[FreeBSD] Traffic capturen met Aguri - Linux en overige clients

woensdag 16 april 2014 12:44

Acties:

0 Henk 'm!

zoek34

Topicstarter

Mede-auteur:

jacco5555

Beste Tweakers,

We zijn op dit moment bezig met een opdracht om een tool te bouwen dat een DDoS kan detecteren. Hierbij moet gebruik gemaakt worden van het programma Aguri.

Hierbij even het stappenplan wat is gevolgd:

FreeBSD 10.0 geinstalleerd op VirtualBox (met hostonly netwerk), daarna alle updates van het systeem geinstalleerd
Vervolgens Aguri gedownload en uitgepakt
vervolgens in de directory aguri-0.7/aguri.h de regel Extern int read_count; gecomment door het tussen /* en */ te zetten
Vervolgens het make commando uitgevoerd, toen kwam er een output uit van een c compiler
Toen het commando "make install" uitgevoerd
Hierna zou aguri geinstalleerd moeten zijn. Om het programma te draaien zou je het commando "./aguri" moeten uitvoeren.
Toen hebben we puur voor het testen LOIC gedownload en gebruikt 'tegen' de server. Ik heb toen ruim 100.000 requests gedaan
Vervolgens op de aangevallen server aguri laten stoppen met scannen (blijkbaar moet dan met CTRL + C). En daar komt elke keer de volgende output:
- AGURI-1.0
- [src address] 0 (100.00%)
- [dst address] 0 (100.00%)
- [ip:proto:srcport] 0 (100.00%)
- [ip:proto:dstport] 0 (100.00%)

Kort gezegd, we krijgen er totaal geen data uit Aguri. Terwijl die data wel nodig gaat zijn. We hebben het bijna aan iedereen nagevraagd die er mogelijk iets van zou weten, maar niemand heeft een flauw idee waarom het niet gaat werken. De enige mogelijkheid die zou kunnen is dat het commenten van de regel in aguri.h ervoor zorgt dat die iets niet doet, maar zodra de regel niet een comment is geeft het een error waardoor je het niet kan installeren.

Zou iemand enig idee hebben waarom het niet werkt er eventueel een workaround weten voor het probleem van geen data?

Alvast bedankt!

Met vriendelijke groeten,

Zoek34

woensdag 16 april 2014 18:05

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Hoe komt Aguri aan z'n data? Luistert het zelf aan een netwerkkaart of hoe gaat dat? Kun je zie dat Aguri ook echt luistert?

This post is warranted for the full amount you paid me for it.

woensdag 16 april 2014 19:15

Acties:

0 Henk 'm!

zoek34

Topicstarter

Met het aan de data komen doet die dat tot zover wij weten met een verzameling van meerdere gegevens. Het beste staat dit uitgelegd in een plaatje bovenin op pagina 6:
http://www.wide.ad.jp/new...nts/Measurement/aguri.pdf

Voor de weking van het luisteren vermoed ik daardoor dat Aguri kijkt naar het totale verkeer en dat die dan de informatie van pcap input combineert.

Als ik kijk met Netstat terwijl Aguri aan het luisteren is staat er niks van ertussen, maar doordat de output altijd 0 is kan het dus zijn dat Aguri al direct vastloopt (waarbij die in geen enkele log ook maar iets van errors geeft!).

Excuses voor de gelimiteerde info, maar Aguri is ook bijna met 0,0 aan documentatie.

woensdag 16 april 2014 20:30

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

zoek34 schreef op woensdag 16 april 2014 @ 19:15:
Voor de weking van het luisteren vermoed ik daardoor dat Aguri kijkt naar het totale verkeer en dat die dan de informatie van pcap input combineert.

Dat vind ik onwaarschijnlijk. Ik denk dat pcap juist de manier is om het ding aan je netwerk te koppelen. Als ik die PDF lees zie ik dat je ook tracefiles gemaakt door tcpdump kan gebruiken. Probeer dat eens, dan weet je of het in de koppeling met je netwerk zit of ergens anders fout gaat.

This post is warranted for the full amount you paid me for it.

donderdag 17 april 2014 09:45

Acties:

0 Henk 'm!

zoek34

Topicstarter

Als we TCPdump gebruiken en LOIC erop loslaten. Dan werkt dat naar behoren (TCPdump ziet alle packets die erop worden losgelaten)

donderdag 17 april 2014 16:10

Acties:

0 Henk 'm!

0xDEADBEEF

FreeBSD (10)'s API is, vermoed ik, te nieuw voor Aguri:

The latest version is aguri-0.7. (48KB) release date: 2003/03/13

Daarnaast is het pakket niet meer in de ports tree te vinden: http://www.freebsd.org/cg...cgi?query=aguri&stype=all

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg

donderdag 8 mei 2014 14:31

Acties:

0 Henk 'm!

zoek34

Topicstarter

Na zeer lang zwoegen heb ik Aguri werkend gekregen. Uiteindelijk was de helpfile corrupt waardoor die niet te openen was. uiteindelijk wel kunnen vinden:

aguri [-adhPv] [-c count] [-i interface] [-g geometry]
[-f filter_cmd] [-l nodes] [-n nentries]
[-p pid_file] [-r dumpfile] [-s interval]
[-t thresh/1000] [-w outputfile] [-x sdSD]
[-y KM] [inputfile...]

Nu hebben we Aguri in ieder geval werkend. Echter komen we nu weer een volgend probleem tegen als we daar een Python programma omheen bouwen om de data weg te schrijven naar een bestand (zodat daar bij een volgend script een analyse gedaan kan worden om alle traffic te analyseren.

Als we namelijk het volgende commando uitvoeren:
aguri -i em0 -w data/test

Dan werkt het wel als we het in de terminal invoeren, de data is keurig weggeschreven naar data/test
Als we hetzelfde commando echter in een script neerzetten dan werkt het niet, Aguri doet wel aan de het capturen van de traffic, maar het wegschrijven van de data doet die niet.

Ik heb toen de file waar die wegschreef gevuld met dummy data (123456789). Als we het script uitvoeren dan is de file daarna wel leeg (123456789 in het bestand is vervangen door een leeg bestand). Daardoor lijkt het alsof Aguri wel dus iets met de file doet.

Ter info hier de inhoud van het script:

code:

#!/usr/local/bin/python3

import subprocess
import sys
import os
import argparse

try:
        print("The following interfaces were found on this system:")
        p1 = subprocess.Popen(["ifconfig", "-l"], stdout=subprocess.PIPE)
        p2 = subprocess.Popen(["tr", "' '", "'\n'"], stdin=p1.stdout)
        p1.stdout.close()
        output = p2.communicate()[0]
        interface = input("Select your interface to scan: ")
        print("initiating scanning on " + interface)
        subprocess.call(["aguri", "-i", interface, "-w", "data/test"])
finally:
        print("")
        sys.exit(0)

Kent iemand dit probleem en weet een mogelijke oplossing?

maandag 12 mei 2014 11:41

Acties:

0 Henk 'm!

zoek34

Topicstarter

Iemand die mogelijk een oplossing weet voor bovenstaande probleem?

We hebben namelijk ook getest als we volledige paden gebruiken (dus ipv data/test dan ~/aguri-0.7/data/test), maar dit helpt ook niet.

maandag 12 mei 2014 14:42

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Het eerste wat bij me bovenkomt is gebruikersrechten, draai je het script met dezelfde user als je test?

This post is warranted for the full amount you paid me for it.

dinsdag 13 mei 2014 09:16

Acties:

0 Henk 'm!

zoek34

Topicstarter

Ik ben met behulp van anderen al iets verder gekomen. Blijkt dat doordat Aguri geen vriendelijke shutdown heeft van het programma we elke keer gebruik maakten van ctrl + c. echter geeft dat als problemen dat Aguri abrupt wordt afgesloten voordat die de data gaat wegschrijven.

Dit zou namelijk meer verklaren waarom de file wel leeg wordt gemaakt (dat doet die waarschijnlijk helemaal aan het begin van het draaien van Aguri).

MBt de rechten, het is getest met 777 voor beiden (dit zodat we alles met rechten konden uitsluiten)