【虚拟化轻代理】轻代理如何测试演示IPS功能

戴红昌发表于:2020年09月16日 10:54:29更新于:2020年11月03日 16:46:53

该工具适用于B15及以上版本,建议使用轻代理B15及以上版本进行测试,如果需要B13或者之前版本工具,请与二线专家联系。


【环境准备】

1)在安装轻代理虚机上启动httpd(service httpd start),假如没有安装httpd测试前安装一个

2)在中控上选中规则(312119,303587,306560,311321,311888),并转换为检测模式,然后开启IPS

image.png

image.png

3)在虚机上执行service service360safe restart重启客户端(为保险期间加了这一步,避免极特殊特殊情况规则不下发)

4)在虚机上查看IPS启动成功后,执行service httpd stop关闭httpd服务

5)使用回放工具执行pcap包的回放, pcap包在pcap-new目录中, 配置轻代理虚机角色为server, 靶机角色为client


【工具下载】

tool.zip(见本文附件)


【回放步骤】

1)准备无代理环境下的两台linux虚拟机,一台作为攻击机,一台作为靶机,给靶机上配建行规则。
2)将tool.tgz在攻击机和靶机的root下解压
3)回放程序需要在攻击机和靶机上均运行,两者通信回放pcap流量。

回放程序启动命令:

1)配置解压目录下的test_ini文件,只需配置带//注释的部分:

[remote]
ip=192.168.1.10//对端ip
[local]
dev=eth1 //本端ip对应的网卡
ip=192.168.1.22//本端ip
match=
file_path=/root/tool/pcap/Family_Connections_less.php远程代码执行漏洞.pcap//pcap的绝对路径
role=server //server:响应端 client 请求端
replace=no
reverse=no

image.png

  • 执行命令/root/tool/libpcap_tools test.ini

  • 运行程序前需要分别在攻击机和靶机上编辑test_ini配置本端回放程序的角色,是请求端还是响应端

  • 响应端先运行程序,请求端后运行。

  • 针对某个pcap的回放,有可能是在攻击机是请求端,在靶机是响应端;也可能是在靶机是请求,在攻击机上响应。

  • 假如配成前者没有命中规则产生告警,就要在尝试配成后者。


附件:tool.zip • 4.99MB • 下载