tomahawk tutorial

wenchengjian

                               
               
               
                        简介
tomahawk是用来测试网络入侵防御系统设备的性能和inline blocking 容量的工具。Tomahawk工作在有三个网卡的机器上：一个用来管理，另外两个用来测试。两个测试用网卡通常通过交换机，交叉电缆或者基于网络的入侵防御系统。
Note：连接两个测试网卡的网络必须是链路层网络。
Tomahawk把报文跟踪（截获的报文）分为两部分：由客户端产生的和由服务器端产生的。Tomahawk 以一次一个报文的形式分析报文跟踪。当在文件中第一次看到一个IP地址时，如果在报文的源地址字段，则认定为是客户端产生，否则如果在目的地址字段，则认定为服务器端产生。比如，考虑如下一个包含标准TCP三次握手的3个报文的一个报文跟踪。
Packet 1 (SYN):                  ip.src = 172.16.5.5    ip.dest = 172.16.5.4
Packet 2 (SYN-ACK):         ip.src = 172.16.5.4    ip.dest = 172.16.5.5
Packet 3 (ACK):                ip.src = 172.16.5.5    ip.dest = 172.16.5.4
Tomahawk读第一个报文时，地址遇到的第一个地址是：172.16.5.5，又因为在源地址字段，所以作为客户端处理。172.16.5.4作为服务器端对待。
当系统开始演示攻击时，服务器端的报文被从eth1网口传输，客户端报文从eth0传输。
上面的三个报文，则以以下方式被重新发射。Eth0 发射packet1，并等待packet2，eth1收到packet1后发射packet2，然后等待packet3，eth0收到packet2后发射packet3。Eth1收到packet3后，tomahawk打印已经完成一个报文跟踪任务。
如果一个报文丢失，sender经历超时（默认是0.2秒）后重试。如果经历几次重传之后，则会话结束，tomahawk输出一个标识会话超时的信息。
为了确保报文通过交换机能够正确的发送，以太网的mac地址被重写，当报文发送的时候。
另外，IP地址也被重写，报文的数据校验也相应的更新。这样，在上述例子中，当tomahawk发送packet1的时候，源IP地址变为10.0.0.1，目的IP地址变为10.0.0.2.Tomahawk使用raw socket直接将修改后的报文，写到以太网驱动中。
在一个IPS（入侵防御系统）环境中，如果tomahawk报告包含攻击的报文跟踪超时，说明IPS已经阻止了报文跟踪。如果一个报文跟踪包含了攻击，并且IPS已经配置为阻止，这种行为可能是正确的。如果tomahawk报告报文跟踪已经完成，那么IPS没有检测出攻击，不管log上指示了什么。
命令和一些例子
这一节用tomahawk的例子详细解释了一些命令。
演示报文跟踪（开始攻击）
tomahawk -l 1 -f outlook.pcap
这个命令将outlook.pcap中的报文重新发射一遍，通过-l 可以改变次数。并且在循环的不同的次数时，使用的地址会自动改变。
        攻击报文使用的地址设置
tomahawk -l 5 -f outlook.pcap -a 11.0.0.1
这个命令能够设置攻击报文中起始的地址为11.0.0.1。
通过以下两行命令可以自动使用有效的地址。
ADDR=$(ifconfig eth0 | grep 'inet addr' | sed 's/\./ /g' | awk '{print $5}')
tomahawk -a 10.$ADDR.0.1 ...
        并行地发射报文
tomahawk -n 3 -l 5 -f outlook.pcap
通过添加 –n 3 标识tomahauk可以最多同时处理3个报文跟踪。
tomahawk -n 3 -l 5 -f outlook.pcap -f slammer.pcap -f codered.pcap
这个命令则让3个文件中的每个都可以有最多3个同时运行，系统同时有9个攻击运行。系统能够加载的pcap文件数紧紧受限于内存。
        全局和句柄标志（Global and Handler Flags）
tomahawk -n 3 -l 5 -f outlook.pcap -n 2 -l 4 -f slammer.pcap -f codered.pcap
-n 3 -l 5 为句柄标志，直到有全局标志重写它才失效。-n 2 -l 4为全局标志，因为其后没有新的标志重写它，它的影响域是后面两个pcap文件。
        重传丢失的报文
tomahawk -l 1 -r 5 -t 1000 -f outlook.pcap
这个命令-t指定了超时重传的时间为1000milliseconds，并且在超时之前重传5次（-r）。
        保持报文中的IP地址不变
tomahawk -l 1 -A 0 -f stacheldraht.pcap
通过-A 0指定不用更改地址。偶然情况下，源地址也是攻击的重要的组成部分，比如3.3.3.3
        产生干净的流量
tomahawk -n 50 -l 10000 -f http.pcap
产生性能测试流量。这个功能是对TACS项目的测试最有用处的一个。
        限制流量速率
tomahawk -n 50 -l 10000 -f http.pcap -R 100
通过-R限制为100Mbps。同上，这个功能也可以用于测试。
        限制同时攻击的流的数量
tomahawk -N 50 -l 1 -f attack1.pcap -f attack2.pcap ...-f attack1000.pcap
-N 不同于 –n 因为它是一个全局标志，表示所有报文跟踪中的攻击总数
        附加的标志
以下是一些附加的标志
-h 打印帮助退出
-q 后台方式运行
-m 读报文前发送的保文数量
-n  每个报文跟踪同时能运行的实例数目
-i  指定发送client 端报文的端口，默认是eth0
-j        指定发送server 端报文的端口，默认是eth1.
               
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/23096/showart_189308.html