HSC
Cabinet de consultants en sécurité informatique depuis 1989 - Spécialisé sur Unix, Windows, TCP/IP et Internet
Mode texte : accès au contenu de la page
Hervé Schauer Consultants
Vous êtes ici : Accueil > Ressources > Outils > IDSwakeup
Accéder au : Site HSC des formations
Recherche :  
English version
   Services   
o Domaines de compétences
o Conseil & Expertise
o Prestations ISO 27001
o Audit & Évaluation
o Tests d'intrusion
o Tests de vulnérabilités (TSAR)
o Analyse Forensique
o Certification ARJEL
o Formations
o E-learning
   Conférences   
o Agenda
o Interventions passées
o Tutoriels
   Ressources   
o Index thématique
o Brèves
o Présentations
o Cours
o Articles
o Outils (téléchargement)
o Veille en vulnérabilité
   Société   
o Hervé Schauer
o Equipe
o Offres d'emploi
o Références
o Historique
o Partenariats
o Associations
   Presse et
 communication
 
 
o Newsletter HSC
o Revue de presse
o Communiqués de presse
o Publications
   Contacts   
o Coordonnées
o Requêtes particulières
o Accès à nos locaux
o Hôtels proches de nos locaux
|>|IDSwakeup  
blah Ressources
Voir aussi...
o Babelweb
o BlueBerry
o Delphes
o Dislocker
o Dns2tcp
  o filterrules
o IDSwakeup
o jis & wis
o nstreams
o passe-partout
  o Patator
o PktFilter
o Net::RawSock
o rkscan
o skyrack
  o smbsniff
o SSLTunnel
o SSToPer
o Subweb
o Webef
  o WifiScanner
o WSPP
o xml-logs

IDSwakeup est une collection d'outils qui permet de tester les systèmes de détection d'intrusion.

Le principal objetif de IDSwakeup est d'envoyer de fausse attaques qui imittent les attaques les plus connues dans le but de vérifier si les systèmes de détection d'intrusion les considèrent comme de réelles attaques.

Le risque le plus important étant de noyer une véritable attaque dans un flot de fausses alertes.

Comme nidsbench, IDSwakeup est publié dans l'espoir que des tests plus élaborés de ces systèmes et une documentation technique plus détaillée (principalement sur les signatures) soient réalisés.

> Téléchargement

Cette version de IDSwakeup contient :

  • IDSwakeup

    Le script principal (en Bourne Shell) qui permet de lancer hping2 et iwu. L'utilisateur choisit l'adresse source des attaques ainsi que la cible sur laquelle il ou elle souhaite envoyer ses fausses attaques. L'utilisateur choisit aussi la valeur du TTL (le nombre de routeurs traversés au maximum) des datagrams émis et le nombre de fois qu'une même fausse attaque doit être envoyée. Fixer un TTL court permet de n'atteindre que les systèmes de détection d'intrusion et non pas les serveurs cibles.

    Utilisation: ./IDSwakeup <src addr> <dst addr> [nb] [ttl]

    Exemple : voir la copie d'écran.

    IDSwakeup a besoin de hping2.

  • iwu

    Ce programme permet d'envoyer depuis le Shell un datagram IP fourni par une suite héxadécimale. Il est possible de fixer les adresses source et destination et le champ TTL de ce datagram et de fournir le nombre de fois qu'il doit être envoyé.

    Utilisation: ./iwu <srcIP> <dstIP> <nb> <ttl> <ip-datagram>

    Exemple: ./iwu 10.0.0.1 20.0.0.2 200 4 \
            "4500 0018 00f2 0003 4011 73db 0101 0101 0202 0202 e63e 4494"

    iwu a besoin de libnet 1.x.

IDSwakeup est une suite d'outils développée par Stéphane Aubert, elle est disponible en version beta et fournie sous une licence de type BSD.

Copie d'écran ;-) :

# ./IDSwakeup  0  127.0.0.1  1  1

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
-  IDSwakeup : false positive generator
-  Stephane Aubert
-  Hervé Schauer Consultants (c) 2000
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-


  src_addr:0  dst_addr:127.0.0.1  nb:1  ttl:1

  sending : teardrop ...
  sending : land ...
  sending : get_phf ...
  sending : bind_version ...
  sending : get_phf_syn_ack_get ...
  sending : ping_of_death ...
  sending : syndrop ...
  sending : newtear ...
  sending : X11 ...
  sending : SMBnegprot ...
  sending : smtp_expn_root ...
  sending : finger_redirect ...
  sending : ftp_cwd_root ...
  sending : ftp_port ...
  sending : trin00_pong ...
  sending : back_orifice ...
  sending : msadcs ...
            245.146.219.144 -> 127.0.0.1 80/tcp  GET /msadc/msadcs.dll HTTP/1.0
  sending : www_frag ...
            225.158.207.188 -> 127.0.0.1 80/fragmented-tcp
              GET /................................... HTTP/1.0
            181.114.219.120 -> 127.0.0.1 80/fragmented-tcp
              GET /AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\
              AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\
              AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\
              AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA/../cgi-bin/phf HTTP/1.0
  sending : www_bestof ...
    137.78.167.188 -> 127.0.0.1 80/tcp  GET  /  HTTP/1.0
    165.90.83.96 -> 127.0.0.1 80/tcp  GET //////// HTTP/1.0
            249.174.111.124 -> 127.0.0.1 80/tcp  HEAD  /  HTTP/1.0
            101.146.51.80 -> 127.0.0.1 80/tcpHEAD/./
            137.126.215.76 -> 127.0.0.1 80/tcp  /cgi-bin\\handler
            101.226.235.216 -> 127.0.0.1 80/tcp  /cgi-bin\\webdist.cgi
            241.70.55.180 -> 127.0.0.1 80/tcp  /mlog.phtml
            69.138.75.176 -> 127.0.0.1 80/tcp  /mylog.phtml
            137.86.207.116 -> 127.0.0.1 80/tcp  /cfide\\administrator\\startstop.html
            53.90.147.104 -> 127.0.0.1 80/tcp  /cfappman\\index.cfm
            201.110.175.156 -> 127.0.0.1 80/tcp  /mall_log_files\\order.log
            221.226.155.208 -> 127.0.0.1 80/tcp  /admin_files\\order.log
            137.222.71.244 -> 127.0.0.1 80/tcp  /cgi-bin\\wrap
            85.82.147.96 -> 127.0.0.1 80/tcp  GET /cgi-bin/ph%66 HTTP/1.0
            57.230.199.52 -> 127.0.0.1 80/tcp  GET /sahsc.lnk HTTP/1.0
            221.74.227.112 -> 127.0.0.1 80/tcp GET /sahsc.bat HTTP/1.0
            201.206.207.124 -> 127.0.0.1 80/tcp GET /sahsc.url HTTP/1.0
            69.138.171.192 -> 127.0.0.1 80/tcp  GET /sahsc.ida HTTP/1.0
            145.94.199.68 -> 127.0.0.1 80/tcp  GET /default.asp::$DATA HTTP/1.0
            69.218.155.216 -> 127.0.0.1 80/tcp  GET     /        HTTP/1.0
            65.166.87.92 -> 127.0.0.1 80/tcp  PUT /scripts/cmd.exe HTTP/1.0
            133.186.155.192 -> 127.0.0.1 80/tcp  GET /scripts/cmd.exe HTTP/1.0
            201.102.239.204 -> 127.0.0.1 80/tcp  BAD /scripts/cmd.exe HTTP/1.0
            101.122.75.192 -> 127.0.0.1 80/tcp  GET /_vti_pvt/administrators.pwd HTTP/1.0
            193.238.239.212 -> 127.0.0.1 80/tcp  GET /cgi-bin/handler HTTP/1.0
            149.98.227.160 -> 127.0.0.1 80/tcp  GET /../../../../../../etc/passwd HTTP/1.0
            153.54.55.124 -> 127.0.0.1 80/tcp  GET /cgi-bin/perl.exe HTTP/1.0
            181.122.51.104 -> 127.0.0.1 80/tcp  GET /scripts/tools/newdsn.exe HTTP/1.0
            121.222.199.84 -> 127.0.0.1 80/tcp  GET /search97.vts HTTP/1.0
            245.202.123.232 -> 127.0.0.1 80/tcp  GET /IISADMIN HTTP/1.0
  sending : ddos_bestof ...
            86.175.100.245 -> 127.0.0.1 15104/tcp -S
            219.152.249.118 -> 127.0.0.1 1613/tcp -PA >
            244.157.170.179 -> 127.0.0.1 12754/tcp -PA >
            225.62.71.60 -> 127.0.0.1 10498/udp  pong
            138.243.72.241 -> 127.0.0.1 10498/udp  ping
            71.156.85.130 -> 127.0.0.1 10498/udp  stream/
            152.73.182.207 -> 127.0.0.1 6838/udp  newserver
            76.117.90.59 -> 127.0.0.1 27665/tcp  killme
            233.110.119.156 -> 127.0.0.1 31335/udp  PONG
            154.91.200.89 -> 127.0.0.1 1624/udp  l44
            119.76.125.202 -> 127.0.0.1 1713/udp  *HELLO*
            131.184.89.206 -> 127.0.0.1 27665/tcp  gOrave
            175.108.53.106 -> 127.0.0.1 20432/tcp
            152.73.126.135 -> 127.0.0.1 18753/udp  alive tijgu
            117.74.59.112 -> 127.0.0.1 20433/udp  alive
            214.239.148.93 -> 127.0.0.1 1676/tcp -S --setseq 674711609
  sending : ftp_bestof ...
            50.235.72.153 -> 127.0.0.1 21/tcp  PORT 127,0,0,1,0,23
            214.127.236.157 -> 127.0.0.1 21/tcp  PORT 10,6,6,6,0,23
            242.115.176.201 -> 127.0.0.1 21/tcp  PORT 127,0,0,1,255,510
            198.175.140.85 -> 127.0.0.1 21/tcp  passwd
            58.75.96.65 -> 127.0.0.1 21/tcp  site exec %p%p%p%p%p%p
            246.159.196.181 -> 127.0.0.1 21/tcp  SITE exec cat /etc/passwd ;-)
            106.91.176.121 -> 127.0.0.1 21/tcp  SYST /etc/passwd ;-)
            230.119.84.157 -> 127.0.0.1 21/tcp  SYST
            194.139.224.209 -> 127.0.0.1 21/tcp  CWD ~root
            158.231.76.53 -> 127.0.0.1 21/tcp  STOR |
            130.59.112.241 -> 127.0.0.1 21/tcp  RETR |
  sending : telnet_bestof ...
            238.71.116.245 -> 127.0.0.1 23/tcp
              ciscociscociscociscociscociscociscociscociscociscocisco
            58.227.120.121 -> 127.0.0.1 23/tcp
                                                                  bof
            214.79.76.173 -> 127.0.0.1 23/tcp  IFS=/
            50.219.120.225 -> 127.0.0.1 23/tcp  su - root
            158.95.100.149 -> 127.0.0.1 23/tcp  su root
            50.139.120.65 -> 127.0.0.1 23/tcp  id; cat /etc/shadow
            214.231.196.77 -> 127.0.0.1 23/tcp  echo "+ +">.rhosts
            130.235.64.209 -> 127.0.0.1 23/tcp  resolv_host_conf
            190.127.172.69 -> 127.0.0.1 23/tcp  ld_preload
            170.211.224.105 -> 127.0.0.1 23/tcp  ld_library_pat
  sending : rlogin_bestof ...
            94.159.236.229 -> 127.0.0.1 513/tcp  IFS=/
            106.107.144.193 -> 127.0.0.1 513/tcp  su - root
            134.167.196.69 -> 127.0.0.1 513/tcp  su root
            218.171.96.113 -> 127.0.0.1 513/tcp  id; cat /etc/shadow
            118.127.196.165 -> 127.0.0.1 513/tcp  echo "+ +">.rhosts
  sending : tcpflag_bestof ...
            171.160.241.54 -> 127.0.0.1 80/tcp -SF
            108.221.194.155 -> 127.0.0.1 80/tcp -SR
            153.86.71.140 -> 127.0.0.1 80/tcp
            210.227.112.89 -> 127.0.0.1 80/tcp -A
            135.236.53.98 -> 127.0.0.1 80/tcp -SFR
            152.225.134.119 -> 127.0.0.1 80/tcp -SFARPXY
            181.202.139.200 -> 127.0.0.1 80/tcp -SA
            166.63.188.101 -> 127.0.0.1 80/tcp -SAFR
            195.200.65.126 -> 127.0.0.1 80/tcp -XY
            124.61.90.107 -> 127.0.0.1 1999/tcp -S
  sending : icmp_bestof ...
            160.249.86.199 -> 127.0.0.1 icmp type:0 code:0
            92.165.90.51 -> 127.0.0.1 icmp type:0 code:0  Hi B0B !...
            152.201.62.207 -> 127.0.0.1 icmp type:3 code:0
            228.125.74.67 -> 127.0.0.1 icmp type:3 code:1
            56.161.54.143 -> 127.0.0.1 icmp type:3 code:2
            148.245.114.131 -> 127.0.0.1 icmp type:3 code:3
            208.169.142.247 -> 127.0.0.1 icmp type:3 code:4
            188.237.218.219 -> 127.0.0.1 icmp type:3 code:5
            88.137.134.159 -> 127.0.0.1 icmp type:3 code:13
            156.141.130.235 -> 127.0.0.1 icmp type:3 code:14
            232.105.102.191 -> 127.0.0.1 icmp type:3 code:15
            132.133.58.91 -> 127.0.0.1 icmp type:4 code:0
            56.113.190.183 -> 127.0.0.1 icmp type:5 code:0
            52.53.74.163 -> 127.0.0.1 icmp type:5 code:1
            160.137.206.111 -> 127.0.0.1 icmp type:5 code:2
            196.77.58.91 -> 127.0.0.1 icmp type:5 code:3
            160.89.158.215 -> 127.0.0.1 icmp type:8 code:0
            236.245.82.115 -> 127.0.0.1 icmp type:11 code:0
            192.137.54.71 -> 127.0.0.1 icmp type:11 code:1
            180.69.154.147 -> 127.0.0.1 icmp type:12 code:0
            200.129.238.55 -> 127.0.0.1 icmp type:13 code:0
            172.53.82.91 -> 127.0.0.1 icmp type:14 code:0
            128.169.182.71 -> 127.0.0.1 icmp type:15 code:0
            84.245.210.59 -> 127.0.0.1 icmp type:16 code:0
            112.233.94.167 -> 127.0.0.1 icmp type:17 code:0
            60.213.146.91 -> 127.0.0.1 icmp type:18 code:0
  sending : smtp_bestof ...
            232.233.54.247 -> 127.0.0.1 25/tcp  rcpt to: bouncebounce
            108.69.162.163 -> 127.0.0.1 25/tcp  expn root
            160.73.198.87 -> 127.0.0.1 25/tcp  expn decode
            236.53.202.115 -> 127.0.0.1 25/tcp  debug
            104.129.70.63 -> 127.0.0.1 25/tcp  vrfy smtp
            52.141.74.123 -> 127.0.0.1 25/tcp  mail from: |
            144.177.78.215 -> 127.0.0.1 25/tcp  rcpt to: |
  sending : misc_bestof ...
            109.122.163.216 -> 127.0.0.1 161/udp  public
            230.119.116.197 -> 127.0.0.1 161/udp  private
            75.64.145.70 -> 127.0.0.1 161/udp  all private
            180.245.234.235 -> 127.0.0.1 162/udp  trap trap trap ...
            96.217.70.215 -> 127.0.0.1 5631/tcp  ADMINISTRATOR
            101.186.83.120 -> 127.0.0.1 32771/tcp -S
            249.174.223.148 -> 127.0.0.1 6699/tcp  .mp3
            133.210.131.80 -> 127.0.0.1 8888/tcp  .mp3
            145.54.151.68 -> 127.0.0.1 7777/tcp  .mp3
            53.50.83.248 -> 127.0.0.1 6666/tcp  .mp3
            217.54.239.68 -> 127.0.0.1 5555/tcp  .mp3
            237.114.51.232 -> 127.0.0.1 4444/tcp  .mp3
            169.118.63.156 -> 127.0.0.1 8875/tcp  anon@napster.com
  sending : dos_chargen ...
            189.210.139.176 -> 127.0.0.1 19/udp  hello
  sending : dos_snork ...
            249.182.63.76 -> 127.0.0.1 135/udp  hi !...
  sending : dos_syslog ...
            146.195.88.161 -> 127.0.0.1 514/udp  B0MB

Dernière modification le 23 octobre 2002 à 13:07:04 CET - webmaster@hsc.fr
Informations sur ce serveur - © 1989-2010 Hervé Schauer Consultants