Правильно создавать TCP-пакеты в Python
Мне нужно проанализировать журнал Apache с Snort и другими IDS/WAF (Suricata, mod_security и Shadow Daemon). Для этого я думал о создании пакетов TCP с запросами GET и POST, хранящимися в журнале Apache, с помощью Scapy в Python. Что-то вроде этого:
packet= IP(dst=dst_ip)/TCP(dport=9999)/Raw(load=payload) #payload contains the http request
Я храню эти пакеты TCP в файл PCAP, чтобы позже проанализировать его с помощью Snort или других IDS/WAF, которые я сказал.
Проблема с этим методом сборки пакетов заключается в том, что в сообщении нет состояния, и Snort обнаруживает его с помощью этого предупреждения:
[**] [129:2:1] Data on SYN packet [**]
[Classification: Generic Protocol Command Decode] [Priority: 3]
09/01-20:29:50.816860 127.0.0.1:20 -> 127.0.0.1:9999
TCP TTL:64 TOS:0x0 ID:1 IpLen:20 DgmLen:102
******S* Seq: 0x0 Ack: 0x0 Win: 0x2000 TcpLen: 20
[Xref => http://www.securityfocus.com/bid/34429][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2009-1157]
Затем я адаптировал код для добавления последовательности и числа ack:
ip = IP(src=src_ip, dst=dst_ip)
packet = (ip / TCP(sport=src_port, dport=dest_port, flags='PA',
seq=seq_n, ack=ack_n) / Raw(load=fullrequest[0])
seq_n = seq_n + len(payload.encode('UTF8'))
Таким образом, существует последовательность, но данные о сигнале пакета данных SYN для другого (хотя вместо того, чтобы оставлять столько предупреждений, сколько одинакового количества пакетов, только 22% пакетов вызывают предупреждение):
[**] [129:12:1] Consecutive TCP small segments exceeding threshold [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
09/01-20:49:15.037299 127.0.0.1:60664 -> 127.0.0.1:80
TCP TTL:64 TOS:0x0 ID:1 IpLen:20 DgmLen:94
***AP*** Seq: 0x156E7 Ack: 0xB Win: 0x2000 TcpLen: 20
В конце концов, я решил создать структуру клиент-сервер с сокетами (отправкой полезной нагрузки с одной виртуальной машины на другую), проанализировать трафик с помощью WireShark, а затем сохранить пакеты как PCAP. Проблема здесь в том, что Snort не обнаруживает ни одной атаки. Кроме того, я не могу автоматизировать эту операцию анализа.
Пример атаки:
"GET /shoutbox.php?conf=../../../../../../../../etc/passwd HTTP/1.1"
"GET /cgi-bin/apexec.pl?etype=odp&template=../../../../../../../../../../etc/hosts%00.html&passurl=/category/ HTTP/1.1"
Что я могу делать неправильно? Любой намек?
1 ответ
Ответил здесь:
https://security.stackexchange.com/questions/193036/analyzing-apache-log-with-snort
В принципе, вместо того, чтобы крафт своих пакетов, то лучше использовать requests библиотеку и отправлять запросы непосредственно.
Ещё вопросы
- 1Один массив равен другому. Как заморозить одно при смене другого?
- 0OpenGL ничего не рисуя
- 1Операция открытия и закрытия дескриптора файла Python для загрузки файлов по частям
- 0Идентификатор триггера из таблицы A в таблицу B
- 0Можно ли встроить pchart в функцию?
- 0jQuery + HTML: использование кнопки или
- 1.split () работает странно на некоторых строках
- 1Чтение сжатого файла NumPy во время «с open () как f»
- 0jQuery при наведении курсора мыши
- 1Knockout: нажмите кнопку, созданную на стороне сервера
- 0Портирование скрипта, который отображает одну запись за раз от perl до php
- 0Python слишком много значений, чтобы распаковать при попытке вставить данные из словаря
- 0Свойства контроллера привязки в области изоляции
- 0Конструктор копирования C ++ принимает неправильные значения
- 0Как выделить / раскрасить таблицу, используя значения столбцов и строк?
- 0Структура индекса для вторичного поиска по ключевым словам
- 1Как я могу изменить изображение профиля при нажатии на существующее изображение в angularjs?
- 1Почему java.nio.SocketChannel не отправляет данные (Jdiameter)?
- 0Кэширование интерфейса Webapp и восстановление его с помощью html5 localstorage
- 1Инъекция активности Androidx с помощью Dagger 2
- 1Как проверить массив на возможные делители?
- 0Разрешить только часть HTML-тегов в текстовой области ASP.Net
- 0Плагин Firebreath: Как получить свойства документа в части c ++?
- 0использовать mysql для диагностики в другой процедуре
- 1Очень простая проблема с массивами, циклами и логическим сравнением
- 1Как обратиться к переменным экземпляра, которые являются объектами, в Python?
- 0Цвет фона панели навигации не занимает всю ширину
- 0Перебор CActiveDataProvider для получения значения из другой модели
- 0как сбросить порядок массива после фильтрации в php
- 1Добавить новый элемент в XML-файл с помощью Java DOM
- 1Как Node.js конвертирует ваш код в события?
- 0jQuery - конфликт фантазии
- 0Как получить данные из двух таблиц со строками в виде столбцов? (динамический пивот в MySQL)
- 0СБОЙ: ParseException строка 1:94 не соответствует вводу 'hdfs', ожидая StringLiteral рядом с 'location' в расположении раздела
- 0Отобразить проблемы встроенного блока
- 0Smarty, проходящий через массив
- 0Лучший способ перенаправить старый URL на новый URL
- 1Попытка понять сложность пространства вывода каскадных строк
- 1Как я могу использовать список переменных для создания строки запроса SQL?
- 0Ошибка использования Qt 5.1.1 в code :: blocks
- 0PHP select не возвращает значения
- 1Предложение xml linq orderby не работает так, как должно быть
- 1Запустите php в докере Python
- 0Бинарный столбец SQL, если пользователь играл
- 1В Joda-time 2.1 имеет значение long, переданное в DateTimeZOne.getStandardOffset?
- 1Почему потоки не завершают выполнение в Python? Семафоры обеспечивают синхронизацию процессов, но выполнение не завершается
- 1Как объединить объекты ResultSet в Java?
- 1INotifyPropertyИзмененное странное NullRefereneException
- 0Отключить / включить кнопку отправки и запускать этот JavaScript каждые 1 секунду загрузки
- 0Как перенаправить из сервиса на контроллер с данными ответа в angularjs?
