. Memoría máxima de alamacenamiento para uso de frag3. Pr defecto es 4 MB.
- prealloc_frags número. Número preasignado máximo de fragmentos individuales que pueden ser procesados a la vez.
frag3_engine tiene las siguientes opciones:
- timeout segundos. Cantidad de segundos que se mantiene el fragmento en antes de que expire (por tieme out). Por defecto son 60 segundos.
- ttl_limit valor. Máximo valor TTL que adepta frag3. Por defecto 5.
- min_ttl valor. Mínimo valor aceptable para TTL de un paquete fragmentado. Por defecto es 1.
- detect_anomalies si se quiere detectar anomalias en los fragmentos.
- bind_to lista de IPs. Lista de IPs que analiza «frag3». Por defecto entran todas las Ips.
- policy tipo de politica según plataforma. «Plantilla» modo de fragmentación según la plataforma a analizar por frag3, es decir, según la plataforma sea Windows, Linux, BSD, etc. Tenemos las siguientes subopciones:
- bsd
- Last
- Firs
- linux
- BSD-right
Tabla de opciones según plataforma:
| Plataforma | Tipo |
|---|---|
| AIX 2 | BSD |
| AIX 4.3 8.9.3 | BSD |
| Cisco IOS | Last |
| FreeBSD | BSD |
| HP JetDirect (printer) | BSD-right |
| HP-UX B.10.20 | BSD |
| HP-UX 11.00 | First |
| IRIX 4.0.5F | BSD |
| IRIX 6.2 | BSD |
| IRIX 6.3 | BSD |
| IRIX64 6.4 | BSD |
| Linux 2.2.10 | linux |
| Linux 2.2.14-5.0 | linux |
| Linux 2.2.16-3 | linux |
| Linux 2.2.19-6.2.10smp | linux |
| Linux 2.4.7-10 | linux |
| Linux 2.4.9-31SGI 1.0.2smp | linux |
| Linux 2.4 (RedHat 7.1-7.3) | linux |
| MacOS (version unknown) | First |
| NCD Thin Clients | BSD |
| OpenBSD (version unknown) | linux |
| OpenBSD (version unknown) | linux |
| OpenVMS 7.1 | BSD |
| OS/2 (version unknown) | BSD |
| OSF1 V3.0 | BSD |
| OSF1 V3.2 | BSD |
| OSF1 V4.0,5.0,5.1 | BSD |
| SunOS 4.1.4 | BSD |
| SunOS 5.5.1,5.6,5.7,5.8 | First |
| Tru64 Unix V5.0A,V5.1 | BSD |
| Vax/VMS | BSD |
| Windows (95/98/NT4/W2K/XP) | First |
Vemos algunos ejemplos de uso de frag3.
preprocessor frag3_global: prealloc_frags 8192
preprocessor frag3_engine: policy linux, bind_to 192.168.1.0/24
preprocessor frag3_engine: policy first, bind_to [192.168.2.0/24,]
preprocessor frag3_engine: policy last, detect_anomalies
Vemos que, como ya hemos dicho, solo una directiva frag3_global.
Varias directivas frag3_engine para plataformas basadas en:
- linux con lista de ips
- first (windows)
- last en este caso con detección de anomalias
¿ Complicado ?. Puede ser, pero saldremos de dudas más adelante cuando entremos en los ejemplos, frabricando paquetes a medida para ir porbando distintas configuraciones y el funcionamiento de frag3.
Seguridad y Redes 
hombre complicadillo sí es..pero la información se agradece.
no tiene por hay un laboratorio de graf3 ya que tengo que presentar uno le agradezco