outil d'anonymisation de pcap

outil d'anonymisation de pcap - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 13-03-2014 à 13:05:24    

Bonjour,  
 
Je suis en train de construire un jeux de données sous forme de pcap.
Pour le test que je souhaite faire, il me faudrait des ports UDP source différents et des IP sources différentes pour chaque requête.
 
Pour le moment voici à quoi ressemble mon pcap:

Code :
  1. [root@pfq-dns-inj1-a pcaps]# tcpdump -r test.pcap |head -4
  2. reading from file test-marie.pcap, link-type EN10MB (Ethernet)
  3. 18:04:26.553855 IP 172.21.81.237.57139 > 1.2.3.4.domain:  0+ [1au] A? www-google-analytics.l.google.com. (62)
  4. 18:04:26.728614 IP 172.21.81.237.57139 > 1.2.3.4.domain:  1+ [1au] A? tmc7.dyndns.ws. (43)
  5. 18:04:26.863469 IP 172.21.81.237.57139 > 1.2.3.4.domain:  2+ [1au] PTR? 4.19.252.193.in-addr.arpa. (54)
  6. 18:04:26.977161 IP 172.21.81.237.57139 > 1.2.3.4.domain:  3+ [1au] A? rcdn-4.brainsonic.com. (50)


 
J'ai essayé de modifier avec tcprewrite et scrub-tcpdump mais pour le moment sans succès: la fonction random proposée ne fait que changer l'ip par une autre choisie aléatoirement (mais toujours la même).
 
Quelqu'un aurait-il déjà rencontré ce genre de problème? Existe-t-il un outil qui puisse faire cela?
 
Merci de votre aide.
 
Merry

Reply

Marsh Posté le 13-03-2014 à 13:05:24   

Reply

Marsh Posté le 13-03-2014 à 13:40:22    

ca consiste en quoi ton jeu de données?
 
parce que jvois pas ou tu veux en venir, mais ca a l'air interessant..

Reply

Marsh Posté le 13-03-2014 à 14:10:04    

c'est une liste de requêtes DNS que je veux envoyer en boucle à travers différents équipements réseaux afin de tester les limites de la chaîne.  
Un des équipements réseaux traversé est un firewall, qui construit des sessions à l'aide des IP et ports source et destination. Donc si je ne peux pas trouver un moyen de différencier les ipsources et ou les portsource, alors mon test ne servira à rien, car une seule sessions sera créée pour toutes les requêtes, et je ne testerai pas la limite de mon firewall...

Reply

Marsh Posté le 14-03-2014 à 02:39:33    

tu veux tester le nombre de connexions simultanées que ton f/w peut prendre en charge en envoyant n connexions différenciées par leur port?
 
parce que si je comprend bien ton serv  dns écoute sur le 53, et que chaque client aura un port aléatoire..
 
jsais pas si j'ai suivit :s

Reply

Marsh Posté le 14-03-2014 à 08:34:58    

Je pense que le plus simple serait de créer un script dans le langage de ton choix (shell, php, python, powershell, perl,...) qui génère ton fichier pcap.
 
Ou peut-être même qu'avec un simple tableur ce serait possible.
 
Sinon, tu peux aussi loguer toutes les connexions sur ton réseau pendant une journée complète et tu les rejoues ensuite en accéléré (quitte à les rejouer plusieurs fois). Tu auras ainsi un panel plus représentatif de votre trafic.


---------------
http://leblogdundsi.lesprost.fr/
Reply

Marsh Posté le 14-03-2014 à 11:15:00    

trekker92 oui c'est bien ça.
Pour la capture du trafic, ca va être difficile pour la partie IPv6, que je dois tester aussi, et qui n'existe pas encore dans ce contexte ^^.
Effectivement, je cherche du côté de la génération d'un script. Malheureusement, le code et moi, ça fait un bail qu'on s'est pas revu...

Reply

Marsh Posté le 14-03-2014 à 15:33:52    

et... le nombre de pps ou de connexons simultanées maxi.. c'est pas référencé dans la doc? ou la présentation du produit?

Reply

Marsh Posté le 14-03-2014 à 16:03:20    

trekker92 a écrit :

et... le nombre de pps ou de connexons simultanées maxi.. c'est pas référencé dans la doc? ou la présentation du produit?


[:afrojojo]
Les chiffres donnés dans les docs, lorsqu'ils sont honnêtes, sont des chiffres dans le meilleur scénario possible.
Chez nous, on vérifie les perfs de nos équipements dans la situation que l'on estime cible. Si tu as actives tel ou tel fonction en plus, si tu te mets dans telle ou telle archi, les chiffres sont drastiquement pas les mêmes.

 

Ce genre de chiffre, c'est bien pour une première approche, pour choisir dans la gamme, mais si tu es amené à te poser des questions quant aux performances réelles... tu tombes bizarre pas tout à fait sur les mêmes.


Message édité par o'gure le 14-03-2014 à 16:06:27

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 14-03-2014 à 16:08:35    

Merryvor62 a écrit :

Quelqu'un aurait-il déjà rencontré ce genre de problème? Existe-t-il un outil qui puisse faire cela?


Je ne sais pas quel type de firewall tu souhaites tester mais pour des perfs hautes c'est le boulot de vrai générateur de traffic (ixia/agilent/etc..)


---------------
Relax. Take a deep breath !
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed