Fuzzeando Snort con opciones TCP/IP
Descargar como PPT, PDF2 recomendaciones903 vistas
El documento describe una técnica de fuzzing para encontrar errores en Snort mediante el envío de paquetes TCP con opciones aleatorias. Explica que el fuzzing implica enviar datos semi-aleatorios a una aplicación para analizar su comportamiento y encontrar fallos. Luego proporciona detalles sobre cómo se realizó el fuzzing de Snort usando herramientas como Fuzzball2 y código de prueba de concepto para inyectar paquetes con diferentes combinaciones de opciones TCP.
![Alejandro Hernández [email_address] http://www.genexx.org/nitrous/ FUZZEANDO SNORT CON OPCIONES TCP/IP](https://image.slidesharecdn.com/fuzzeandosnortcicol06-1306083956733-phpapp01-110522121038-phpapp01/85/Fuzzeando-Snort-con-opciones-TCP-IP-1-320.jpg)
![<...código...> unsigned char tcpoptions[4]; char tcpOptions[] = {0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07, 0x08, 0x09, 0x0a, 0x0b, 0x0c, 0x0d, 0x0e, 0x0f, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15, 0x16, 0x17, 0x18, 0x19, 0xa0, 0xa1}; char tcpOptionsLen[] = {0x0, 0x1, 0x2, 0x3, 0x4, 0x5, 0x6, 0x7, 0x8, 0x9, 0xa, 0xb, 0xc, 0xd, 0xe, 0xf}; char tcpOptionsPadding[] = {0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07, 0x08, 0x09, 0x0a, 0x0b, 0x0c, 0x0d, 0x0e, 0x0f, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15, 0x16, 0x17, 0x18, 0x19, 0xa0, 0xa1}; <...código...> for(u=0; u < sizeof(tcpOptionsPadding); u++){ <...código...> for(a=0; a < sizeof(tcpOptionsPadding); a++){ <...código...> for(i=0; i < sizeof(tcpOptionsLen); i++){ <...código...> for(o=0;o<sizeof(tcpOptions);o++){ <...código...> tcpoptions[0]=tcpOptions[o]; tcpoptions[1]=tcpOptionsLen[i]; tcpoptions[2]=tcpOptionsPadding[a]; tcpoptions[3]=tcpOptionsPadding[u]; <...código...> fuzzball2.c ... Generación de TCP Options](https://image.slidesharecdn.com/fuzzeandosnortcicol06-1306083956733-phpapp01-110522121038-phpapp01/85/Fuzzeando-Snort-con-opciones-TCP-IP-17-320.jpg)
![...GRACIAS Alejandro Hernández [email_address] http://www.genexx.org/nitrous/](https://image.slidesharecdn.com/fuzzeandosnortcicol06-1306083956733-phpapp01-110522121038-phpapp01/85/Fuzzeando-Snort-con-opciones-TCP-IP-31-320.jpg)
Fuzzeando Snort con opciones TCP/IP
- 1. Alejandro Hernández [email_address] http://www.genexx.org/nitrous/ FUZZEANDO SNORT CON OPCIONES TCP/IP
- 2. ...QUE ES FUZZING Es la técnica de enviar semi-random data a una aplicación/protocolo, la cual puede ‘parecer’ válida o ser completamente aleatoria. Método para buscar errores en software o protocolos de una forma automatizada o semi-automatizada.
- 3. ...OBJETIVOS DEL FUZZING Analizar el comportamiento de la aplicación, protocolo, etc... Con los datos generados a través del fuzzing. Encontrar fallos. Consumir recursos (Banda ancha y congestión de la red).
- 4. ...FUZZING PUEDE SER DE... Formatos de Archivo Stdin (entrada estándar) Protocolos de Red(Aplicación) Pilas de Protocolos Argumentos Variables de Entorno Etc...
- 5. ...EJEMPLOS
- 12. Snort <= 2.4.0 SACK TCP Option Error Handling
- 13. 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Versión| IHL | Tipo Servicio | Longitud Total | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Identificación |Flags| Posición | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Tiempo de Vida | Protocolo | Suma de Control de Cabecera | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Dirección de Origen | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Dirección de Destino | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Opciones | Relleno | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ...IP HEADER
- 14. 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Puerto de origen | Puerto de destino | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Número de secuencia | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Número de acuse de recibo | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Posic | |U|A|P|R|S|F| | | de los| Reservado |R|C|S|S|Y|I| Ventana | | datos | |G|K|H|T|N|N| | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Suma de control | Puntero urgente | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Opciones | Relleno | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Datos | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ...TCP HEADER
- 15. Snort es un Sistema de Detección de Intrusos de código abierto. Puede analizar el tráfico de una red en tiempo real, alertar, bloquear y loguear el paquete. Este utiliza un combinación de análisis de protocolos y reconocimiento de patrones para detectar anomalías, malos usos y ataques. ...LA VICTIMA
- 16. ...LAS ARMAS Fuzzball2 TCP/IP Options Fuzzer GDB (GNU Debugger) Tcpdump (Network Analyzer) Nemesis (Packet Injector) snortrigger.c (PoC code)
- 17. <...código...> unsigned char tcpoptions[4]; char tcpOptions[] = {0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07, 0x08, 0x09, 0x0a, 0x0b, 0x0c, 0x0d, 0x0e, 0x0f, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15, 0x16, 0x17, 0x18, 0x19, 0xa0, 0xa1}; char tcpOptionsLen[] = {0x0, 0x1, 0x2, 0x3, 0x4, 0x5, 0x6, 0x7, 0x8, 0x9, 0xa, 0xb, 0xc, 0xd, 0xe, 0xf}; char tcpOptionsPadding[] = {0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07, 0x08, 0x09, 0x0a, 0x0b, 0x0c, 0x0d, 0x0e, 0x0f, 0x10, 0x11, 0x12, 0x13, 0x14, 0x15, 0x16, 0x17, 0x18, 0x19, 0xa0, 0xa1}; <...código...> for(u=0; u < sizeof(tcpOptionsPadding); u++){ <...código...> for(a=0; a < sizeof(tcpOptionsPadding); a++){ <...código...> for(i=0; i < sizeof(tcpOptionsLen); i++){ <...código...> for(o=0;o<sizeof(tcpOptions);o++){ <...código...> tcpoptions[0]=tcpOptions[o]; tcpoptions[1]=tcpOptionsLen[i]; tcpoptions[2]=tcpOptionsPadding[a]; tcpoptions[3]=tcpOptionsPadding[u]; <...código...> fuzzball2.c ... Generación de TCP Options
- 18. ...EL ATAQUE
- 25. #gcc snortrigger.c –o snortrigger; ./snortrigger localhost 200.31.33.70 127.0.0.1 31337 64876 0x05020000 SIGSEGV !! +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Dirección Origen= | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Dirección Destino= | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Puerto de origen= | Puerto de destino= | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Opciones= | Relleno | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ IP TCP
- 28. ¡ PATCHED !
- 29. ¿ PREGUNTAS? ... COMENTARIOS?
- 30. ...LINKS Y REFERENCIAS Snort <= 2.4.0 SACK TCP Option Error Handling Advisory http://www.securityfocus.com/bid/14811 Proof of Concept code (snortrigger.c) http://www.genexx.org/nitrous/code/PoCs/snortrigger.c Fuzzball2 TCP/IP Options Fuzzer http://www.nologin.org/main.pl?action=codeView&codeId=54& RFC #1072 - TCP Extensions for Long-Delay Paths ftp://ftp.rfc-editor.org/in-notes/rfc1072.txt TCP Option Numbers http://www.iana.org/assignments/tcp-parameters DFUZ http://genexx.org/dfuz/
- 31. ...GRACIAS Alejandro Hernández [email_address] http://www.genexx.org/nitrous/