【虚拟化无代理】如何演示失陷检测功能

戴红昌发表于:2020年09月17日 11:52:36更新于:2020年11月03日 14:31:24

1     文档说明

本文档主要介绍关于无代理失陷检测功能模块测试方法。

2     准备工具

工具名称:sendip(安装在linux操作系统上)

下载地址:http://www.earth.li/projectpurple/files/sendip-2.5-1.i386.rpm

安装sendip系统要求:推荐centos 7.0

 

3     测试步骤

3.1    sendip安装及常用命令说明

3.1.1      安装

l  文中2章节中提供了sendip的rpm安装包,使用rpm命令安装即可

rpm  -ivh sendip-2.5-1.i386.rpm

l  安装前请确保操作系统中含有glibc.i686依赖组件,否则安装会出错,错误如下:

error: Failed dependencies:

xxx >= xxx is needed by gcc-xxx

采用yum install glibc.i686 安装依赖包即可。

 

3.1.2      命令说明

l  示例命令:sendip 【-v -p  ipv4 -is 5.145.151.3 -id 10.1.213.186 -p tcp  -f  test 】10.1.213.186

备注:【】中的内容为模拟的数据包,最终发送给10.1.213.186。

 

-v:运行时输出详细运行信息,如不指定,运行时不输出信息

–p ipv4:指定协议类型为IP 协议(IP 协议有自己的相应参数,以i 开头)

l  –is 5.145.151.3:指定IP 包的源地址
–id 10.1.213.179:指定IP 包的目的地址

l  -f 指定数据文件中的内容填充包中的数据段,文件需要真实存在

3.2    失陷检测(监控测试)

3.2.1      新建安全策略

l  在管理中心新增安全配置A,在安全配置中开启防火墙功能、开启失陷检测功能,失陷处理默认配置为监控

image.png

3.2.2      指定安全配置

l  将安全配置A指定给测试虚拟机,此处为10.1.213.186

 image.png


3.2.3      模拟攻击流量

l  在/root/目录下新建test文件,并写入任意内容。

touch  /root/test

echo www.baidu.com >> ./test

l  在安装了sendip的攻击机器上构造针对测试虚拟机的攻击流量,使用命令:sendip -v -p  ipv4 -is 5.145.151.3 -id 10.1.213.186 -p tcp  -f  test 10.1.213.186模拟的流量发送给开启失陷检测监控状态的机器10.1.213.186。

image.png


3.2.4      查看失陷状态

l  点击虚拟机名称进入概况页面查看失陷检测结果

image.png

如上图所示,该主机已经失陷。

3.2.5      查看失陷日志

l  在分析-失陷检测页面点击原始日志图标,查看针对测试虚拟机的失陷主机检测日志

image.png

如图中所示,无代理已经记录失陷日志。

4     总结

主要使用sendip模拟失陷检测的威胁情报中所包含的威胁IP去触发失陷检测的机制。(推荐模拟攻击源IP: 5.145.151.1、5.145.151.2、5.145.151.3)。

SENDIP 是一个LINUX 下的命令行工具,可以通过命令行参数的方式发送各种格式的IP 包,它有大量的命令行参数来规定各种协议的头格式,目前可支持NTP, BGP, RIP, RIPng,TCP, UDP, ICMP 或raw IPv4 和IPv6 包格式,并且可以随意在包中添加数据。