lunes, 16 de mayo de 2011

pytbull Python based IDS/IPS Testing Framework

Saludos Mundo Libre.

pytbull es un sistema de detección / prevención System (IDS / IPS) Marco de pruebas de Snort y Suricata. Puede ser utilizado para probar la capacidad de detección y bloqueo de un IDS / IPS, comparar los IDS / IPS, comparar los cambios de configuración y comprobar y validar las configuraciones.

El marco se envía con cerca de 300 ensayos agrupados en nueve módulos de la prueba:

1. clientSideAttacks: este módulo utiliza una shell inversa para proporcionar al servidor con las instrucciones para descargar archivos remotos maliciosos. En este módulo se pone a prueba la capacidad de los IDS / IPS para proteger contra los ataques del lado del cliente.
2. testRules: pruebas de reglas básicas. Estos ataques se supone que son detectados por las reglas de juegos incluido con el IDS / IPS.
3. badTraffic: no compatibles con RFC paquetes se envían al servidor para probar cómo se procesan los paquetes.
4. fragmentedPackets: varias cargas fragmentada se envían al servidor para probar su capacidad para recomponer y detectar los ataques.
5. multipleFailedLogins: pone a prueba la capacidad del servidor para realizar un seguimiento de múltiples intentos fallidos (por ejemplo, FTP). Hace uso de reglas personalizadas en Snort y Suricata.
6. evasionTechniques: diversas técnicas de evasión se utilizan para comprobar si el IDS / IPS puede detectar.
7. shellcodes: enviar shellcodes diferentes al servidor en el puerto 21/tcp para poner a prueba la capacidad del servidor para detectar / rechazar shellcodes.
8. denialOfService: pone a prueba la capacidad de los IDS / IPS para proteger contra los intentos de denegación de servicio
9. pcapReplay: permite el tráfico de reproducción basadas en archivos pcap.

Es fácilmente configurable y puede integrar nuevos módulos en el futuro.

Básicamente, existen seis tipos de pruebas:

1. socket: abrir un socket en un puerto determinado y enviar la carga a la meta a distancia en ese puerto.
2. comando: enviar comandos a la meta a distancia con el subprocess.call () de python.
3. scapy: enviar cargas útiles especiales elaborados sobre la base de la sintaxis Scapy
4. múltiples intentos fallidos: abrir un socket en el puerto 21/tcp (FTP) y tratar de entrada 5 veces con credenciales mal.
5. los ataques del lado del cliente: utilizar un shell inversa en el destino remoto y enviar comandos para que los ponga a procesados ​​por el servidor (por lo general los comandos wget).
6. reproducción pcap: permite el tráfico de reproducción basadas en archivos pcap


Fuente:http://code.google.com/p/pytbull/

Manual:http://www.aldeid.com/index.php/Pytbull

Traduccion:Dellcom1@

Saludos Mundo Libre.

No hay comentarios:

Publicar un comentario