Guvenlik sistemlerine dayaniklilik testi

Son zamanlarda edindigim iki kotu aliskanlik: gelen maillerin baslik bilgilerini okumak:), digeri de bulabildigim tum network/guvenlik cihazlarini, yazilimlarini dayaniklilik testine tutmak.

Bugun ikincisinden biraz bahsedecegim, ilki ile ilgili biraz detayli bir belge hazirladim. gozden gecirdikten sorna yayinlayacagim.
ztop.jpeg
Cihazlari test ederken genelde dos/ddos tarzi durumlarda nasil davrandigini olcuyorum. Bunun icin de isic(IP stack integrity checker)’i tercih ediyorum. Oldukca basit mantikla tasarlanmis olmasi ve kullaniminin basit olmasi tercih sebeplerimden.. (Minimum karmasiklik, maksimum verim misali).

Yaptigim testlerden biri guvenlik duvarlari uzerine… Deneklerim ise Linux iptables, OpenBSD PF, freeBSD IPF, Checkpoint NGX ve Netscreen serisi.

Default ayarda Firewallara rastgele anlamsiz 100’er kural giriyoruz, bu kurallar Firewall’un gelen paketleri kurallardan ne kadar hizli suzdugu ve yorumladigini olcme amacli. Sonra isic ile saglam bir makineden Ddos benzeri bir atak gerceklestiriyorum(tabi aradaki switch’inde ucmamasi gerekiyor test esnasinda). Bu arada sistemin cpu, ram degerlerini kontrol ediyorum.

Bir sonraki asamada Firewallarin loglamasini gelen her paketi loglayacak sekilde aciyorum ve yine acimasizca 1000000 paketi random source, bozuk baslik bilgisi ve parcalanmis(fragmented) olarak gonderiyorum.

Loglama sistemi saglam olan firewallar kacirmadan tum paketleri logluyorlar, CPU duzeyleri normal. Kullanilan ethernet kartinin kalitesine bagli olarak interruptlarin olusturdugu bir cpu yuzdesi oluyor.

Digerlerinde(adlari bende sakli:) loglama acik oldugunda sistem kitlenecek derecede yavasliyor…

Temel ISIC Kullanimi;

isic, tcpsic ve udpsic olmak uzere 3 parcadan olusuyor. On eklerinden de anlasilacagi gibi, IP, TCP ve udp protokolu testi yapabiliyorsunuz.

# isic -h
usage: isic [-v] [-D] -s-d
[-p ] [-k ] [-x ]
[-r ] [-m ]
Percentage Opts: [-F frags] [-V ]
[-I ]
notes:
[-D] causes packet info to be printed out -- DEBUGGING

ex: -s a.b.c.d -d a.b.c.d -F100
100% of the packets will be ^^^^ fragments
ex: -s a.b.c.d -d a.b.c.d -p 100 -r 103334
ex: -s rand -d rand -r 23342
^^^^ causes random source addr
ex: -s rand -d rand -k 10000 -p 10001 -r 666
Will only send the 10001 packet with random seed 666
this is especially useful if you suspect that packet is
causing a problem with the target stack.

isic.PNG

# isic -s rand -d 192.168.227.2 -r -F 100 -V 5 -I

-s ile gonderielcek paketlerdeki kaynak ip’yi belirtiyoruz. Eger kaynak ipleri spoof edip ddos benzeri bir

etki istersek -s ile rand secenegini kullanmamiz gerekir. -s rand kullanildiginda gonderilen her paketin

kaynak IPsi random olarak belirleniyor. Bu da ozellikle syn flood tarzi ataklarda ve udp testlerinde

oldukca ise yariyor.

-F ile gonderielcek paketlerin ne kadarinin parcalanmis olacagini belirtiyoruz. Boylece guvenlik

duvari/router’in parcalanmis paketlerle nasil calistigini gorme firsati da yakalamis oluyoruz.fragment.PNG

# isic -s rand -d 192.168.227.2 -r 400 -p 10000 -F100
Using random source IP's
Compiled against Libnet 1.1.2.1
Installing Signal Handlers.
Seeding with 400
No Maximum traffic limiter
Bad IP Version = 10% Odd IP Header Length = 50% Frag'd Pcnt = 100%
1000 @ 28083.6 pkts/sec and 1549.1 k/s

udpsic

# udpsic
usage: udpsic [-v] [-D] -s[,port] -d [,port]
[-r seed] [-m ]
[-p ] [-k ] [-x ]

Percentage Opts: [-F frags] [-V ] [-I ]
[-U ]

[-D] causes packet info to be printed out -- DEBUGGING

ex: -s 10.10.10.10,23 -d 10.10.10.100 -I 100
will give a 100% chance of IP Options ^^^
ex: -s 10.10.10.10,23 -d 10.10.10.100 -p 100 -r 103334
ex: -s rand -d rand,1234 -r 23342
^^^^ causes random source addr
ex: -s rand -d rand -k 10000 -p 10001 -r 666
Will only send the 10001 packet with random seed 666
this is especially useful if you suspect that packet is
causing a problem with the target stack.

# tcpsic
usage: tcpsic [-v] [-D] -s[,port] -d [,port]
[-r seed] [-m ]
[-p ] [-k ] [-x ]

Percentage Opts: [-F frags] [-V ] [-I ]
[-T ] [-u ] [-t ]

[-D] causes packet info to be printed out -- DEBUGGING

ex: -s 10.10.10.10,23 -d 10.10.10.100 -I 100
will give a 100% chance of IP Options ^^^
ex: -s 10.10.10.10,23 -d 10.10.10.100 -p 100 -r 103334
ex: -s rand -d rand,1234 -r 23342
^^^^ causes random source addr
ex: -s rand -d rand -k 10000 -p 10001 -r 666
Will only send the 10001 packet with random seed 666
this is especially useful if you suspect that packet is
causing a problem with the target stack.

Programi denemek icin http://isic.sourceforge.net/. Isic’le yetinmeyip benzer programlari da test etmek

isterseniz http://ltp.sourceforge.net/tooltable.php adresinden cesitli araclara ulasabilirsiniz.

son not: Bu araci izniniz olmayan networklerde kullanmaniz durumunda

This entry was posted in Network Tools, Security Tools. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

fifteen − one =