Scapy. Manipulación avanzada e interactiva de paquetes. Parte 5

Seguimos con la serie sobre Scapy y la manipulación avanzada e interactiva de paquetes, sniffing, fingerprint, tracers, procedimientos  y generación de gráficos, envio de paquetes, etc. Todo esto lo vimos en la Parte 1, Parte 2, Parte 3 y Parte 4 de la serie dedicada a Scapy.

En esta 5º parte vamos a estudiar las técnicas de Fuzzing con Scapy. Con Fuzzing nos referimos a una serie de técnicas encaminadas a la inyección aleatoria y automatizada de datos contra un determinado software o servicio para generar errores y vulnerabilidades, y así poder corregir dichos defectos. Los paquetes y peticiones se envían, en muchos casos, malformadas, para así comprobar como maneja este tipo de situaciones los servicios y/o protocolos. En este caso, Scapy realiza Fuzzing de protocolos.

La funcion fuzz() de Scapy.

La función fuzz() genera una serie de valores aleatorios para los campos del protocolo que usemos para el fuzzing. Puede cambiar cualquier valor incluso valores de campo como sumas de control dándole valores correctos.

Podemos hacer Fuzzimg de unos portocolos y otros dejarlos con vlores «normalizados». Podemos, también realizar fuzzing con los valores de unos campos del protocolo y otros no, dádoles a los que no un valor concreto que nos interese.

Vamos a ir viendo todo esto de forma gráfica. De momento vamos a ver como scapy crea los campos aleatorios con dos ejemplos:

Fuzzing IP.

Al mostrar con show() el paquete construído, vemos, de forma clara, (enmarcado) los campos cuyos valores los generará al enviar el paquete. Los genenerará de forma aleatoria. Estos campos son:

• version (RandNum)
• id (RandShort)
• frag (RandNum)
• ttl (RandByte)
• proto (RandByte)
• dst genera una IP de destino aleatoria: 131.90.110.116

Los Rand* se refieren al tipo de dato aleatorio.

Fuzzing TCP

Aquí vemos que casi todos los campos se pueden generar de forma aleatoria. Vemos también que el campo flags de TCP  puede tener cualquiera de los valores e incluso combinados.

Vamos a ver esto último con otro ejemplo y aprovechamos para realizar un fuzzing scapy real enviando una serie de paquetes con loop activado con la función send():

Enviamos un 327 paquetes com una IP de destino fijada, un fuzz TCP que para ilustrar mejor el ejemplo hemos fijado el puerto de origen a 4444.

Si ponemos a funcionar Wireshark para ver los paquetes capturados por el host 192.168.1.5:

Vemos que:

• todos los paquetes con origen 192.168.1.100 tienen como puerto 4444  que fijamos en la construcción del paquete.
• todos los puertos de destino son aleatorios
• los flags TCP son aleatorios
• también los amaños de ventana

podéis hacer la prueba y ver vosotros mismos en Wireshark la aleatoriedad de los campos en el fuzzing.

Otro ejemplo. añadimos un nuevo protocolo:

NOTA: verbose=0 es para que no salgan los puntitos ………. en pantalla.

El resultado en Wireshark:

Arriba. Hemos realizado un fuzzing UDP y NTP.

Recordad que, según la Wikipedia, Network Time Protocol (NTP) es un protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través de ruteo de paquetes en redes con latencia variable. NTP utiliza UDP como su capa de transporte, usando el puerto 123. Está diseñado para resistir los efectos de la latencia variable.

Observad la aleatoriedad de los modos  NTP en la captura Wireshark:

Un fuzzing sobre DNS podría ser:

>>> d=IP(dst=»192.168.1.5″)/UDP(dport=53)
>>> d=IP(dst=»192.168.1.5″)/UDP(dport=53)/fuzz(DNS())
>>> send(d,loop=1,verbose=0)
^C>>> d.summary()
‘IP / UDP / DNS Qry ‘
>>>

NOTA: ^C es para parar el envío de paquetes.                                  

Podemos también hacer fuzzing a varios destinatarios en el mismo envío:

>>> c=IP(dst=["192.168.1.5","192.168.1.10","192.168.1.11"])/fuzz ( UDP() ) 

>>> send(c,loop=1,verbose=0) ^C>>>

Podemos enviar los paquetes con sr() o srloop():

Hacemos lo mismo con fuzz TCP. Vemos ahora como uno de los host responde (está reseñado en la captura) al envio de paquetes con los campos TCP aleatorios:

Vemos el received 1 packet:

===========