Snortから派生したネットワークパケット編集ツール「NetVI」が公開される
オープンソースの侵入検知システムを開発するSnortチームは4月1日、ネットワークパケット編集ツール「NetVI」を発表した。テキストエディタを使ってリアルタイムでネットワークパケットを編集する機能を持つツールで、ネットワークの保護といった目的で利用できるという。
NetVIは指定したネットワークインターフェイスを通過するパケットを編集するためのツール。SnortのDAQ(Data Acquisition)コマンドラインオプションで指定できるオプションやBPF(Berkeley Packet Filter)形式の書式で対象のパケットを指定できる。NetVIがキャプチャしたパケットはvi風のエディタに表示され、そこでパケットを編集した後に送出できる。このエディタではviの編集および検索/置換、ナビゲーション、挿入および削除といった一般的なコマンドが利用できるという。
NetVIを利用することで、トラフィックがアプリケーションに到達する前にシステムを保護したり、ネットワーク全体の保護のために利用できるという。
なお、利用にあたってはパケットデータの変更や追加、削除の際にIP、TCP、UDPヘッダーのチェックサムとTCPシーケンス番号を適切に変更する必要がある点を警告している。これを誤ると不正なパケットを送ってしまう可能性があるという。
NetVIはSnort.org Blog記事内のダウンロードリンクより入手できる。ライセンスはGPLv2。対応プラットフォームはLinuxやFreeBSD、Mac OS X。利用にはDAQ 2.0.2が必要。
(4月7日17:20追記)なお、このツールはSnort開発チームによる「エイプリルフールジョーク」として開発されたもののようだ。ジョークツールとはいえ、パケットのキャプチャや編集などの機能はすべて実際に動作する。
Snort.org Blog
http://blog.snort.org/2014/04/announcing-netvi-new-tool-from-snort.html