是否有可能編寫ip6tables規則來阻止格式錯誤的ipv6碎片數據包。 這基本上是我們電器箱的ipv6認證。我們正在運行:RHEL 5.5和內核:2.6.18-238.1.1.el5ip6tables設置阻止ipv6碎片
我們目前正在失敗的測試:
1)碎片重組 - 片段ID不匹配應該給錯誤2)片段重新組裝 - 源地址不同片段之間3)分片重組 - 目的地地址衝突片段之間
任何其他的想法來解決這個也歡迎:)
是否有可能編寫ip6tables規則來阻止格式錯誤的ipv6碎片數據包。 這基本上是我們電器箱的ipv6認證。我們正在運行:RHEL 5.5和內核:2.6.18-238.1.1.el5ip6tables設置阻止ipv6碎片
我們目前正在失敗的測試:
1)碎片重組 - 片段ID不匹配應該給錯誤2)片段重新組裝 - 源地址不同片段之間3)分片重組 - 目的地地址衝突片段之間
任何其他的想法來解決這個也歡迎:)
我們可以通過類似的snort工具解決這個問題。下面是安裝,配置和RHEL運行5.5
對於Snort的步驟,我們需要安裝以下軟件:
柔性byacc野牛PCRE-devel的libdnet-devel的zlib的-devel
我們可以從下載上面:
ftp://fr2.rpmfind.net/linux/centos/5.10/os/x86_64/CentOS/byacc-1.9-29.2.2.x86_64.rpm
http://vault.centos.org/5.5/os/x86_64/CentOS/zlib-devel-1.2.3-3.x86_64.rpm
http://vault.centos.org/5.5/os/x86_64/CentOS/bison-2.3-2.1.x86_64.rpm
http://vault.centos.org/5.5/os/x86_64/CentOS/pcre-devel-6.6-2.el5_1.7.x86_64.rpm
http://apt.sw.be/redhat/el5/en/x86_64/rpmforge/RPMS/libdnet-devel-1.11-1.2.el5.rf.x86_64.rpm
* Install the above said rpm in the below order:
rpm -ivh flex-2.5.35-0.8.el5.rfb.x86_64.rpm
rpm -ivh byacc-1.9-29.2.2.x86_64.rpm
rpm -ivh zlib-devel-1.2.3-3.x86_64.rpm
rpm -ivh bison-2.3-2.1.x86_64.rpm
rpm -ivh pcre-devel-6.6-2.el5_1.7.x86_64.rpm
rpm -ivh libdnet-1.11-1.2.el5.rf.x86_64.rpm
rpm -ivh libdnet-devel-1.11-1.2.el5.rf.x86_64.rpm
http://www.tcpdump.org/release/libpcap-1.5.3.tar.gz http://sourceforge.net/projects/snort.mirror/files/Snort%202.9.5.6/snort-2.9.5.6.tar.gz/download http://sourceforge.net/projects/snort.mirror/files/Snort%202.9.5.6/daq-2.0.1.tar.gz/download
[注:下面假定上述3被下載到/ opt/CSCOlumos/SNORT]
cd/opt/C SCOlumos/SNORT
焦油-xf的libpcap-1.5.3.tar.gz
MV的libpcap-1.5.3的/ usr/local/src目錄/
CD的/ usr/local/src目錄/ libpcap- 1.5.3
。/配置前綴=/USR
使
使安裝
/sbin目錄/ LDCONFIG
CD /選擇/ CSCOlumos/SNORT
tar -xf daq-2.0.1.tar.gz
cd daq-2.0.1
的./configure
CD OS-DAQ模塊
使
CD ..
使
使安裝
CD /選擇/ CSCOlumos/SNORT
焦油-xf哼了一聲,2.9.5.6.tar.gz
CD的snort-2.9.5.6
的./configure
使
make install的
cp -rp /usr/lib/vmware-tools/lib32/libdnet.so.1/usr/local/lib/
/sbin目錄/ LDCONFIG
更新
的mkdir -p /無功/日誌/哼/
觸摸/無功/日誌/哼/警報
snort --version
,, _ - > Snort! < - O」)〜版本2.9.5.6 GRE(建立208) '' '' 由馬丁·羅希& Snort的團隊:http://www.snort.org/snort/snort-team 版權所有(C)1998年至二○一三年的Sourcefire公司,等 使用libpcap的。 1.5.3版本使用 PCRE版本:6.6 06 - 2月 - 2006年 使用ZLIB版本:1.2.3
VI /選擇/測試/ SNORT /哼了一聲。CONF
預處理frag3_global:max_frags 65536
預處理frag3_engine:政策的Linux bind_to 2001 :: 99ed:d7c6:86f0:8e0a detect_anomalies
預處理frag3_engine:政策的Linux detect_anomalies
現在,作爲運行:
snort -c /opt/test/SNORT/SNORT.conf
注意:這裏2001 :: 99ed:d7c6:86f0:8e0a是eth0(通信接口)ipv6地址。
這個要求看起來很奇怪。 IPv6的一個主要優點是路由器不再(與IPv4相反)必須關心分片,而不是通知它是必要的。爲了實現您的目標,您的路由器需要實際完成片段組裝,因此需要有狀態的東西。 –
同意。但是像TAHI(http://tahi.org)這樣的IPV6標識認證套件需要在接收第一幀的60秒內發送錯誤,當後續幀與上述三種情況中的任何一種混淆時。任何想法? –
這是內核需要擔心的問題。嘗試更新您的系統;你幾年過時了。 –