Como se explica arriba, con LFT podemos elegir protocolo de transporte y el puerto destino, con lo cual,eligiendo los valores adecuados podremos cruzar el firewall. Sin embargo seguimos teniendo un patron en campo TTL de los paquetes enviados: el valor del TTL se incrementa en una unidad en paquetes sucesivos desde la misma IP origen al mismo par IP/puerto destino. Por lo tanto, si tuviesemos un IDS o IPS capaz de detectar este patron podríamos detectar y/o bloquear los intentos de traza.

He estado googleando un poco al respecto y parece que Snort tiene opciones para inspeccionar el campo TTL y levantar alarmas si el valor en este campo esta por debajo de un cierto umbral. Esto bloquea los intentos de traza también podría levantar falsas alarmas en ciertas circunstancias.

¿Sabeis si alguna solución de IDS o IPS realmente detecta el patron del incremento en el TTL de los paquetes?

Daniel

no conocía el hecho de que la opción -T dependiera de la implementación. Así que me lo apunto y lo dicho, interesante información.

Un saludo

lo primero que comentas depende de la versión de traceroute que se emplea, el soporte TCP no es nativo y es heredado de tcptraceroute. No todas las distribuciones Linux/Unix soportan la opción “-T”. Por ello se programo LFT.

Por ejemplo en mi portátil no está soportado, en cambio en el sobremesa si:

Portatil $ sudo traceroute -T -p 80 http://www.google.es
Password:
Version 1.4a12
Usage: traceroute [-dFInrvx] [-g gateway] [-i iface] [-f first_ttl]
[-m max_ttl] [ -p port] [-q nqueries] [-s src_addr] [-t tos]
[-w waittime] [-z pausemsecs] host [packetlen]
Portatil $

Como ves la opción I está soportada pero no así la T.

Respecto a la segunda observación es un fallo al pasar del documento en pdf al blog puesto que si te fijas se ha añadido un salto y se ha quitado el “-”, pero la d como opción está puesto que se refiere al puerto destino 80, la web:

“# lft d
80 192.168.5.90″

Tendría que ser: # lft -d 80 192.168.5.90

me ha gustado bastante este post, pero mirando en el man de traceroute veo que también soporta TCP (a parte de UDP e ICMP). De todas maneras me ha resultado interesante la herramienta porque no la conocía, así que gracias :)

Por último comentar que en el comando lft te ha faltado poner “-d”, aunque a mí me da error al utilizarlo para ver los saltos cuando con traceroute me funciona perfectamente :|

# lft -d 80 -n http://www.google.com

Tracing _______________________

LFT can’t seem to round-trip. Local packet filter in the way?

TTL LFT trace to 209.85.229.103:80/tcp
1 192.168.1.1 1.5ms
2 192.168.153.1 51.3ms
** [80/tcp failed] Try alternate options or use -V to see packets.

Un saludo