32、网络攻击欺骗与 fwsnort 脚本详解

网络攻击欺骗与 fwsnort 脚本详解

1. 攻击欺骗技术

在网络安全领域，攻击欺骗是一种重要的测试和攻击手段。通过snortspoof.pl脚本，我们可以利用exploit.rules文件中描述的规则来发送攻击。例如，使用以下命令进行数据包捕获：

[spoofer]# tcpdump -i eth1 -l -nn -s 0 -X -c 1 port 635

执行该命令后，tcpdump会捕获数据包，结果显示snortspoof.pl发送了一个 UDP 数据包到目标 IP 地址44.44.55.55的 635 端口，且该数据包的应用层数据与 Snort 规则 ID 315 期望的内容完全一致。Snort 和 fwsnort 在监测到这样的数据包后都会生成事件，而11.11.22.22这个 IP 地址会被视为攻击源。

攻击者可以利用 Snort 规则集来创建看似恶意的流量，从而迫使 Snort 产生误报。snortspoof.pl脚本通过解析 Snort 规则集，并使用原始套接字向目标 IP 地址发送匹配的流量，实现了这一自动化过程。虽然该脚本仅适用于 Snort IDS，但类似的策略也可用于其他基于签名检测可疑流量的 IDS，只需获取签名集并对snortspoof.pl进行适当修改即可。

2.