Académique Documents
Professionnel Documents
Culture Documents
Introduccin
Tomahawk es una herramienta para probar el rendimiento y capacidades de
bloqueo en lnea de dispositivos IPS. Tomahawk se ejecuta en una mquina con
tres tarjetas de red, una para la gestin y dos para las pruebas. Las dos
tarjetas de red de prueba (eth0 y eth1, por defecto) se conectan normalmente
a travs de un interruptor, cable cruzado, o red de IPS basados.
NOTA: La red que conecta las dos tarjetas de red de prueba debe ser una red
de capa 2.
Brevemente, Tomahawk divide un rastreo de paquete en dos partes: los
generados por el cliente y los generados por el servidor. Tomahawk analiza el
rastreo de paquete (llamado el PCAP) un paquete a la vez. La primera vez que
una direccin IP se ve en un archivo, la direccin IP es "asignado" al cliente si
est en el campo de la direccin IP de origen del paquete, o asignado al
servidor si est en el campo de destino. Por ejemplo, considere un pcap que
consiste en un apretn de manos TCP de tres vas estndar que contiene 3
paquetes:
Paquete 1 (SYN): ip.src = 172.16.5.5 ip.dest = 172.16.5.4
Paquete 2 (SYN-ACK): ip.src = 172.16.5.4 ip.dest = 172.16.5.5
Paquete 3 (ACK): ip.src = 172.16.5.5 ip.dest = 172.16.5.4
Cuando Tomahawk lee el primer paquete, la direccin 172.16.5.5 se encontr
por primera vez en el campo de la fuente, y la direccin 172.16.5.4 se encontr
por primera vez en el campo de destino. Por consiguiente, la direccin
172.16.5.5 est asociado con el cliente, mientras que la direccin 172.16.5.4 se
asocia con el servidor.
Cuando el sistema reproduce el ataque, los paquetes de servidor se transmiten
en eth1, y los paquetes de cliente se transmiten en eth0. Para reproducir la
secuencia anterior, Tomahawk comienza enviando el paquete 1 (un paquete de
cliente) sobre eth0. Cuando este paquete llega en eth1, enva paquetes 2 eth1
y espera a que el paquete 3 para llegar en eth0. Cuando llega el paquete,
Tomahawk enva paquete 3 en eth0. Cuando el ltimo paquete llega en eth1,
Tomahawk emite un mensaje que ha completado el PCAP.
Si se pierde un paquete, los reintentos de remitente despus de un perodo de
tiempo de espera (el valor por defecto es 0.2 segundos). El remitente infiere
que el paquete se pierde si no recibe el siguiente paquete en secuencia dentro
del tiempo de espera. Por ejemplo, si Tomahawk enva el paquete 2 en eth1 y
Usted puede controlar la direccin de inicio con la bandera "-a". Por ejemplo:
tomahawk -l 5 -f outlook.pcap -a 11.0.0.1
inicia ataques de repeticin en 11.0.0.1. Este indicador es til si est utilizando
varias mquinas para generar carga. Un uso tpico se plasma en el siguiente
fragmento de una secuencia de comandos:
DIR = $ (ifconfig eth0 | grep "inet addr" | sed 's /\./ / g' | awk '{print $ 5}'):
un tomahawk 10. $ ADDR.0.1 ...
La primera lnea extrae el ltimo octeto de la direccin IP asignada a eth0. La
segunda invoca Tomahawk, dando a la mquina de su propio bloque de 16
millones de direcciones IP.
Replay paquetes en paralelo
El ejemplo anterior juega 5 copias de forma secuencial outlook.pcap.
Tomahawk espera a la primera repeticin para completar antes de enviar el
segundo. Puede usar la bandera "-n" para decirle Tomahawk para enviar los
paquetes de repeticin en paralelo. Por ejemplo:
tomahawk -N3 -l 5 -f outlook.pcap
Este comando repeticiones outlook.pcap 5 veces, con hasta 3 versiones que se
ejecutan simultneamente. Esta funcin es til para tomar una muestra del
trfico de red capturado a velocidades relativamente bajas y "ampliar" la red
que representa. Por ejemplo, suponga que tiene un rastro de trfico de una red
de 100 Mbps con 500 hosts. Mediante el uso de la "N 10" bandera a Tomahawk,
puede simular una red con 5.000 hosts de una red troncal gigabit.
Tambin puede usar Tomahawk para reproducir varios ataques
simultneamente. Por ejemplo:
tomahawk -n 3-l 5 -f outlook.pcap -f slammer.pcap -f codered.pcap
Este comando reproduce hasta 3 copias de Perspectivas, 3 copias de Slammer,
y 3 copias de CodeRed simultneamente. En trminos de la herramienta, juega
9 repeticiones simultneas en total, 6 de los cuales (Slammer y CodeRed) son
ataques. El nmero de pcaps que se pueden cargar slo est limitado por la
memoria.
Banderas globales y Handler
Tomahawk tiene dos tipos de indicadores: Indicadores globales y banderas del
indicador global. Esto significa que N limita el nmero total de casos pcaps que
se pueden reproducir de forma simultnea; mientras que, -n limita el nmero
de instancias de cada pcap que se puede jugar de forma simultnea. Por
ejemplo:
tomahawk N 50 N 5-l 10 f attack1.pcap -f attack2.pcap ... -f
attack1000.pcap
Este comando establece Tomahawk jueguen 5 copias de cada uno de Attack1
... attack1000 simultneamente (5000 en total). Los -N 50 conjuntos bandera
Tomahawk pagar slo 50 simultneamente, no 5000.
Banderas adicionales
La siguiente es una lista de opciones adicionales:
Imprimir ayuda y sale -h
q Ejecutar en modo "silencioso" para reducir la produccin. Esto es bueno
para la generacin de trfico de fondo
-m Especifica el nmero de paquetes a enviar antes de leer. Esto es algo as
como el tamao de ventana en el TCP, pero se mide en paquetes en lugar de
bytes. Usted puede jugar con este parmetro para afectar al rendimiento. Los
valores pequeos conducen a los malos resultados, los valores grandes
conducen a un mejor desempeo, sino mayores posibilidades de prdida. Los
valores ms altos todava conducen a altas tasas de prdida, dao rendimiento.
Un intervalo de aproximadamente 20-30 parece funcionar bien.
-n Limita el nmero de instancias de cada pcap que se puede jugar de
forma simultnea
-i Especifica la interfaz para enviar paquetes de clientes (por defecto es
eth0)
j Especifica la interfaz para enviar paquetes de servidor (por defecto es
eth1)
Para obtener una lista completa de los indicadores, consulte la pgina de
manual Tomahawk.
..
Instalacin de la herramienta de prueba Tomahawk IPS en Debian 7
Publicado el 22 de septiembre de 2013, por Jasper Bongertz - 2 Comentarios
Para un proyecto actual IPS / IDS que estaba buscando un sistema de prueba
para varios IDS / IPS motores de referencia. La idea era grabar capturas de red
..