Projet Honeynet. Auteur. Arnaud Aucher. Résumé. Challenge : Scan of the month. «Etude de scans de ports à distance»

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimension: px
Commencer à balayer dès la page:

Download "Projet Honeynet. Auteur. Arnaud Aucher. Résumé. Challenge : Scan of the month. «Etude de scans de ports à distance»"

Transcription

1 Projet Honeynet Auteur Arnaud Aucher Résumé Challenge : Scan of the month «Etude de scans de ports à distance»

2 Sommaire Honeynet: scan of the month... 3 Présentation... 3 Analyse de 5 types de scans de ports... 3 Le challenge... 3 Question Question Question Question Question Structure d un segment TCP... 8 Signification des champs TCP... 9 Ouverture de connexion TCP... 9 Le scan de ports Le connect scan Le SYN scan Le non SYN scan Le Null scan Le Xmas scan Le Decoy scan Question Question Question Les SYN scans Les Null scans Les Xmas scans Les Connect scans Les Decoys & Xmas scans Liste des ports ouverts Question La signature La version Rappel des évènements Remerciements Arnaud Aucher 2 / 20 11/11/2007

3 Honeynet: scan of the month Présentation Le projet «Honeynet» est une organisation de recherche à but non lucratif, destinée à éprouver la sécurité de l Internet, sans aucun coût pour le public. Tous les travaux sont menés avec un idéal d Open Source afin de faire la différence. Ce but se réalise en suivant 3 objectifs : La connaissance : l apprentissage des différentes menaces et vulnérabilités existantes sur Internet ; L information : la diffusion de détails et d informations critiques ; Les outils : la mise à disposition des outils pour réaliser ces analyses soi-même. Analyse de 5 types de scans de ports Le challenge Vous pourrez trouver les sources de l étude en suivant ce lien : Les membres de l équipe du sud de la Floride ont générés manuellement 5 différents types de scans de ports depuis Internet vers un unique «Honeypot» (i.e. : pot de miel). Durant chacun des scans, un «IDS» (i.e. : Intrusion Detection System) capture et enregistre les évènements réseau dans un fichier de log. «Snort» est le logiciel utilisé pour la capture des scans au format «Tcpdump», via la librairie : «Libpcap». La mission est de répondre aux questions suivantes : 1. Qu est-ce qu un fichier binaire de log et comment en créer? 2. Qu est-ce que le MD5 et quelle valeur produit-il? 3. Quelle est l adresse IP de l attaquant? 4. Quelle est l adresse attaquée? 5. Identifier les 5 techniques de scans utilisées et les décrire. 6. Quel outil de scan a été employé pour l exercice? Comment le déterminer? 7. Dans quel but scanne-t-on des ports? 8. Quels sont les ports trouvés ouverts? 9. Quel est le système d exploitation de l attaquant? Les outils conseillés pour réaliser cette étude sont : Tutoriaux : Tcpdump : un débuggeur de réseau permettant d intercepter les paquets TCP/IP, Snort : un «IDS» (i.e. : Intrusion Detection System) ; Wireshark : un explorateur de logs ainsi qu un excellent sniffer réseau ; Nmap : un scanner de ports ; P0f : un outil permettant de récupérer le système d exploitation à partir d «Empreintes digitales». Tcpdump : ; Snort : Arnaud Aucher 3 / 20 11/11/2007

4 Sources : L énoncé : scan 23 ; Les fichiers sources : sotm23.tar.gz. Question 1 Qu est-ce qu un fichier binaire de log et comment en créer? En informatique, le concept d'historique des événements ou de logging désigne l'enregistrement séquentiel dans un fichier ou une base de données de tous les événements affectant un processus particulier (application, activité d'un réseau informatique...). Le journal (en anglais log file ou plus simplement log) désigne alors le fichier contenant ces enregistrements. Généralement datés et classés par ordre chronologique, ces derniers permettent d'analyser pas à pas l'activité interne du processus et ses interactions avec son environnement. Il est possible de créer facilement un fichier binaire de log avec l outil Tcpdump. Il archivera l ensemble des paquets échangés sur une interface réseau. Exemple : # Il faut lancer tcpdump en mode administrateur («Root») sudo -s [sudo] password for Attila: ******** # Lançons tcpdump en mode très détaillé (-v, -vv, -vvv) tcpdump -vvv -A On obtient alors le niveau de détail suivant : tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 13:20: IP (tos 0x0, ttl 64, id 39949, offset 0, flags [DF], proto TCP (6), length 643) > fk-in-f104.google.com.www: P : (603) ack win /search?hl=fr&q=securite+informatique& 1 packets captured 26 packets received by filter 0 packets dropped by kernel Cela correspond à la requête émise par le PC client : « », à destination du serveur Google : «fk-inf104.google.com». Le contenu de la recherche est : «sécurité informatique». Il est possible d affiner la capture sur certains ports, interfaces réseau, hôtes sources ou destination et de filtrer différents protocoles. Enfin, nous pouvons rediriger le résultat de l étude vers un fichier binaire de log : # Lancement redirigé vers le fichier test.log tcpdump -vvv -A -w test.log Arnaud Aucher 4 / 20 11/11/2007

5 Cet utilitaire est réutilisé par l outil Wireshark afin de structurer la capture des paquets. Exemple : Question 2 Qu est-ce que le MD5 et quelle valeur produit-il? MD5 (Message Digest 5) est une fonction de hachage cryptographique qui permet d'obtenir pour chaque message une empreinte numérique (en l'occurrence une séquence de 128 bits ou 32 caractères en notation hexadécimale) avec une probabilité très forte que, pour deux messages différents, leurs empreintes soient différentes. Sous les systèmes de type Unix, il existe de base une application permettant d obtenir l empreinte MD5. Il s agit de l utilitaire Md5sum. Il s utilise de la façon suivante : # Calcul de l empreinte Md5 du fichier md5sum 0ce142f18c23d9ab00f992a57ad097d4 Pour les systèmes de type Windows, il existe un petit utilitaire gratuit nommé Md5Summer. Celui-ci permet aisément de reproduire graphiquement le résultat de son équivalent Unix. Arnaud Aucher 5 / 20 11/11/2007

6 Pouvoir vérifier l égalité de l empreinte d un fichier téléchargé à celle du fichier source permet de garantir l intégrité des données. Question 3 Quelle est l adresse IP de l attaquant? L attaquant se trouve à l adresse IP : Remarque : Nous allons détailler par la suite le mode opératoire des attaques, ce qui permettra d expliquer notre déduction. Question 4 Quelle est l adresse attaquée? Le serveur attaqué se trouve à l adresse IP : Remarque : Nous allons détailler par la suite le mode opératoire des attaques, ce qui permettra d expliquer notre déduction. Question 5 Identifier les 5 techniques de scans utilisées et les décrire. Source : Wikipédia. Disposant du Dump TCP de l attaque, nous pouvons lancer une analyse via un «IDS» (Intrusion Dectection System) tel que Snort. Cela nous donnera un premier aperçu des intrusions enregistrées. Exemple : # Il faut lancer Snort sur le fichier de logs # Et lui spécifier le fichier contenant les règles d analyse snort -r -c /xxx/snort.conf Nous obtenons alors à l écran le résultat suivant : Arnaud Aucher 6 / 20 11/11/2007

7 Running in IDS mode --== Initializing Snort ==-- [ ] --== Initialization Complete ==--,,_ -*> Snort! <*- o" )~ Version (Build 35) '''' By Martin Roesch & The Snort Team: (C) Copyright Sourcefire Inc., et al. Rules Engine: SF_SNORT_DETECTION_ENGINE Version 1.6 <Build 11> Preprocessor Object: SF_FTPTELNET Version 1.0 <Build 10> Preprocessor Object: SF_SMTP Version 1.0 <Build 7> Preprocessor Object: SF_SSH Version 1.0 <Build 1> Preprocessor Object: SF_DCERPC Version 1.0 <Build 4> Preprocessor Object: SF_DNS Version 1.0 <Build 2> [ ] =============================================================================== Snort processed packets. =============================================================================== Breakdown by protocol: TCP: (99.990%) UDP: 3 (0.002%) ICMP: 13 (0.008%) ARP: 0 (0.000%) EAPOL: 0 (0.000%) IPv6: 0 (0.000%) ETHLOOP: 0 (0.000%) IPX: 0 (0.000%) FRAG: 0 (0.000%) OTHER: 0 (0.000%) DISCARD: 0 (0.000%) InvChkSum: 0 (0.000%) =============================================================================== Action Stats: ALERTS: 8898 LOGGED: 8923 PASSED: 0 =============================================================================== Snort exiting De l étape d initialisation, nous retenons que Snort est capable de détecter différents types de scans sur les protocoles TCP, UDP, ICMP et IP. Étudions-les en détails : Le «Portscan» : il s agit de scanner un unique hôte, à la recherche de plusieurs ports d écoute ; Le «Portsweep» : il s agit de scanner plusieurs hôtes, à la recherche d un port d écoute spécifique ; Le «Decoy Portscan» : il s agit d un Portscan où l attaquant simule avec sa machine plusieurs scans provenant de différentes adresses (dont la sienne), afin de se dissimuler dans la masse ; Le «Distributed Portscan» : il s agit de Portscans réalisés par de multiples hôtes sur une victime commune. Du bilan de l analyse nous retenons que 99.99% des alertes concernent le protocole TCP et que le reste se réparti sur l UDP et l ICMP alertes ont été générées, il nous faut aller voir le fichier /var/log/snort/alert. Arnaud Aucher 7 / 20 11/11/2007

8 Ce fichier contenant aux alentours de lignes d enregistrements, j ai utilisé un petit script pour établir quelques statistiques, dont voici le résultat : # Statistiques [**] [1:1228:7] SCAN nmap XMAS [**] [**] [1:623:6] SCAN NULL [**] [**] [122:1:0] (portscan) TCP Portscan [**] - 25 [**] [1:469:3] ICMP PING NMAP [**] - 7 On peut constater que les scans de type «XMAS» sont largement plus nombreux, suivis par les scans de type «NULL». Mais d autres types de scans sont tout de mêmes présents tels que le «scan de port TCP». Afin d aborder aisément les définitions des divers scans, je vous propose de revoir quelques bases du TCP. Structure d un segment TCP Port Source Port destination Numéro de séquence Numéro d'acquittement Taille de l'en-tête réservé ECN URG ACK PSH RST SYN FIN Fenêtre Somme de contrôle Options Pointeur de données urgentes Remplissage Données Arnaud Aucher 8 / 20 11/11/2007

9 Signification des champs TCP Port source : Numéro du port source Port destination : Numéro du port destination Numéro de séquence : Numéro de séquence du premier octet de ce segment Numéro d'acquittement : Numéro de séquence du prochain octet attendu Taille de l'en-tête : Longueur de l'en-tête en mots de 32 bits (les options font partie de l'en-tête) Réservé : Réservé pour un usage futur ECN : signale la présence de congestion, voir RFC 3168 Drapeaux o URG : Signale la présence de données URGentes o ACK : Signale que le paquet est un accusé de réception (ACKnowledgement) o PSH : Données à envoyer tout de suite (PuSH) o RST : Rupture anormale de la connexion (ReSeT) o SYN : Demande de SYNchronisation ou établissement de connexion o FIN : Demande la fin de la connexion Fenêtre : Taille de fenêtre demandée, c'est-à-dire le nombre d'octets que le récepteur souhaite recevoir sans accusé de réception Checksum : Somme de contrôle calculé sur l'ensemble de l'en-tête TCP et des données, mais aussi sur un pseudo en-tête (extrait de l'en-tête IP) Pointeur de données urgentes : Position relative des dernières données urgentes Options : Facultatives Remplissage : Zéros ajoutés pour aligner les champs suivants du paquet sur 32 bits, si nécessaire Données : Séquences d'octets transmis par l'application (par exemple: +OK POP3 server ready,...) Ouverture de connexion TCP Le client effectue une ouverture active en 3 temps (poignée de mains en trois temps) : Le client envoie un segment SYN au serveur ; Le serveur lui répond par un segment SYN/ACK ; Le client confirme par un segment ACK. Arnaud Aucher 9 / 20 11/11/2007

10 Le scan de ports Les méthodes de scan de ports sont constamment en évolution, avec l objectif de devenir indétectable par l hôte. Au travers des années, elles sont devenues pleines ressources et plus fiables. Cependant du à la constante évolution des technologies, même les méthodes les plus ingénieuses d hier, sont facilement découvertes. La théorie derrière un scan de port est basée sur la tentative d ouverture de connexions sur tous les ports TCP et UDP qui puisse offrir un service au client distant. En examinant la réponse de chaque tentative, nous avons la capacité de déterminer si un service est actif (Port ouvert). Le connect scan Si un paquet SYN est envoyé sur un port fermé, la réponse SYN, ACK ne sera pas envoyée. En revanche, la cible répondra par RST, ACK (Rest, Acknowledge) indiquant que le port est fermé. Exemple : Port Ouvert : 1234 SYN : 80 Le client envoie un SYN au serveur sur le port : 80 SYN, ACK : 1234 Le serveur répond par SYN, ACK Ce qui indique qu un démon écoute sur ce port : 1234 ACK : 80 Le client répond par un ACK Port Fermé : 1234 SYN : 80 Le client envoie un SYN au serveur sur le port : 80 RST, ACK : 1234 Le serveur répond par RST, ACK Ce qui indique qu aucun démon n écoute sur ce port : 1234 ACK : 80 Le client répond par un ACK Cet exemple permet de montrer les requêtes et les réponses attendues lors d une connexion sur un port TCP. Les échanges de requêtes positives seront enregistrés par l attaquant comme des ports ouverts. Arnaud Aucher 10 / 20 11/11/2007

11 Le SYN scan Le concept est de dissimuler le fait qu une connexion est entrain de s établir depuis le système d exploitation distant, ce qui est réalisé en ne complétant jamais la connexion TCP active en 3 temps. Exemple : Port Ouvert : 1234 SYN : 80 Le client envoie un SYN au serveur sur le port : 80 SYN, ACK : 1234 Le serveur répond par SYN, ACK Ce qui indique qu un démon écoute sur ce port : 1234 RST : 80 Le client répond par un RST Ce qui invalide l établissement de la connexion TCP Port Fermé : 1234 SYN : 80 Le client envoie un SYN au serveur sur le port : 80 RST, ACK : 1234 Le serveur répond par RST, ACK Ce qui indique qu aucun démon n écoute sur ce port Comme il a été démontré dans l exemple précédent l attaquant n envoie jamais le ACK final. A la place, il envoie un RST pour notifier à la cible que la connexion a été anormalement rompue. Ce procédé n était pas détecté par les anciens systèmes d exploitation, mais les systèmes modernes les révèlent puis les enregistrent dans leurs journaux. Le non SYN scan Les scans qui n envoient pas de paquets SYN sont semblables. Bien qu ils puissent être décrits comme furtifs, les systèmes modernes les détectent. Voici les points négatifs des non SYN scan : Comme ils ne reposent uniquement sur les réponses des ports non ouverts, nous pouvons conclure avec un grand nombre de faux positifs si les ports sont filtrés. Ils supposent que le système distant se conforme aux standards RFC Arnaud Aucher 11 / 20 11/11/2007

12 Le Null scan Le concept est d envoyer un paquet avec un flag invalide. Dans notre cas, aucun flag n est paramétré. Quand la cible reçoit un tel paquet, soit elle le supprimera, soit elle y répondra par un RST, ce qui dépend évidemment de l état du port de destination (ouvert ou fermé). Exemple : Port Ouvert : : 80 Le client envoie un paquet sans flag au serveur sur le port Pas de réponse -- Si aucune réponse n est reçue, le paquet a été supprimé Le port peut donc être considéré comme ouvert Port Fermé : : 80 Le client envoie un paquet sans flag au serveur sur le port : 80 RST, ACK : 1234 Le serveur répond par RST, ACK Ce qui indique qu aucun démon n écoute sur ce port Le Xmas scan Semblable au «Null scan», il est basé sur l idée d envoyer des paquets avec un paramétrage de flag invalide. Tandis que le «Null scan» envoie un paquet sans options, le «Xmas scan» utilise le URG PSH & FIN (Urgent, Push & Finish) flag. Une fois encore si le port est fermé, un RST sera renvoyé à l attaquant et si le port est ouvert, le paquet sera détruit. Exemple : Port Ouvert : 1234 URG, PSH, FIN : 80 Le client envoie un paquet avec un flag invalide au serveur sur le port Pas de réponse -- Si aucune réponse n est reçue, le paquet a été supprimé Le port peut donc être considéré comme ouvert Port Fermé : 1234 URG, PSH, FIN : 80 Le client envoie un paquet avec un flag invalide au serveur sur le port : 80 RST, ACK : 1234 Le serveur répond par RST, ACK Ce qui indique qu aucun démon n écoute sur ce port Arnaud Aucher 12 / 20 11/11/2007

13 Le Decoy scan L utilisation de leurres est une méthode dont le but est de dissimuler l identité de l attaquant à la cible. Des paquets de scans sont envoyés à la cible avec à la fois des adresses sources factices et valides. La cible répondra alors à tous les paquets leurres de la même façon qu à l attaquant. Ce procédé complexifie la phase d identification du réel attaquant. Exemple : Port Ouvert : 1234 URG, PSH, FIN : 80 Le vrai client envoie un paquet avec un flag invalide au serveur sur le port Pas de réponse -- Si aucune réponse n est reçue, le paquet a été supprimé Le port peut donc être considéré comme ouvert : 1234 URG, PSH, FIN : : 1234 URG, PSH, FIN : : 1234 URG, PSH, FIN : 80 Des paquets avec des adresses leurres sont envoyés Ils semblent provenir d autres hôtes du réseau Port Fermé : 1234 URG, PSH, FIN : 80 Le vrai client envoie un paquet avec un flag invalide au serveur sur le port : 80 RST, ACK : 1234 Le serveur répond par RST, ACK Ce qui indique qu aucun démon n écoute sur ce port : 1234 URG, PSH, FIN : : 1234 URG, PSH, FIN : : 1234 URG, PSH, FIN : 80 Des paquets avec des adresses leurres sont envoyés Ils semblent provenir d autres hôtes du réseau Quand le port est fermé, des réponses RST, ACK sont envoyées aux leurres ainsi qu au véritable attaquant. Question 6 Quel outil de scan a été employé pour l exercice? Comment le déterminer? Le scanner utilisé dans cette étude est Nmap. Quand les journaux de logs retournés sont passés au crible par un IDS tel que «Snort», nous obtenons un fichier contenant les alertes générées. Dans ce fichier, de nombreuses alertes apparaissent mentionnant des scans «Nmap» : [**] [1:469:3] ICMP PING NMAP [**] [Classification: Attempted Information Leak] [Priority: 2] 08/26-23:59: > ICMP TTL:40 TOS:0x0 ID:34827 IpLen:20 DgmLen:28 Type:8 Code:0 ID:31465 Seq:0 ECHO [Xref => [**] [1:1228:7] SCAN nmap XMAS [**] Arnaud Aucher 13 / 20 11/11/2007

14 [Classification: Attempted Information Leak] [Priority: 2] 08/27-00:21: : > :1 TCP TTL:39 TOS:0x0 ID:25186 IpLen:20 DgmLen:60 **U*P**F Seq: 0x2DC1139F Ack: 0x0 Win: 0x1000 TcpLen: 40 UrgPtr: 0x0 TCP Options (5) => WS: 10 NOP MSS: 265 TS: EOL [Xref => D autres alertes liées aux scans sont générées ne mentionnant pas «Nmap», mais méritent d apparaître : [**] [122:1:0] (portscan) TCP Portscan [**] [Priority: 3] 08/27-00:00: > PROTO:255 TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:159 DF [**] [1:623:6] SCAN NULL [**] [Classification: Attempted Information Leak] [Priority: 2] 08/27-00:21: : > :59 TCP TTL:39 TOS:0x0 ID:3234 IpLen:20 DgmLen:40 ******** Seq: 0x0 Ack: 0x0 Win: 0x1000 TcpLen: 20 [Xref => Question 7 Dans quel but scanne-t-on des ports? Le scan de ports permet à un hôte externe au réseau, qui est dépourvu de droit d accès sur la cible, d obtenir des renseignements sur les services offerts par celle-ci. Cela lui permet aussi d obtenir une bonne idée de la version du système d exploitation. La connaissance des données précédentes fournit suffisamment d éléments à l attaquant pour trouver et exploiter une vulnérabilité du système cible. Question 8 Quels sont les ports trouvés ouverts? Suite aux règles énoncées précédemment, nous pouvons récupérer les réponses positives des ports ouverts. Les SYN scans Port domain = DNS port TCP > domain [SYN] TCP domain > [SYN, ACK] TCP > domain [RST] Port https = port TCP > https [SYN] TCP https > [SYN, ACK] TCP > https [RST] Port sunrpc = port 111 Arnaud Aucher 14 / 20 11/11/2007

15 TCP > sunrpc [SYN] TCP sunrpc > [SYN, ACK] TCP > sunrpc [RST] Port ssh = port TCP > ssh [SYN] TCP ssh > [SYN, ACK] TCP > ssh [RST] Port http = port TCP > http [SYN] TCP http > [SYN, ACK] TCP > http [RST] Port TCP > [SYN] TCP > [SYN, ACK] TCP > [RST] Les Null scans Port http = port TCP > http [] Port domain = DNS port TCP > domain [] Port https = port TCP > https [] Port sunrpc = port TCP > sunrpc [] Port ssh = port TCP > ssh [] Les Xmas scans Port https = port 443 Arnaud Aucher 15 / 20 11/11/2007

16 TCP > https [FIN, PSH, URG] Port domain = DNS port TCP > domain [FIN, PSH, URG] Port sunrpc = port TCP > sunrpc [FIN, PSH, URG] Port ssh = port TCP > ssh [FIN, PSH, URG] Port http = port TCP > http [FIN, PSH, URG] Les Connect scans Port http = port TCP > http [SYN] TCP http > [SYN, ACK] TCP > http [ACK] TCP > http [RST, ACK] Port ssh = port TCP > ssh [SYN] TCP ssh > [SYN, ACK] TCP > ssh [ACK] TCP > ssh [RST, ACK] Port sunrpc = port TCP > sunrpc [SYN] TCP sunrpc > [SYN, ACK] TCP > sunrpc [ACK] TCP > sunrpc [RST, ACK] Arnaud Aucher 16 / 20 11/11/2007

17 Port domain = DNS port TCP > domain [SYN] TCP domain > [SYN, ACK] TCP > domain [ACK] TCP > domain [RST, ACK] Port https = port TCP > https [SYN] TCP https > [SYN, ACK] TCP > https [ACK] TCP > https [RST, ACK] Les Decoys & Xmas scans Les leurres sont les adresses IP suivantes : Port ssh = port TCP > ssh [FIN, PSH, URG] TCP > ssh [FIN, PSH, URG] TCP > ssh [FIN, PSH, URG] TCP > ssh [FIN, PSH, URG] Port http = port TCP > http [FIN, PSH, URG] TCP > http [FIN, PSH, URG] TCP > http [FIN, PSH, URG] TCP > http [FIN, PSH, URG] Port https = port TCP > https [FIN, PSH, URG] TCP > https [FIN, PSH, URG] TCP > https [FIN, PSH, URG] TCP > https [FIN, PSH, URG] Port sunrpc = port TCP > sunrpc [FIN, PSH, URG] TCP > sunrpc [FIN, PSH, URG] TCP > sunrpc [FIN, PSH, URG] TCP > sunrpc [FIN, PSH, URG] Arnaud Aucher 17 / 20 11/11/2007

18 Port domain = DNS port TCP > domain [FIN, PSH, URG] TCP > domain [FIN, PSH, URG] TCP > domain [FIN, PSH, URG] TCP > domain [FIN, PSH, URG] Liste des ports ouverts Protocole Port Service Définition TCP 22 SSH Secure Shell TCP 53 DNS Domain Name System TCP 80 HTTP HyperText Transfer Protocol TCP 111 SUNRPC Sun s Remote Procedure Call TCP 443 HTTPS Secured HyperText Transfer Protocol TCP * Filenet-Tms Question 9 Quel est le système d exploitation de l attaquant? Nous avons appris comment à partir de l exploitation du protocole TCP, il était possible à un attaquant d obtenir de nombreuses informations sur un poste cible. Voyons maintenant comment à partir des traces laissées dans les journaux systèmes lors des scans sur le poste cible, un responsable de la sécurité peut récolter des informations sur l attaquant. Notons que celles-ci peuvent être récupérées sans que l attaquant n en soit averti. La signature A travers l article «Connais ton ennemi : Les empreintes digitales passives», sont exposées les 4 caractéristiques du protocole TCP qui varient selon les systèmes d exploitation. Nous pouvons donc les considérer comme une signature de l OS au sein des paquets TCP. Voici ces champs : Le TTL : valeur du Time To Live La Win : valeur de la Window Size Le DF : activation du Don t Fragment bit Le ToS : valeur du Type of Service Ces valeurs suffisent la plupart du temps pour déterminer le système d exploitation d origine des paquets TCP. Le résultat n est pas fiable à 100%, ce qui implique d examiner plusieurs paquets puis combiner leur conclusion. Une base de données des différentes signatures relevées est disponible à l adresse suivante : « Il est important de garder à l esprit que le résultat obtenu n est que pure supposition. En premier lieu, les applications paramètrent leurs propres paquets (Nmap, Hunt, Nemesis), avec des signatures différentes de celle du système d exploitation. Ensuite, les valeurs par défaut du système d exploitation peuvent être modifiées manuellement. Arnaud Aucher 18 / 20 11/11/2007

19 Il existe toutefois d autres signatures au sein des protocoles réseaux et de leur implémentation par les systèmes d exploitation ou autres outils du réseau. La version L attaquant utilise un Linux dont la version du noyau est comprise entre & Voyons comment obtenir ce résultat Il existe un utilitaire très simple nommé «p0f», développé sous licence GPL par Michal Zalewski. C est un logiciel passif qui accepte en entrée un fichier de logs. Exemple : p0f sort -u p0f - passive os fingerprinting utility, version (C) M. Zalewski W. Stearns p0f: listening (SYN) on 262 sigs (14 generic, cksum 0F1F5CA2), rule: 'all'. [+] End of input file : Linux (up: 46 hrs) [ ] : Linux (up: 46 hrs) : NMAP OS detection probe (1) * [ ] : NMAP OS detection probe (4) * : NMAP syn scan (2) * [ ] : NMAP syn scan (2) * : NMAP OS detection probe (1) * [ ] : NMAP OS detection probe (1) * Il nous est alors facile de conclure sur la nature du système d exploitation de l attaquant : «Linux », opérant depuis plus de «46h», avec l outil «Nmap». Arnaud Aucher 19 / 20 11/11/2007

20 Rappel des évènements Horaires Type d attaque 01:59:50 Ping ICMP et TCP ACK 02:00:00-02:20:35 SYN scan 02:21:04 Ping ICMP et TCP ACK 02:21:15-02:21:38 TCP NULL scan 02:21:38 Nmap Fingerprint 02:23:17 Ping ICMP et TCP ACK 02:23:27-02:23:51 TCP XMAS scan 02:23:51 Nmap Fingerprint 02:24:39 Ping TCP ACK 02:24:50-02:24:54 TCP connect scan 02:24:54 Nmap Fingerprint 02:26:32 Ping ICMP et TCP ACK, sources multiples 02:26:42-02:27:32 TCP XMAS scan, sources multiples Remerciements Nous tenons à remercier : L équipe du projet Honeynet : pour la mise à disposition de ses recherches ; Richard La Bella : l auteur de cette étude ; Nick DeBaggis, Leon Ward, Laurent Butti, Christophe Grenier : pour leur participation et leur rapport mis en ligne ; Jean-François Bonnet : pour nous avoir proposé un projet hors normes, qui nous a apporté beaucoup de connaissances dans le domaine de la sécurité. Arnaud Aucher 20 / 20 11/11/2007

Les protocoles UDP et TCP

Les protocoles UDP et TCP 3 Les protocoles UDP et TCP TCP comme UDP s exécute au-dessus d IP et se fonde sur les services fournis par ce dernier. TCP (Transport Control Protocol) assure un service de transmission de données fiable

Plus en détail

Internet - couche transport

Internet - couche transport Internet - couche transport Nicolas Delestre et Géraldine Del Mondo TCP UDP - V1.0.1 1 / 24 Plan 1 Client - Serveur 2 Ports 3 UDP 4 TCP Connexion Déconnexion 5 Outils UNIX 6 Conclusion TCP UDP - V1.0.1

Plus en détail

Encapsulation et analyse des échanges Cheminement des trames et routage La couche Réseau La couche Transport

Encapsulation et analyse des échanges Cheminement des trames et routage La couche Réseau La couche Transport Travaux Dirigés Réseaux (modèle TCP/IP) Encapsulation et analyse des échanges Cheminement des trames et routage La couche Réseau La couche Transport andreu@lirmm.fr 1 TD1 Etude du modèle TCP/IP L objectif

Plus en détail

Scanner les ports avec nmap

Scanner les ports avec nmap Scanner les ports avec nmap Version Date Révision Auteur 1.0 10/01/2015 Initiation du document Shura 1.1 22/11/2015 Ajout des scans de versions et des «options bien pratiques». Shura Description L'outil

Plus en détail

TP SECURITE ARS-IRT 2008-2009 nmap tcpdump wireshark et filtrage iptables statique

TP SECURITE ARS-IRT 2008-2009 nmap tcpdump wireshark et filtrage iptables statique TP SECURITE ARS-IRT 2008-2009 nmap tcpdump wireshark et filtrage iptables statique NMAP est un scanner de ports TCPDUMP et WIRESHARK sont des sniffers Ce tp se fera directement sur la mandriva serveur

Plus en détail

Advanced Fingerprinting

Advanced Fingerprinting SRS Day Advanced Fingerprinting Michaël BETTAN Gaël SECHAUD bettan.michael@gmail.com gael.sechaud@gmail.com Introduction au fingerprinting Le contexte Qu est ce que le fingerpriting? Identification d un

Plus en détail

Chapitre 3 : Les échanges dans le monde TCP-IP. Support des Services et Serveurs

Chapitre 3 : Les échanges dans le monde TCP-IP. Support des Services et Serveurs SI 5 BTS Services Informatiques aux Organisations 1 ère année Chapitre 3 : Support des Services et Serveurs Objectifs : Les échanges dans le monde TCP-IP Maîtriser le modèle TCP/IP, l'ensemble de ses protocoles,

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

LES PROTOCOLES TCP ET UDP

LES PROTOCOLES TCP ET UDP LES PROTOCOLES TCP ET UDP 1. LES NUMEROS DE PORT TCP et UDP sont des protocoles de la couche Transport (niveau 4) du modèle OSI. A la réception d'un datagramme, une machine est identifiée de manière unique

Plus en détail

INTRODUCTION AU SCAN DE PORTS

INTRODUCTION AU SCAN DE PORTS INTRODUCTION AU SCAN DE PORTS elalitte 29 octobre 2015 Table des matières 1 Introduction 5 2 Introduction au scan de ports 7 2.1 Pré-requis..................................... 7 2.2 Le scan de ports

Plus en détail

Chapitre 5 : Protocole TCP/IP

Chapitre 5 : Protocole TCP/IP Chapitre 5 : Protocole TCP/IP 1- IP (Internet Protocol) : Il permet de à des réseaux hétérogène de coopérer. Il gère l adressage logique, le routage, la fragmentation et le réassemblage des paquets. Il

Plus en détail

ESIREM - 3ème année ITC7-2 (1 séance) Étude d une communication entre deux hôtes du réseau

ESIREM - 3ème année ITC7-2 (1 séance) Étude d une communication entre deux hôtes du réseau ESIREM - 3ème année ITC7-2 (1 séance) Étude d une communication entre deux hôtes du réseau Michael Choisnard, Arnaud Da Costa, Benoît Darties Mars 2010 L objectif de ce TP est de développer et mettre en

Plus en détail

Couche transport TCP

Couche transport TCP Couche transport TCP Sébastien Jean IUT de Valence Département Informatique v3.1, 30 avril 2012 TCP, en bref Généralités TCP? TCP (Transmission Control Protocol, RFC 793) fournit un service de transfert

Plus en détail

Réseaux - partie 4 Transport

Réseaux - partie 4 Transport Réseaux - partie 4 Transport Michel RIVEILL, INP Grenoble Laboratoire SIRAC INRIA Rhône-Alpes 655, av. de l Europe - 38330 Montbonnot St Martin Michel.Riveill@inpg.fr Plan Introduction Physique Liaison

Plus en détail

Les Protocoles de Transport Introduction à l analyse de trames

Les Protocoles de Transport Introduction à l analyse de trames Les Protocoles de Transport Introduction à l analyse de trames telnet localhost 80 telnet localhost 80 Trying ::1 connected to localhost. Escape character is ^]. Demande de connexion du client Ouverture

Plus en détail

IP - ICMP - UDP - TCP

IP - ICMP - UDP - TCP Encapsulation Ethernet IP ICMP TCP UDP IP - ICMP - UDP - TCP Université de Cergy-Pontoise 2006 2007 Encapsulation Ethernet IP ICMP TCP UDP Plan 1 Encapsulation 2 Ethernet 3 IP Datagramme

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS. TP sur IP

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS. TP sur IP Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS TP sur IP L'objectif de ce premier TP est de vous montrer comment les données circulent dans un réseau, comment

Plus en détail

AUCUN DOCUMENT AUTORISÉ. Détailler autant que possible vos réponses, en particulier pour les questions de cours!

AUCUN DOCUMENT AUTORISÉ. Détailler autant que possible vos réponses, en particulier pour les questions de cours! Test du Module M3102 Samedi 10 janvier 2015 Durée : 2 heures IUT Aix-en-Provence Semestre 3 DUT INFO AUCUN DOCUMENT AUTORISÉ Détailler autant que possible vos réponses, en particulier pour les questions

Plus en détail

Median SR04 - Automne 2007 Les documents ne sont pas autorisés

Median SR04 - Automne 2007 Les documents ne sont pas autorisés Median SR04 - Automne 2007 Les documents ne sont pas autorisés - Utiliser le verso en cas de besoin Exercice 1 (1,5pts) : soit le réseau suivant dont l'adresse réseau est 130.252.0.0 : Segment 1.10.34.10.35.10.36

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux Rappels et audits réseaux Frédéric Bongat (IPSL) Philippe Weill (SA) 1 Introduction Sécurité des réseaux sous Linux Les réseaux Audit réseau 2 3 TCP/IP : protocoles de communication

Plus en détail

Internet - couche transport

Internet - couche transport Plan 1 Client - Serveur Internet - couche transport Nicolas Delestre et Géraldine Del Mondo 2 Ports 3 UDP 4 TCP Connexion Déconnexion 5 Outils UNIX 6 Conclusion TCP UDP - V1.0.1 1 / 24 TCP UDP - V1.0.1

Plus en détail

INF3270 : Laboratoire 5 - Analyse TCP

INF3270 : Laboratoire 5 - Analyse TCP INF3270 : Laboratoire 5 - Analyse TCP Eric Gingras Adaptation d'une présentation créé par le laboratoire de téléinformatique de l'université du Québec à Montréal (Alain Sarrazin, Elmi Hassan et Guy Francoeur)

Plus en détail

Livres disponibles à la bibliothèque (RDC)

Livres disponibles à la bibliothèque (RDC) Livres disponibles à la bibliothèque (RDC) Réseaux, 3 ème édition, A.TANENBAUM, 1997. TCP/IP : Architecture, protocoles et applications, 3 ème édition, D.COMER, 1998 TCP/IP : Administration de réseaux,

Plus en détail

NFA083 Réseau et Administration Web TCP/IP

NFA083 Réseau et Administration Web TCP/IP NFA083 Réseau et Administration Web TCP/IP Sami Taktak sami.taktak@cnam.fr Centre d Étude et De Recherche en Informatique et Communications Conservatoire National des Arts et Métiers Rôle de la Couche

Plus en détail

TP Services et Protocoles applicatifs de l Internet

TP Services et Protocoles applicatifs de l Internet TP Services et Protocoles applicatifs de l Internet CE TP ILLUSTRERA 1 Savoir se connecter et travailler sur une machine distante 2 Comprendre le fonctionnement du DNS 3 Comprendre le fonctionnement de

Plus en détail

Travaux Pratiques de Réseaux Ethereal

Travaux Pratiques de Réseaux Ethereal Avant propos IUT VALENCE Département Informatique, Option Informatique des Systèmes Industriels Travaux Pratiques de Réseaux Ethereal Cette documentation n est absolument pas exhaustive. Elle a pour simple

Plus en détail

Principe de la récupération d erreur dans TCP. Exercices sur La couche Transport. Récupération d erreur

Principe de la récupération d erreur dans TCP. Exercices sur La couche Transport. Récupération d erreur Exercices sur La couche Transport Principe de la récupération d erreur dans TCP» Fenêtre d anticipation avec re-émission sélective et acquittements cumulatifs (voir chapitre Contrôle d erreur) 4 3 2 Transport

Plus en détail

Quelques notions sur TCP / IP

Quelques notions sur TCP / IP Tout ce que vous vouliez savoir sur le NAT sans avoir osé le demander Quelques notions sur TCP / IP Ce chapitre n a pas pour but de vous saouler avec un N ième cours réseau mais de vous donner le minimum

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

Le protocole TCP. PLAN Présentation Les segments TCP Le multiplexage La fenêtre coulissante La connexion Les données urgentes Les options Conclusion

Le protocole TCP. PLAN Présentation Les segments TCP Le multiplexage La fenêtre coulissante La connexion Les données urgentes Les options Conclusion Le protocole TCP cb (/home/kouna/d01/adp/bcousin/fute/cours/internet/04-tcp.fm- 18 Septembre 1998 09:25) PLAN Présentation Les segments TCP Le multiplexage La fenêtre coulissante La connexion Les données

Plus en détail

Introduction. UDP et IP UDP

Introduction. UDP et IP UDP Introduction Protocoles TCP et UDP M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) assurent

Plus en détail

ETUDE DU PROTOCOLE IP

ETUDE DU PROTOCOLE IP TP Analyse de protocole ETUDE DU PROTOCOLE IP Equipe Réseaux - 1 - 1. Travail préparatoire Quelle est l adresse mac de votre machine? Quelle est l adresse ip de votre machine? Quel est le masque de réseaux?

Plus en détail

Les couches transport UDP et TCP. Bibliographie et sources. La couche transport (4) Encapsulation des données. Objectifs et plan:

Les couches transport UDP et TCP. Bibliographie et sources. La couche transport (4) Encapsulation des données. Objectifs et plan: Les couches transport UDP et TCP Bibliographie et sources Objectifs et plan: Couche 4 : plaque tournante entre Fournisseurs des services de transport (les «réseaux») Utilisateurs des services de transport

Plus en détail

Couche Transport. Le protocole TCP

Couche Transport. Le protocole TCP Couche Transport Assure la transmission des messages entre deux applications sur des stations distantes. Le protocole de transport est un protocole bout-en-bout (Host- To-Host Protocol). A. Obaid - Téléinformatique

Plus en détail

SECURINETS Club de la sécurité informatique INSAT

SECURINETS Club de la sécurité informatique INSAT Atelier : Intrusion Prevention System IPS -SNORT INLINE Securinetsiens : 1. Rayan Ktari 2. Sameh Ben Ahmed 3. Henda Boussaid 4. Hassan Jemmali 5.Aymen Bouchriha 1. Présentation : Un IDS (Intrusion Detection

Plus en détail

Niveau Couche 4 Application 3 Transport 2 Internet 1 Hôte-réseau

Niveau Couche 4 Application 3 Transport 2 Internet 1 Hôte-réseau Chapitre 3 Modèle TCP/IP Le modèle TCP/IP est nommé d après ses deux protocoles principaux TCP et IP, mais il comporte en réalité plusieurs dizaine de protocoles. Il définit un modèle de quatre couches.

Plus en détail

TP 1 - Wireshark et Ethernet

TP 1 - Wireshark et Ethernet TP 1 - Wireshark et Ethernet Nommage des cartes réseaux Sous Linux, tous les périphériques (disques durs, cartes réseau, imprimantes,... ) sont nommés et ce nommage respecte certaines règles. Par exemple,

Plus en détail

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49 Filtrage dynamique Linux noyau >= 2.4 netfilter : Iptables Cisco propose les CBAC (IOS Firewall) *BSD avec IPFilter Packet filter Beaucoup de Pare Feu utilise du filtrage dynamique Principe Fonctionnement

Plus en détail

Référence des commandes

Référence des commandes Référence des commandes Les bits TCP réservés sont bien à zéro. Les drapeaux TCP correspondent bien aux motifs présentés dans les tableau 72 et tableau 73. Diverses vérifications d intégrité. Cette extension

Plus en détail

Commandes de base Administration Systèmes et Réseaux

Commandes de base Administration Systèmes et Réseaux Commandes de base Administration Systèmes et Réseaux TcpDump Sniffing en mode verbeux : > tcpdump -v tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 22:00:11.625995 IP (tos

Plus en détail

Le protocole TCP. Services de TCP

Le protocole TCP. Services de TCP Le protocole TCP TCP (Transmission Control Procedure) est un protocole de transport bout-en-bout (Host-To- Host) Ajoute les fonctions que le réseau ne peut offrir et qui sont demandées par les applications

Plus en détail

Partie 1 Les fondamentaux

Partie 1 Les fondamentaux Partie 1 Les fondamentaux 1. Débuter avec Outlook 2010... 3 2. La fenêtre d Outlook... 23 3. Envoyer et recevoir des messages électroniques... 79 4. Gérer les contacts... 127 5. Gérer les emplois du temps...

Plus en détail

ARCHITECTURE CLIENT - SERVEUR

ARCHITECTURE CLIENT - SERVEUR 2010 Informatique 1 2 EME RAPPORT ARCHITECTURE CLIENT - SERVEUR Etudiants Djem TOKER Nurbanu YAYILKAN Responsable de projet L. POINSOT C. RODRIGUE Nous allons décrire dans ce rapport à travers des diagrammes

Plus en détail

DIGITAL NETWORK. Le Idle Host Scan

DIGITAL NETWORK. Le Idle Host Scan DIGITAL NETWORK Siège : 13 chemin de Fardeloup 13600 La Ciotat Siret : 43425494200015 APE : 722 Z www.digital network.org www.dnsi.info Laboratoires : 120 Avenue du Marin Blanc, ZI Les Paluds, 13685 Aubagne

Plus en détail

Groupe Analyse. Réalisé par : Master 2. Université Paul Sabatier de Toulouse. Novembre 2004

Groupe Analyse. Réalisé par : Master 2. Université Paul Sabatier de Toulouse. Novembre 2004 Master 2 Groupe Analyse Réalisé par : Arnaud Sébastien Bizouard Paul Delomier Yoann Esquié Jérôme Falguera Anne Laudic Sébastien Salvan Lydie Novembre 2004 Université Paul Sabatier de Toulouse Présentation

Plus en détail

Les autoroutes de l information

Les autoroutes de l information Les autoroutes de l information 2 ème partie Protocoles réseaux : TCP/IP. Reproduction interdite. Sommaire Sommaire Sommaire... 2 Introduction... 4 Problématique de la communication réseau... 4 Origine

Plus en détail

Description du datagramme IP :

Description du datagramme IP : Université KASDI MERBAH OUARGLA Faculté des Nouvelles Technologies de l information et de la Communication Département Informatique et Technologies de les Information 1 er Année Master académique informatique

Plus en détail

Réseaux 1. TP 1 - Configuration et tests TCP/IP CORRIGE

Réseaux 1. TP 1 - Configuration et tests TCP/IP CORRIGE I.U.T. de Nice Côte d Azur 2004-2005 Département Informatique Réseaux 1 TP 1 - Configuration et tests TCP/IP CORRIGE Objectif : examiner la configuration des réseaux TCP/IP de notre département, effectuer

Plus en détail

Informatique et gestion Sujet n 3

Informatique et gestion Sujet n 3 Informatique et gestion Sujet n 3 PROTOCOLE DHCP Ce sujet présente une description partielle et simplifiée du protocole DHCP. Pour une description complète, se reporter aux RFCs 2131, 2132 et 1542. Le

Plus en détail

ApTr. ApTr. Master Informatique 1ère année 1 er sem. ARES/NetArch 2012-2013. 1 Applications et transport (7 points) Anonymat : numéro à coller ICI

ApTr. ApTr. Master Informatique 1ère année 1 er sem. ARES/NetArch 2012-2013. 1 Applications et transport (7 points) Anonymat : numéro à coller ICI ApTr ApTr Justifiez vos réponses via les chronogrammes où il faut indiquer la taille des données et la fonctionnalité (Requête, Données ou Acquittement) du segment pour chaque transmission. 125o En série

Plus en détail

NE316 TP3 le protocole TFTP

NE316 TP3 le protocole TFTP 3 A EIS App NE316 TP3 le protocole TFTP 1. Préparation Comme le client TFTP n est pas installé sur le PC, on commence par le télécharger. Pour la suite, nous avons perdu toutes nos traces. Pour les refaire,

Plus en détail

Type d'attaques. Stéphane Gill. Stephane.Gill@CollegeAhuntsic.qc.ca. Introduction 2

Type d'attaques. Stéphane Gill. Stephane.Gill@CollegeAhuntsic.qc.ca. Introduction 2 Stéphane Gill Stephane.Gill@CollegeAhuntsic.qc.ca Table des matières Introduction 2 Les attaques d accès 2 Le sniffing 2 Les chevaux de Troie 3 Porte dérobée 3 L ingénierie sociale 3 Le craquage de mots

Plus en détail

NOTIONS FONDAMENTALES SUR LES RÉSEAUX CHAP. 2 MODÈLES OSI ET TCP/IP

NOTIONS FONDAMENTALES SUR LES RÉSEAUX CHAP. 2 MODÈLES OSI ET TCP/IP BTS I.R.I.S NOTIONS FONDAMENTALES SUR LES RÉSEAUX CHAP. 2 MODÈLES OSI ET TCP/IP G.VALET Nov 2010 Version 2.0 Courriel : genael.valet@diderot.org, URL : http://www.diderot.org 1 LE BESOIN D UN MODÈLE Devant

Plus en détail

GENERALITES. COURS TCP/IP Niveau 1

GENERALITES. COURS TCP/IP Niveau 1 GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Couche réseau du modèle OSI

Couche réseau du modèle OSI Chapitre 5 Exploration La couche Réseau IP - Page 1 sur 48 Couche réseau du modèle OSI Nous avons vu la manière dont les applications et services réseau d un périphérique final peuvent communiquer avec

Plus en détail

Agent relais DHCP II FONCTIONNEMENT D UN AGENT RELAIS

Agent relais DHCP II FONCTIONNEMENT D UN AGENT RELAIS Agent relais DHCP Un agent relais est un petit programme qui relaie les messages DHCP/BOOTP entre les clients et les serveurs de différents sous-réseaux. Les agents relais DHCP/BOOTP font partie des normes

Plus en détail

2011 Hakim Benameurlaine 1

2011 Hakim Benameurlaine 1 Table des matières 1 OUTILS D'ANALYSE ET DE DÉTECTION RÉSEAUX... 2 1.1 ethereal... 2 1.1.1 Installation... 2 1.1.2 Utilisation d'ethereal (sans X11)... 3 1.1.3 Utilisation d'ethereal (graphique)... 4 1.2

Plus en détail

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands

Plus en détail

Dynamic Host Configuration Protocol

Dynamic Host Configuration Protocol Dynamic Host Configuration Protocol 1 2 problèmes de gestion avec IP La Gestion des adresses IP Les adresses IP doivent être unique Nécessité d une liste d ordinateurs avec leurs adresses IP respectives

Plus en détail

Architecture client - serveur

Architecture client - serveur Le modèle client-serveur De nombreuses applications fonctionnent selon un environnement client-serveur, cela signifie que des machines clientes contactent un serveur, une machine généralement très puissante

Plus en détail

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad Outils d'analyse de la sécurité des réseaux HADJALI Anis VESA Vlad Plan Introduction Scanneurs de port Les systèmes de détection d'intrusion (SDI) Les renifleurs (sniffer) Exemples d'utilisation Conclusions

Plus en détail

Logiciel de capture de trames Ethernet : WIRESHARK

Logiciel de capture de trames Ethernet : WIRESHARK Logiciel de capture de trames Ethernet : WIRESHARK 1. Introduction Pour pouvoir analyser finement le trafic réseau, il existe des logiciels de capture de trames qui sont des outils qui permettent de récupérer

Plus en détail

Vulnérabilité des réseaux

Vulnérabilité des réseaux Plan du chapitre 1 Fonctionnement de TCP/IP Chapitre 5 Vulnérabilité des réseaux 2 Attaques par dénis de service 3 Usurpation d'adresses IP (IP spoong) 4 Espionnage de connexions (sning) 5 Vol de sessions

Plus en détail

Denial of Service and Distributed Denial of Service

Denial of Service and Distributed Denial of Service Denial of Service and Distributed Denial of Service Laurence Herbiet Christophe Boniver Benoit Joseph Xavier Seronveaux DoS Rappels Signature de l attaque DDoS Rappels Signature de l attaque Denial of

Plus en détail

Connexions distantes, assistance C-logik, (pré requis techniques)

Connexions distantes, assistance C-logik, (pré requis techniques) Expertise, performance et service www.c-logik.com Connexions distantes, assistance C-logik, (pré requis techniques) Ce document est destiné au seul usage interne de votre structure (page 1 sur 11) SOMMAIRE

Plus en détail

ETHERNET : MISE EN ŒUVRE DE RÉSEAUX ET DE PONT

ETHERNET : MISE EN ŒUVRE DE RÉSEAUX ET DE PONT 1/22 TP ETHERNET : MISE EN ŒUVRE DE RÉSEAUX ET DE PONT Le but de la première partie de cette manipulation est de câbler un réseau EThernet et de configurer un réseau IP. La deuxième partie du TP met en

Plus en détail

Mise en place du réseau LAN

Mise en place du réseau LAN Mise en place du réseau LAN Objectifs d apprentissage 1. Connaître la différence entre interfaces thernet avec et sans croisement. 2. Savoir choisir le bon câble UTP (doit, croisé) pour connecter les équipements.

Plus en détail

Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP Topologie Première partie (FTP) La première partie mettra l accent sur une capture TCP d une session FTP. Cette topologie

Plus en détail

Grenoble 1 Polytech Grenoble RICM 4 TP Interconnexions de réseaux P. Sicard Étude du protocole de routage OSPF (Open Shortest Path First)

Grenoble 1 Polytech Grenoble RICM 4 TP Interconnexions de réseaux P. Sicard Étude du protocole de routage OSPF (Open Shortest Path First) UFR IMA Informatique & Mathématiques Appliquées Grenoble 1 UNIVERSITE JOSEPH FOURIER Sciences, Technologie, Médecine Polytech Grenoble RICM 4 TP Interconnexions de réseaux P. Sicard Étude du protocole

Plus en détail

Cours #3 Les systèmes d exploitation

Cours #3 Les systèmes d exploitation IFT-6800, Automne 2015 Cours #3 Les systèmes d exploitation Louis Salvail André-Aisenstadt, #3369 salvail@iro.umontreal.ca Système d exploitation: C est quoi? Un système d exploitation (SE, OS en anglais)

Plus en détail

Les réseaux : Principes de fonctionnement d Internet

Les réseaux : Principes de fonctionnement d Internet Les réseaux : Principes de fonctionnement d Internet Table des matières 1. Le modèle TCP/IP... 2 2. Couche 1 ou couche physique... 3 3. Couche 2 ou couche liaison ou couche lien... 4 4. Couche 3 ou couche

Plus en détail

Rapport IN411 ESIEE PARIS TP DMZ / Firewall /Linux

Rapport IN411 ESIEE PARIS TP DMZ / Firewall /Linux Rapport IN411 ESIEE PARIS TP DMZ / Firewall /Linux Table des matières I. Câblage de la plate-forme étudiée...3 Partie Routeur...3 Partie DMZ...3 Partie LAN...3 II. Routage classique...4 Configuration des

Plus en détail

Projet Archi-Site GSB

Projet Archi-Site GSB 2012 Projet Archi-Site GSB MOLLE Bertrand, CABUY Déborah, ESTRADE Sébastien, PIPPO Alexis Section SIO - Jean Rostand Octobre 2012 Sommaire : I/ Cahier des charges II/ Modes opératoires 1 PfSense 2 FTP

Plus en détail

QUESTIONNAIRE N 1 SUR TCP/IP : GÉNÉRALITÉS

QUESTIONNAIRE N 1 SUR TCP/IP : GÉNÉRALITÉS QUESTIONNAIRE N 1 SUR TCP/IP : GÉNÉRALITÉS 1) Quelle est la signification de l'acronyme DOD IP? 2) Quel organisme est à l'origine de TCP/IP? 3) Quand a-t-il été inventé? 4) Dans quel but a-t-il été inventé?

Plus en détail

Master Informatique. Master Informatique 1ère année 1 er sem. Anonymat : Numéro à coller. Examen Réparti 1 : ARES 2010-2011

Master Informatique. Master Informatique 1ère année 1 er sem. Anonymat : Numéro à coller. Examen Réparti 1 : ARES 2010-2011 3. Lorsqu une alerte est interceptée sur le serveur web, l application doit envoyer un e-mail aux administrateurs des machines distantes concernées. (a) Pouvez vous rappeler le protocole applicatif utilisé

Plus en détail

Introduction. Adresses

Introduction. Adresses Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom

Plus en détail

TP2 Les ports logiciels

TP2 Les ports logiciels Manceau Vincent BTSS1 TP2 Les ports logiciels 1. Navigateur internet et serveur http. Obtenir une adresse IP automatiquement : Netstat : Affiche les connexions actives : Netstat sur eni.fr : Liste de connexions

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS. TP sur IP

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS. TP sur IP Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS TP sur IP L objectif de ce second TP est de vous faire comprendre : l adressage IP, la fragmentation IP le fonctionnement

Plus en détail

RÉSEAUX ET SÉCURITÉ INFORMATIQUES

RÉSEAUX ET SÉCURITÉ INFORMATIQUES RÉSEAUX ET SÉCURITÉ INFORMATIQUES MICKAËL CHOISNARD UNIVERSITÉ DE BOURGOGNE Cours MIGS 2 novembre 2015 INTRODUCTION La sécurité de ma machine, je m'en fous : y'a rien de précieux sur ma machine... personne

Plus en détail

TP Le Routage sous Windows 2003 Server

TP Le Routage sous Windows 2003 Server TP Le Routage sous Windows 2003 Server 1) Mise en place de l architecture réseau Pour ce TP, vous utiliserez les machines fonctionnant sous Windows serveur 2003 qui sont équipées de trois cartes réseau.

Plus en détail

Travaux Pratiques de Réseaux DUT 2 eme année

Travaux Pratiques de Réseaux DUT 2 eme année Travaux Pratiques de Réseaux DUT 2 eme année Copyright c Emmanuel Nataf Chapitre 1 Programmation réseaux 1.1 Communication avec UDP - package java.net Le but de ce TP est de réaliser deux programmes permettant

Plus en détail

INTERNET CONTROL MESSAGE PROTOCOL

INTERNET CONTROL MESSAGE PROTOCOL Issu de la RFC 792 INTERNET CONTROL MESSAGE PROTOCOL SPECIFICATIONS Crédits : Jon Postel / ISI Traduction : V.G. FREMAUX Simplification et ajouts pour utilisation élève : B. JEZEQUEL / Lycée La Providence

Plus en détail

Réseaux 29/09/11. M2 CSSI UdS 1. TCP/IP : «modèle Internet» TCP/IP : le modèle en couches. Application Transport Réseau Liaison

Réseaux 29/09/11. M2 CSSI UdS 1. TCP/IP : «modèle Internet» TCP/IP : le modèle en couches. Application Transport Réseau Liaison x 29/09/11 TCP/IP : «modèle Internet» But : Permettre à tout type d ordinateur, quel que soit le système d exploitation utilisé de pouvoir communiquer entre eux, à travers tout type de réseau Début des

Plus en détail

Approbations et relations entre contrôleurs de domaines dans un réseau étendu.

Approbations et relations entre contrôleurs de domaines dans un réseau étendu. NOTE DE SYNTHESE : Approbations et relations entre contrôleurs de domaines dans un réseau étendu. Page 1 sur 21 Sommaire Présentation de l entreprise :... 3 Son histoire:... 3 Infrastructure technique

Plus en détail

ArcGIS 10.1 et 10.2.x : guide de l utilisateur pour l installation et l autorisation

ArcGIS 10.1 et 10.2.x : guide de l utilisateur pour l installation et l autorisation ArcGIS 10.1 et 10.2.x : guide de l utilisateur pour l installation et l autorisation Le présent document décrit la marche à suivre pour télécharger et activer ArcGIS 10.1 et 10.2.x. Premier pas : Création

Plus en détail

Dynamic Host Configuration Protocol. F. Nolot

Dynamic Host Configuration Protocol. F. Nolot Dynamic Host Configuration Protocol F. Nolot 1 2 problèmes de gestion avec IP La Gestion des adresses IP Les adresses IP doivent être unique Nécessité d une liste d ordinateurs avec leurs adresses IP respectives

Plus en détail

Master Informatique 1ère année. Master Informatique 1ère année Collez votre autocollant ici : 1. Partiel 2006 U.E. ARES

Master Informatique 1ère année. Master Informatique 1ère année Collez votre autocollant ici : 1. Partiel 2006 U.E. ARES Collez votre autocollant ici : 1 1 que vous en colliez un sur la copie double et 5 autres sur les sujets (un sur chaque feuille dans la case en haut à gauche). 1 3. Complétez le tableau suivant avec les

Plus en détail

ETUDE DU PROTOCOLE TCP

ETUDE DU PROTOCOLE TCP TP Analyse de protocole ETUDE DU PROTOCOLE TCP Equipe Réseaux - 1 - 1. Travail préparatoire. Ouvrez une fenetre DOS et récupérer les informations suivantes : l adresse ip de votre machine? le masque de

Plus en détail

Nom : Prénom : Gr. : N étud. :

Nom : Prénom : Gr. : N étud. : Nom : Prénom : Gr. : N étud. : Master UPMC Informatique ère année Partiel 006 U.E. ARES Sujet version A Durée totale : h00 Une feuille A manuscrite : Autorisée Autres documents, calculatrices, téléphones

Plus en détail

CNAM PACA UE RSX112 Examen, session de Juin 2014

CNAM PACA UE RSX112 Examen, session de Juin 2014 CNAM PACA UE RSX112 Examen, session de Juin 2014 Tous les documents papier sont autorisés lors de l épreuve ainsi que la calculatrice. Question 1 / 2 points Etude d un protocole Voici comment est décrite

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

Projet de spécialité : Sensors networks : déploiement d un réseau de capteurs Documentation

Projet de spécialité : Sensors networks : déploiement d un réseau de capteurs Documentation Grenoble INP Juin 2012 Ensimag 2ème année Projet de spécialité : Sensors networks : déploiement d un réseau de capteurs Documentation Membres : SOUMARE Mouhamed TOLLARDO Thomas VIPRET Julien Documentation

Plus en détail

Animation sur IPv6 (novembre 2005) Our mission: make IPv6 the default IP protocol "We are on a mission from God" Elwood Blues

Animation sur IPv6 (novembre 2005) Our mission: make IPv6 the default IP protocol We are on a mission from God Elwood Blues Animation sur IPv6 (novembre ) Our mission: make IPv6 the default IP protocol "We are on a mission from God" Elwood Blues Grégory Colpart Plan Quelques rappels sur les réseaux TCP/IP

Plus en détail

SOMMAIRE. Introduction Organisation Les Axes d attaques. Planification du projet Social engineering. Dénis de service. Exploite Conclusion - 2 /28-

SOMMAIRE. Introduction Organisation Les Axes d attaques. Planification du projet Social engineering. Dénis de service. Exploite Conclusion - 2 /28- SOMMAIRE Introduction Organisation Les Axes d attaques Planification du projet Social engineering Dénis de service Exploite Conclusion - 2 /28- INTRODUCTION Sensibilisation à la sécurité des SI Approfondissement

Plus en détail

Les principales attaques d un réseau informatique

Les principales attaques d un réseau informatique Les principales attaques d un réseau informatique par Pierre SALAVERA Service Technique ACTN «Après la trêve estivale, nous sommes de retour pour un nouveau sujet de la rubrique «Le Coin du Tech»! Et aujourd

Plus en détail

Protocoles «Application»

Protocoles «Application» Protocoles «Application» POP3 (rappel) TFTP BOOTP DHCP 03/10/2007 Applications TCP/IP 1 Le protocole TFTP Trivial File Transfert Protocol Utilise UDP RFC 783 et RFC 1350 Permet uniquement le transfert

Plus en détail

Protocoles ARP & RARP

Protocoles ARP & RARP Protocoles ARP & RARP Enseignant: Omar Cheikhrouhou Omar Cheikhrouhou Références RFC 826 RFC 814 Cours Maher Ben jemaa (ENIS) Cours Bernard Cousin Introduction La transmission des datagrammes IP sur le

Plus en détail