Annotation of embedaddon/hping2/docs/french/SPOOFED_SCAN.txt, revision 1.1.1.1
1.1 misho 1: Ce qui suit est le postage original (ndt : du moins sa traduction) à bugtraq
2: à propos de la méthode de scan usurpée/passive/indirecte. Voir le fichier
3: HPING2-HOWTO pour plus d'informations.
4:
5: antirez
6:
7: ---
8:
9: Salut,
10:
11: J'ai découvert une nouvelle méthode de scan de ports TCP. Au
12: contraire de toutes les autres elle vous permet de scanner en
13: utilisant des paquets usurpés (ndt : dont l'adresse IP source est
14: usurpée), ainsi les systèmes scannés ne peuvent pas voir votre
15: adresse réelle. Afin de réaliser cela j'utilise trois particularités
16: bien connues des mises en oeuvre TCP/IP de la plupart des OS.
17:
18: (1) * les systèmes répondent SYN|ACK à SYN si le port TCP cible
19: est ouvert, et RST|ACK si le port TCP cible est fermé.
20:
21: (2) * Vous pouvez connaître le nombre de paquets que les systèmes
22: envoient en utilisant le champ id de l'entête IP. Voir mes
23: précédents postages 'à propos de l'entête IP' dans cette mailing
24: liste.
25:
26: (3) * les systèmes répondent RST à SYN|ACK, ne répondent rien à
27: RST.
28:
29:
30: Les joueurs:
31:
32: système A - le système malfaisant, l'attaquant.
33: système B - le système silencieux.
34: système C - le système victime.
35:
36: A est votre système.
37: B est un système particulier : il ne doit envoyer aucun paquet
38: pendant que vous scannez C. Il y a énormément de systèmes à 'trafic
39: nul' sur Internet, spécialement la nuit :)
40: C est la victime, il doit être vulnérable aux scans SYN.
41:
42: J'ai appelé cette méthode de scan 'scan du système muet' (ndt :
43: l'autre traduction de 'dumb' est bête) en référence aux
44: caractéristiques du système B.
45:
46:
47: Comment elle fonctionne :
48:
49: Le système A surveille le nombre de paquets sortants depuis B en
50: utilisant le champ id de l'entête IP. Vous pouvez faire ceci
51: simplement en utilisant hping :
52:
53: #hping B -r
54: HPING B (eth0 xxx.yyy.zzz.jjj): no flags are set, 40 data bytes
55: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=0 ttl=64 id=41660 win=0 time=1.2 ms
56: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=1 ttl=64 id=+1 win=0 time=75 ms
57: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=2 ttl=64 id=+1 win=0 time=91 ms
58: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=3 ttl=64 id=+1 win=0 time=90 ms
59: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=4 ttl=64 id=+1 win=0 time=91 ms
60: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=5 ttl=64 id=+1 win=0 time=87 ms
61: -cut-
62: ..
63: .
64:
65: Comme vous pouvez le voir, les incréments du champ id sont toujours
66: de 1. Ainsi ce système a la caractéristique requise pour jouer le
67: rôle de B.
68:
69: Maintenant le système A envoie des paquets SYN au port X de C en
70: usurpant l'adresse source de B.
71: (avec hping => 0.67 c'est très facile, http://www.kyuzz.org/antirez)
72: si le port X de C est ouvert, le système C enverra SYN|ACK à B (oui,
73: le système C ne sait pas que le véritable expéditeur est A). Dans ce
74: cas le système B répond au SYN|ACK avec un RST.
75: Si nous envoyons au système C quelques paquets SYN il répondra à B
76: quelques paquet SYN|ACK, ainsi B répondra à C quelques RST... ainsi
77: nous verrons que le système B est en train d'envoyer des paquets !
78:
79: .
80: ..
81: -cut-
82: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=17 ttl=64 id=+1 win=0 time=96 ms
83: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=18 ttl=64 id=+1 win=0 time=80 ms
84: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=19 ttl=64 id=+2 win=0 time=83 ms
85: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=20 ttl=64 id=+3 win=0 time=94 ms
86: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=21 ttl=64 id=+1 win=0 time=92 ms
87: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=22 ttl=64 id=+2 win=0 time=82 ms
88: -cut-
89: ..
90: .
91:
92: Le port est ouvert !
93:
94: Par contre, si le port X de C est fermé alors en envoyant à C
95: quelques paquets SYN avec l'adresse usurpée de B, il répondra avec
96: des paquets RST à B, et B ne répondra pas (voir 3). Ainsi nous
97: verrons que le système B n'est en train d'envoyer aucun paquet :
98:
99: .
100: ..
101: -cut-
102: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=52 ttl=64 id=+1 win=0 time=85 ms
103: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=53 ttl=64 id=+1 win=0 time=83 ms
104: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=54 ttl=64 id=+1 win=0 time=93 ms
105: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=55 ttl=64 id=+1 win=0 time=74 ms
106: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=56 ttl=64 id=+1 win=0 time=95 ms
107: 60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=57 ttl=64 id=+1 win=0 time=81 ms
108: -cut-
109: ..
110: .
111:
112: Le port est fermé.
113:
114: Tout ceci peut paraître compliqué à réaliser, mais utiliser deux
115: sessions de hping dans des consoles virtuelles Linux ou sous X rend
116: cela plus simple.
117: La première session surveille le système B : hping B -r
118: La seconde session envoie des paquets SYN spoofés : hping C -a B -S
119:
120: Désolé si mon anglais n'est pas clair.
121: Cependant ce postage n'est pas adéquat pour décrire exhaustivement
122: cette méthode de scan, ainsi je vais écrire un article à ce sujet,
123: en particulier comment mettre en oeuvre ceci dans un scanner de
124: ports (i.e. nmap), et à propos des caractéristiques des joueurs et
125: des OS utilisés.
126:
127: bonne nouvelle année,
128: antirez
FreeBSD-CVSweb <freebsd-cvsweb@FreeBSD.org>
![[BACK]](/icons/cvsweb/back.gif){kind=icon}
Return to SPOOFED_SCAN.txt CVS log ![[TXT]](/icons/cvsweb/text.gif){kind=icon}
![[DIR]](/icons/cvsweb/dir.gif){kind=icon}
Up to [ELWIX - Embedded LightWeight unIX -] / embedaddon / hping2 / docs / french