Fragroute 安装和使用

1 Fragroute简介

大体就是 Fragroute 欺骗 NIDS 检测的方法是在保证 victim 的 ip stack 可以正确重组的情况下，对含有攻击特征串报文进行 tcp 分段和 ip 分片，同时塞入大量的错误分片报文，打乱顺序后发出，从而达到欺骗 NIDS 的目的。

1.2 fragroute的工作原理

fragroute 在初始化时，会删除到目标的路由（目标不在同一个局域网中）或者 ARP 的相关条目（和目标在同一个局域网中）；接着，把到目标的网关设置为本地回环设备 lo（127.0.0.1，在Linux下）；然后，利用 libpcap 在本地回环设备 lo 上监听，把截获的数据放到一个队列中， 根据配置文件中的规则，使用上述模块对这个队列进行操作；最后，把队列中已经处理好数据包从正确的网络接口发送出去。

1 Fragroute 安装

1. 安装依赖：

   $ sudo apt-get install flex bison
   

2. 安装Fragroute及其依赖的库文件：

   $ wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz
   $ tar xzvf libdnet-1.11.tar.gz
   $ cd libdnet-1.11
   $ ./configue CC=gcc
   $ make && make install
   

   $ wget https://github.com/downloads/libevent/libevent/libevent-1.4.14b-stable.tar.gz
   $ tar xzvf libevent-1.4.14b-stable.tar.gz 
   $ cd libevent-1.4.14b-stable
   $ ./configue CC=gcc
   $ make && make install
   

   $ wget http://www.tcpdump.org/release/libpcap-1.7.4.tar.gz
   $ tar xzvf libpcap-1.7.4.tar.gz 
   $ cd libpcap-1.7.4
   $ ./configue CC=gcc
   $ make && make install
   

   $ wget https://www.monkey.org/~dugsong/fragroute/fragroute-1.2.tar.gz
   $ tar xzvf fragroute-1.2.tar.gz
   $ cd fragroute-1.2
   $ ./configue
   $ make && make install
   

3. 运行 fragroute，出现如下错误：

   错误1：

   fragroute: error while loading shared libraries: libpcap.so.1: cannot open shared object file: No such file or directory
   

   解决方法：

   # ln -s /usr/local/lib/libpcap.so.1
   

   错误2：

   fragroute: error while loading shared libraries: libevent-1.4.so.2: cannot open shared object file: No such file or directory
   

   解决方法：

   # ln -s /usr/local/lib/libevent-1.4.so.2 /usr/lib/libevent-1.4.so.2
   

2 Fragroute 使用

2.1 Fragroute的命令行选项

Usage: fragroute [-f file] dst
Rules:
       delay first|last|random <ms>
       drop first|last|random <prob-%>
       dup first|last|random <prob-%>
       echo <string> ...
       ip_chaff dup|opt|<ttl>
       ip_frag <size> [old|new]
       ip_opt lsrr|ssrr <ptr> <ip-addr> ...
       ip_ttl <ttl>
       ip_tos <tos>
       order random|reverse
       print
       tcp_chaff cksum|null|paws|rexmit|seq|syn|<ttl>
       tcp_opt mss|wscale <size>
       tcp_seg <size> [old|new]

fragroute 命令没有太多的命令行选项，只有一个指定配置文件的 -f 选项。

dst 是指目的地址，它是一个单一的 IP 地址或者主机名，fragroute 不能用于多个目的地址。

2.2 Fragroute 的组成

fragroute 是由一些模块组成的，每个模块实现一个或者几个功能，目前 fragroute 支持的模块包括：

• mod_delay
• mod_drop
• mod_dup
• mod_echo
• mod_ip_chaff
• mod_ip_frag
• mod_ip_opt
• mod_ip_ttl
• mod_ip_tos
• mod_order
• mod_print
• mod_tcp_chaff
• mod_tcp_opt
• mod_tcp_seg

这些模块都有各自的控制指令，可以在配置文件中使用这些指令配置特定模块的行为。

fragroute 配置文件的规则：
fragroute 配置文件的每条规则包括模块名和控制指令两部分组成，其中模块名指定应用的模块，而控制指令部分设置模块的操作行为。配置文件中的规则是顺序执行的（这是由于 fragroute 管理规则的数据结构过于简单），因此即使是相同的规则，如果顺序不同，也可能达到不同效果。

配置文件的规则具体介绍如下：

1. delay first|last|random <ms>
   把队列中的第一个（first）、最后一个（last）或者随机（random）地选择一个数据包，延迟到 ms 微秒之后才投递出去。注意配置随机值时需要带具体的毫秒数值，单位可写可不写，随机并不代表时间也随机，需要手工写入，否则提示参数无效。测试出来最大的值是 705032.704ms。

2. drop first|last|random <prob-%>
   模拟数据包丢失的情况，以 prob%的几率丢弃队列中的第一（first）个、最后一个（last）或者随机（random）选择数据包。
   例如：
   drop first 30（以 30%的几率丢弃队列的第一个数据包）
   drop last 100（总是丢弃队列的最后一个数据包）

3. dup first|last|random <prob-%>
   以 prob%的几率重复队列中的第一个（first）、最后一个（last）或者随机选择一个数据包。
   例如：
   dup first 100（在队列中复制第一个数据包的一个副本）
   dup last 100（在队列中复制最后一个数据包的一个副本）

4. echo <string> ...
   输出字符，每有一个数据输出就会打印信息，<string>中包含的字符内容。

5. ip_chaff dup|opt|<ttl>
   为队列中的所有数据包都制作一个负载不同（里面的数据是随机填充的）的副本。
   如果使用 dup 选项，fragroute 将延迟（延迟值是 1 微秒）投递数据包副本；
   如果使用 opt 选项，fragroute 会在数据包副本中设置无效的 IP 选项；
   如果使用 ttl 选项，fragroute 就把数据包副本的 TTL值设置为较小的值。chaff 这个单词本身意思是愚弄、戏弄。

6. ip_frag <size> [old|new]
   把队列中的所有数据包分成大小为 size 的碎片，并在第一个碎片中包含完整的传输层包头。这个模块还支持 IP 碎片重叠，有些系统是会以后到碎片的数据覆盖先到碎片的数据，对于这种系统需要使用 new 选项；反之，使用 old。

7. ip_opt lsrr|ssrr <ptr> <ip-addr> ...
   在每个数据包中设置 IP 选项：松散源路由（lsrr）或者严格源路由（ssrr）。ptr 最小是 4，而且必须是 4 的倍数。ip-addr 是一系列的 IP 地址。

8. ip_ttl <ttl>
   把每个 IP 数据包的生存期设置为 ttl。例如：ip_ttl 60。

9. ip_tos <tos>
   把每个数据包的服务类型域（type-of-service）的值设置为 tos，最小为 0，最大为 7。

10. order random|reverse
    对队列中的数据包重新以随机（random）或者反向（reverse）的方式排序

11. print
    以 tcpdump 的风格向标准输出设备输出队列中的所有数据包。

12. tcp_chaff cksum|null|paws|rexmit|seq|syn|<ttl>
    在队列中交错插入每个 TCP 报文段的副本，负载和原来的报文段不同。其中副本报文段可以具有无效的校验和（cksum)、空的控制标志（null）、旧的时间戳选项（paws）–针对序列号回卷保护（Protection Aginst Wrapped Sequence number,PAWS）、伪造的重传调度（rexmit)、超出窗口范围的序列号（seq)、在 TCP 数据流中间的重新同步序列号的请求（syn）或者短的生存期值（ttl是一个大于 0 小于 256 的整数）

13. tcp_opt mss|wscale <size>
    为每个 TCP 报文段添加选项，设置其最大报文段长度（0–65535）或者窗口放大因子的大小（0–255）为 size。例如：tcp_opt mss 31337、tcp_opt wscale 255。

14. tcp_seg <size> [old|new]
    把队列中的 TCP 数据分割为 size 大小的 TCP 报文段，后面两个是设置数据覆盖方式的选项，使用这两个选项有很大的难度，因为目标系统的覆盖方式很难掌握。不过，一般情况下不管是 Unix 还是 windows 系统都是由新到的数据覆盖先到的数据。

注意：经过 fragroute 修改的数据包并不意味着所有的数据都是错误的，例如 delay、drop、dup 等，它们只是有延时、丢包、重复等操作，但是应用程序是可以让它重发的，也可以等待，选择它认为正确的报文，这个交互过程是可以完整进行的，只是进行的过程不是那么顺利。如果在不接入 DUT 的情况下可以完成报文的交互，而接入 DUT 的情况下报文的交互过程不能正常进行的话，就说明 DUT 在处理这种报文的能力上还有问题。

需要特别说明的是，在Fragroute源代码的scripts目录下有一个文件 README.snort，在这个文件中有六个专门针对snort(1.8.6以前版本)的规则集配置。