lunes, julio 23, 2007

Generar tráfico para probar elementos de red (servidores, IDS, etc)

Cuando se quiere probar el rendimiento de un equipo de red, o bien de alguna aplicación, como puede ser un IDS, hay que generar tráfico que se parezca lo bastante al tráfico real. Por defecto, la mayoría de las utilidades de captura de tráfico, utilizan el formato de la libpcap. Para ello, se puede usar la suite tcpreplay. Este conjunto de programas permite manejar ficheros en formato pcap, y posteriormente mandarlos de nuevo al dispositivo que queramos probar.

Un ejemplo de uso puede verse en How to test an IPS de Renau Bidou (Radware).

Aparte, necesitamos tráfico con el que probar los programas que nos interesan. Como en mi caso, lo que quiero es probar la carga de Snort, nada mejor que las capture de flag de la Defcon publicada por Shmoo. Eso sí, ese es tráfico con gran cantidad de exploits y demás fauna ;)

También puede ser interesante generar tormentas de tráfico para ver el funcionamiento de los equipos. Puede merecer la pena recurrir a ciertos programas como stream.c que nos permitirá crear un flujo de conexiones TCP, inundando la tarjeta para comprobar si somos capaces de recibir los paquetes (aunque de poca utilidad a la hora de probar un IDS, puesto que no tiene ninguna carga capaz de analizar).

Technorati Tags:

2 comentarios:

Anónimo dijo...

Supongo que lo conocerás, pero aprovecho para mencionar iperf, un comando para generar tráfico y medir el rendimiento. No es como las que mencionas ya que está orientada a probar el comportamiento en circunstancias más grandes aunque puede enviar datos de un fichero para asemejar transferencias reales.

No está de más tenerla en el arsenal para comprobar algunas cosas, que a mi alguna vez me ha permitido localizar problemas.

Unknown dijo...

Muy bueno