(http://1.bp.blogspot.com/-Taop3r41ztk/UU_cAOJkG4I/AAAAAAAAAeI/WpNWCpqdsKo/s320/logo.png)
Con la herramienta Pytbull puede asegurarse que sus IDS / IPS detecta y bloquea el tráfico no deseado es probarlo con cargas útiles y herramientas específicas.
Suministra cerca de 300 pruebas agrupadas en 9 módulos de prueba:
clientSideAttacks: este módulo utiliza un shell inversa para proporcionar el servidor con instrucciones para descargar archivos maliciosos remotos. Este módulo comprueba la capacidad de los IDS / IPS para proteger contra ataques del lado del cliente.
testRules: Pruebas de reglas básicas. Estos ataques se supone para ser detectados por las Normas se envían con los IDS / IPS.
badTraffic: no compatibles con RFC paquetes se envían al servidor para probar cómo se procesan los paquetes.
fragmentedPackets: varias cargas útiles fragmentados se envían al servidor para comprobar su capacidad para recomponer y detectar los ataques.
multipleFailedLogins: pruebas de la capacidad del servidor para rastrear varios inicios de sesión fallidos (por ejemplo, FTP). Hace uso de reglas personalizadas en Snort y Suricata.
evasionTechniques: varias técnicas de evasión se utilizan para comprobar si los IDS / IPS puede detectar.
shellcodes: enviar shellcodes diferentes para el servidor en el puerto 21/tcp para poner a prueba la capacidad del servidor para detectar / rechazar shellcodes.
denialOfService: pone a prueba la capacidad de los IDS / IPS para proteger contra los intentos de denegación de servicio
pcapReplay: permite reproducir archivos pcap
Es fácilmente configurable y puede integrar nuevos módulos en el futuro.
Hay básicamente 6 tipos de pruebas:
socket: abrir un socket en un puerto determinado y enviar las cargas útiles para el destino remoto en ese puerto.
comando: enviar comandos al destino remoto con el subprocess.call () de Python.
scapy: enviar cargas útiles especiales elaborados sobre la base de la sintaxis Scapy
varios inicios de sesión fallidos: abrir un socket en el puerto 21/tcp (FTP) y tratar de iniciar sesión con credenciales de 5 veces malas.
ataques del lado del cliente: utilizar un shell inversa en el destino remoto y enviar comandos al mismo para que sean procesados por el servidor (normalmente comandos de wget).
repetición pcap: permite reproducir el tráfico basado en archivos pcap
Probando la Herramienta en Backtrack :
(http://3.bp.blogspot.com/-m8JUxoS7qps/UU_c6LHj9tI/AAAAAAAAAeQ/IrNME13lXrY/s400/Pantallazo.png)
Vamos al directorio del la tool en mi caso
Desktop/pytbull
Y ingresamos ./pytbull el cual nos dara 3 opciones
Si vamos a realizar el primer scan damos a la opc. 1
(http://4.bp.blogspot.com/-ehACsEZ8KP4/UU_de3kGDjI/AAAAAAAAAeY/uvjKvj3_p_o/s400/Pantallazo-1.png)
Luego de dar la opcion "1" nos solicitara la url a escanear
pondremos lo siguiente
./pytbull -t (web url) como en la img. se muestra
(http://2.bp.blogspot.com/-Yzli6c1HwuE/UU_d9LfEV2I/AAAAAAAAAeg/kuNJAUNjblU/s400/Pantallazo-2.png)
Nuevamente le damos a la opc. 1 y
en la parte de la pregunta (aceptamos con la letra "y")
y comenzara a verificar.
Terminado el scan, pondremos nuevamente en consola como en el inicio
./pytbull , solo que esta vez daremos la opcion 2 en la cual se abrira el localhost
para darnos los reportes
(http://3.bp.blogspot.com/-FJ29eF983NE/UU_enqabaUI/AAAAAAAAAeo/ODF81l4FnEo/s400/Pantallazo-4.png)
(http://1.bp.blogspot.com/-6EmtIY_O6vo/UU_eodMPMvI/AAAAAAAAAew/X6GDmogCNL8/s400/Pantallazo-5.png)
Mas Informacion :
http://pytbull.sourceforge.net/
Descarga:
http://sourceforge.net/projects/pytbull/files/pytbull-2.0.tar.bz2/download?use_mirror=ufprPD: las img. se ven mas grandes en mi blog : http://blackkzangetsu.blogspot.com/2013/03/pytbull-intrusion-detection-prevention.html mismo tema, saludos