Groupe Analyse REPORT du 14 oct 2004

Dimension: px
Commencer à balayer dès la page:

Download "Groupe Analyse REPORT du 14 oct 2004"

Transcription

1 Groupe Analyse REPORT du 14 oct 2004

2 I. Attaques recensées contre le serveur Web ( ) ATTAQUE CLASSIFICATION PRIORITE PORT VISE(TCP) NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE? SynSCAN Scan furtif Tous OUI SNMP request TCP Vol d information NON DDOS mstream client to handler Deni de service NON SNMP AgentX/tcp request Vol d information NON SNMP trap tcp Vol d information NON POLICY VNC server response OUI MISC MS Terminal server request RDP Deni de service OUI WEB-ATTACKS id command attempt Attaque web ? WEB-MISC whisker tab splice attack Vol d information ? WEB-MISC http directory traversal Vol d information ? WEB-MISC whisker space splice attack Vol d information ? DOS Cisco attempt Attaque web ? Ci dessous un graphique représentant la quantité d'attaques par port. Ports attaqués 2% 3% 3% 3% 3% 2% 2% port 80 port % port port 705 port 162 port 5900 port 3389 port 3389

3 II. Attaques recensées contre le serveur BD ( ) ATTAQUE CLASSIFICATION PRIORITE PORT VISE(TCP) NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE? SynSCAN Scan furtif Tous OUI SNMP AgentX/tcp request Vol d information ? SNMP trap tcp Vol d information ? DDOS mstream client to handler Deni de service ? SNMP request TCP Vol d information ? DNS named version attempt Vol d information ? WEB-IIS encoding Accès à une appli access web vulnérable ? WEB-ATTACKS id command attempt Attaque web ? WEB-MISC http directory traversal Vol d information ? NETBIOS SMB IPC$ share access ? Ci dessous un graphique représentant la quantité d'attaques par port sur la machine Ports attaqués 13% 13% 13% 7% 7% 47% port 53 port 80 port 139 port 161 port 162 port 705

4 III. Attaques recensées contre le poste client ( ) ATTAQUE CLASSIFICATION PRIORITE PORT VISE(TCP) NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE? SynSCAN Scan furtif Tous OUI POLICY VNC server response OUI SNMP trap tcp Vol d information ? SNMP request TCP Vol d information ? SNMP AgentX/tcp request Vol d information ? DDOS mstream client to handler Deni de service ? Ci dessous un graphique représentant la quantité d'attaques par port sur la machine Ports attaqués 29% 14% 14% 29% port 161 port 162 port 705 port 5900 port %

5 Groupe Analyse REPORT du 18 oct 2004

6 IV. Attaques recensées contre le serveur Web ( ) ATTAQUE CLASSIFICATION PRIORITE PORT VISE NETBIOS SMB share access NETBIOS SMB-DS DCERPC NTLMSSP asn1 overflow attempt NETBIOS SMB-DS Session Setup AndX request unicode username overflow attempt TOTAL tentative d appropriation de droits admin tentative d appropriation de droits admin PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE? 3 TCP 139 SMB NON 1 TCP 445 SMB TCP 445 SMB tentatives Ci dessous un graphique représentant la quantité d'attaques par port. Nombre d'attaques par port 62% 38% port 139 port 445

7 V. Attaques recensées contre le serveur BD ( ) ATTAQUE CLASSIFICATION PRIORITE PORT VISE NETBIOS SMB share access TOTAL PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE 3 TCP 139 SMB NON 3 tentatives

8 VI. Attaques recensées contre la machine (client) ATTAQUE CLASSIFICATION PRIORITE PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE SynScan Scan de ports furtif OUI SNMP request tcp Vol d information 2 TCP 161 SNMP NON SNMP trap tcp Vol d information 2 TCP 162 SNMP NON SNMP AgentX/tcp request Vol d information 2 TCP 705 SNMP NON NETBIOS SMB share access 3 TCP 139 SMB NON NETBIOS SMB-DS DCERPC NTLMSSP asn1 overflow attempt tentative d appropriation de droits admin 1 TCP 445 SMB NON NETBIOS SMB DCERPC NTLMSSP asn1 overflow attempt TOTAL tentative d appropriation de droits admin 1 TCP 139 SMB NON 135 tentatives Ci dessous un graphique représentant la quantité d'attaques par port sur la machine Nombre d'attaques par port 5% 5% 5% 40% port 139 port 445 port 161 port % port 705

9 Groupe Analyse REPORT du 21 oct 2004

10 VII. Attaques recensées contre le serveur Web ( ) OBSERVATIONS PROTOCOLE NB DE TENTATIVES IP ICMP Echo Reply ICMP (routeur)

11 VIII. Attaques recensées contre le serveur BD ( ) ATTAQUE CLASSIFICATION PRIORITE PORT VISE NETBIOS SMB share access TOTAL PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE 3 TCP 139 SMB NON 3 tentatives

12 IX. Attaques recensées contre la machine (client) ATTAQUE CLASSIFICATION PRIORITE PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE SynScan Scan de ports furtif OUI SNMP request tcp Vol d information 2 TCP 161 SNMP NON SNMP trap tcp Vol d information 2 TCP 162 SNMP NON SNMP AgentX/tcp request Vol d information 2 TCP 705 SNMP NON NETBIOS SMB share access 3 TCP 139 SMB NON NETBIOS SMB-DS DCERPC NTLMSSP asn1 overflow attempt tentative d appropriation de droits admin 1 TCP 445 SMB NON NETBIOS SMB DCERPC NTLMSSP asn1 overflow attempt TOTAL tentative d appropriation de droits admin 1 TCP 139 SMB NON 135 tentatives Ci dessous un graphique représentant la quantité d'attaques par port sur la machine Nombre d'attaques par port 5% 5% 5% 40% port 139 port 445 port 161 port % port 705

13 Groupe Analyse REPORT du 26 oct 2004 au 3 nov 2004

14 I. Activité du 26 octobre Attaques recensées contre (routeur inter vlan) ATTAQUE BUT? SNMP request udp SNMP public access udp SNMP missing community string attempt MS-SQL ping attempt SCAN Amanda client version request SNMP private access udp DNS named version attempt Recherche d une base MS-SQL PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT 161 SNMP SNMP SNMP Scan de ports SNMP Reconnaissance 53 DNS MISC xdmcp info query 177 UDP DNS named authors attempt SNMP trap udp MISC AFS access (spo_bo) Back Orifice Traffic detected SynScan MISC UPnP malformed advertisement Reconnaissance 53 DNS Accèe non autorisé Scan de ports furtif Deni de service ou accès non autorisé 162 SNMP UDP tous TCP UPnP TFTP Get 69 TFTP SNMP request tcp SNMP trap tcp 161 SNMP SNMP COMMENTAIRES L attaquant envoie un paquet sur le port 161 de udp et demon SNMP pour tenter une attaque SNMP v1 possede un champ community qui par défaut est public ou private sur beaucoup d implémentations. Une communication SNMP a été etablie sans nom de communauté. L attaquant semble avoir utilisé Nessus pour chercher l existence d'une base MS- SQL. SNMP v1 possede un champ community qui par défaut est public ou private sur beaucoup d implémentations. L attaquant a tenter de découvrir la version de BIND utilisée et donc de savoir si la machine heberge un serveur de nom. L attaquant tente de se connecter en XDMCP Cette attaque permet à l auteur de savor si la version de BIND utilisée est 9.x ou non. L attaquant envoie un trap et demon. AFS est un système de fichiers partagés utilisant des ACL. L attaquant a tenté d'accéder à AFS malgré ces ACL. L attaquant envoie des paquets TCP avec le flag SYN armé et attend une réponse de type SYN ACK pour connaître les ports ouverts. L attaquant utilise un exploit connu pour envoyer un Notify malformé qui va provoqué un buffer overflow. L attaquant envoie un paquet sur le port 161 de tcp et demon SNMP pour tenter une attaque. L attaquant envoie un trap et demon.

15 SNMP AgentX/tcp request Deni de service 705 SNMP TFTP GET passwd Reconnaissance 69 TFTP MISC source route lssr Informations sur la topologie du réseau MISC source route lssre ICMP PING NMAP Reconnaissance Tous ICMP DDOS shaft handler to agent DDOS TFN Probe DDOS Trin00 Master to Daemon default password attempt TFTP root directory DDOS mstream client to handler DDOS mstream handler ping to agent TFTP parent directory Deni de service distribué Deni de service distribué Deni de service distribué Execution de code ou vole de fichiers Deni de service distribué Deni de service distribué Execution de code ou vole de fichiers UDP UDP TFTP UDP UDP TFTP TOTAL 983 L attaquant peut essayer d utiliser un exploit connu et envoyé un paquet malformé pour tenter un deni de service ou l execution de code. Il semblerait que l attaquant ait essayé de scaner le réseau à la recherche de serveurs TFTP. L attaquant semble avoir tenté de découvrir la topologie du réseau en utilisant des outils comme traceroute. L attaquant a tenté avec des paquets routés par la source de modifier la configuration de la machine en termes de sourcerouting(exploit pour W9x et NT) L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. L attaquant a essayé de corrompre un host en le faisant devenir client TFN(tribal flood network) puis a tenté de communiquer avec lui. L attaquant a essayé de corrompre un host en lui plaçant un démon puis a tenté de communiquer avec ce démon(en utilisant un paquet udp port avec la chaîne "144adsl" dans le payload) pour lancer des attaques. L attaquant a essayé d utiliser un exploit dans TFTP qui peut permettre l'execution de code ou bien le vol de fichiers. L attaquant a essayé de corrompre un host en le faisant mstream handler puis a tenté de communiquer avec lui pour lancer des attaques. L attaquant a essayé de corrompre un host en le faisant mstream handler puis verifie si les autres agents sont actifs(en utilisant un paquet UDP port avec la chaine ping comme payload) L attaquant a essayé d utiliser un exploit dans TFTP qui peut permettre l'execution de code ou bien le vol de fichiers.

16 2. Statistiques des attaques contre (routeur inter vlan) Types d attaques : 1% 3%3% 9% 84% DDOS Scan Reconnaissance Autres Protocoles : 16% SNMP Autres 84%

17 3. Attaques recensées contre la machine (routeur) ATTAQUE BUT? SNMP request udp SNMP public access udp SNMP private access udp SCAN Amanda client version request PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT 161 SNMP SNMP SNMP Scan de ports ICMP PING NMAP Reconnaissance Tous ICMP SNMP missing community string attempt MS-SQL ping attempt DNS named version attempt SNMP trap udp (spo_bo) Back Orifice Traffic detected MISC UPnP malformed advertisement DNS named authors attempt Recherche d une base MS-SQL 161 SNMP Reconnaissance 53 DNS Deni de service ou accès non autorisé 162 SNMP UPnP Reconnaissance 53 DNS TFTP Get 69 TFTP SNMP request tcp SNMP trap tcp SNMP AgentX/tcp request MISC AFS access SynScan 161 SNMP SNMP Deni de service 705 SNMP Accèe non autorisé Scan de ports furtif 7001 UDP tous TCP COMMENTAIRES L attaquant envoie un paquet sur le port 161 de udp et demon SNMP pour tenter une attaque SNMP v1 possede un champ community qui par défaut est public ou private sur beaucoup d implémentations. SNMP v1 possede un champ community qui par défaut est public ou private sur beaucoup d implémentations. L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. Une communication SNMP a été etablie sans nom de communauté. L attaquant semble avoir utilisé Nessus pour chercher l existence d'une base MS- SQL. L attaquant a tenter de découvrir la version de BIND utilisée et donc de savoir si la machine heberge un serveur de nom. L attaquant envoie un trap et demon. L attaquant utilise un exploit connu pour envoyer un Notify malformé qui va provoqué un buffer overflow. Cette attaque permet à l auteur de savor si la version de BIND utilisée est 9.x ou non. L attaquant envoie un paquet sur le port 161 de tcp et demon SNMP pour tenter une attaque. L attaquant envoie un trap et demon. L attaquant peut essayer d utiliser un exploit connu et envoyé un paquet malformé pour tenter un deni de service ou l execution de code. AFS est un système de fichiers partagés utilisant des ACL. L attaquant a tenté d'accéder à AFS malgré ces ACL. L attaquant envoie des paquets TCP avec le flag SYN armé et attend une réponse de type SYN ACK pour connaître les ports ouverts.

18 TFTP GET passwd Reconnaissance 69 TFTP MISC source route lssr Informations sur la topologie du réseau MISC source route lssre MISC xdmcp info query 177 UDP DDOS shaft handler to agent DDOS TFN Probe DDOS Trin00 Master to Daemon default password attempt TFTP root directory DDOS mstream client to handler DDOS mstream handler ping to agent TFTP parent directory Deni de service distribué Deni de service distribué Deni de service distribué Execution de code ou vole de fichiers Deni de service distribué Deni de service distribué Execution de code ou vole de fichiers UDP UDP TFTP UDP UDP TFTP TOTAL 869 Il semblerait que l attaquant ait essayé de scaner le réseau à la recherche de serveurs TFTP. L attaquant semble avoir tenté de découvrir la topologie du réseau en utilisant des outils comme traceroute. L attaquant a tenté avec des paquets routés par la source de modifier la configuration de la machine en termes de sourcerouting(exploit pour W9x et NT) L attaquant tente de se connecter en XDMCP L attaquant a essayé de corrompre un host en le faisant devenir client TFN(tribal flood network) puis a tenté de communiquer avec lui. L attaquant a essayé de corrompre un host en lui plaçant un démon puis a tenté de communiquer avec ce démon(en utilisant un paquet udp port avec la chaîne "144adsl" dans le payload) pour lancer des attaques. L attaquant a essayé d utiliser un exploit dans TFTP qui peut permettre l'execution de code ou bien le vol de fichiers. L attaquant a essayé de corrompre un host en le faisant mstream handler puis a tenté de communiquer avec lui pour lancer des attaques. L attaquant a essayé de corrompre un host en le faisant mstream handler puis verifie si les autres agents sont actifs(en utilisant un paquet UDP port avec la chaine ping comme payload) L attaquant a essayé d utiliser un exploit dans TFTP qui peut permettre l'execution de code ou bien le vol de fichiers.

19 Types d attaques : 4. Statistiques des attaques contre % 11% 5% 3% 80% DDOS Scan Reconnaissance Autres Protocoles : 18% SNMP Autres 82% 5. Autres attaques Ce soir là nous avons également observé 14 ICMP redirect host avec comme adresse IP source : - 3 à destination de à destination de Ceci signifie que l attaque a tenté de se faire passer pour la machine (serveur DNS?) pour intercepter du trafic.

20 II. Attaques du 2 novembre 2004 ATTAQUE BUT? ICMP Redirect Host ICMP Redirect Host ICMP Redirect Host Interception du trafic Interception du trafic Interception du trafic PORT VISE PROTO COLE NB DE TENTATIVES TOTAL 105 IP DE L ATTAQUANT ICMP ICMP ICMP COMMENTAIRES L attaquant a tenté de se faire passer pour la machine (serveur DNS?) pour intercepter du trafic L attaquant a tenté de se faire passer pour la machine (serveur DNS?) pour intercepter du trafic L attaquant a tenté de se faire passer pour la machine (serveur DNS?) pour intercepter du trafic III. Attaques du 3 novembre Attaques recensées contre la machine (client XP) ATTAQUE BUT? BAD-TRAFFIC loopback traffic SNMP trap tcp SNMP AgentX/tcp request SNMP request tcp SNMP trap udp SNMP request udp PORT VISE PROTO COLE NB DE TENTATIVES DoS ou DoS Deni de service (DoS) ou DoS 162 SNMP SNMP SNMP 38 IP DE L ATTAQUANT Adresses Spoofées (adresses de loopback) Adresses Spoofées Adresses Spoofées Adresses Spoofées 162 SNMP SNMP ICMP PING NMAP Reconnaissance Tous ICMP DOS Bay/Nortel Nautica Marlin DoS 161 SNMP TOTAL COMMENTAIRES L attaquant a essayé d envoyer un très grand nombre de paquets( avec des adresses sources spoofées)au client. L attaquant envoie un trap et demon. Tentative de DoS L attaquant peut essayer d utiliser un exploit connu et envoyé un paquet malformé pour tenter un deni de service ou l execution de code. L attaquant envoie un paquet sur le port 161 de tcp et demon SNMP pour tenter une attaque. Tentative de DoS L attaquant envoie un trap et demon. L attaquant envoie un paquet sur le port 161 de udp et demon SNMP pour tenter une attaque L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. Si un pont Bay/Nortel Nautica Marlin recoit une cette requette il va etre mi hors d usage => DoS 2. Attaques recensées contre la machine (Serveur Web) ATTAQUE BUT? PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT (http_inspect) NON-RFC HTTP DELIMITER 80 HTTP TOTAL 86 COMMENTAIRES

21 3. Autres attaques ATTAQUE BUT? ICMP Redirect Host ICMP Redirect Host Interception du trafic Interception du trafic PORT VISE PROTO COLE NB DE TENTATIVES TOTAL 65 IP DE L ATTAQUANT ICMP ICMP COMMENTAIRES L attaquant a tenté de se faire passer pour la machine (serveur DNS?) pour intercepter du trafic L attaquant a tenté de se faire passer pour la machine (serveur DNS?) pour intercepter du trafic

22 Groupe Analyse REPORT du 8 nov 2004 au 12 nov 2004

23 IV. Activité du 8 novembre Attaques recensées contre (firewall) ATTAQUE BUT? NETBIOS SMB-DS Session Setup AndX request unicode username overflow attempt WEB-CGI perl.exe access Déni de service Execution de code Execution de code Accès non autorisé PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT 445 SMB HTTP ICMP PING NMAP Reconnaissance ICMP WEB-IIS *.idc attempt Execution de code 80 HTTP WEB-IIS newdsn.exe access WEB-IIS view source via translate header WEB-FRONTPAGE /_vti_bin/ access WEB-IIS fpcount access WEB-MISC queryhit.htm access WEB-MISC *%0a.pl access WEB-IIS perl access WEB-IIS perl-browse newline attempt WEB-CGI /cgi-bin/ access NETBIOS SMB-DS IPC$ share unicode access NETBIOS SMB-DS C$ share unicode access NETBIOS SMB-DS D$ share unicode access NETBIOS SMB-DS ADMIN$ share unicode access Création de fichier 80 HTTP Vol 80 HTTP Vol 80 HTTP Vol DoS Execution de code Vol Execution de code Vol Execution de code Vol Acces non autorisé Vol Acces non autorisé Vol Acces non autorisé Vol Acces non autorisé Vol Acces non autorisé Vol Acces non autorisé Vol Acces non autorisé 80 HTTP HTTP HTTP HTTP HTTP HTTP SMB SMB SMB SMB TOTAL 190 COMMENTAIRES L attaquant a tenté d utilisé un exploit connu pour executer du code sur la machine ou pour provoquer un DoS. Les systèmes visés par cette attaque sont ceux utilisant ISS RealSecure ou BlackICE L attaquant a tenté d utilisé le fait que certains serveurs http supportant des applis CGI sont vulnérables. L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. IIS supporte les fichiers de type *.idc et un exploit existe et permet l execution de code à distance. IIS 3.0 a une vulnérabilité connu et un attaquant peut en fabriquant une url créer une base access sur le serveur cible. IIS 5.0 a une vulnérabilité connu et un attaquant peut en fabriquant une url obtenir des informations. Cette attaque est une des nombreuses répertoriées contre Frontpage Server Extentions. Cette attaque est une des nombreuses répertoriées contre IIS. Exploitation d une faille connue Exploitation d une faille connue L attaquant a tenté d executer des script perl. Cette attaque est une des nombreuses répertoriées contre IIS. Tentatives d accès aux scripts CGI d un serveur Web Tentatives d accès aux partages réseaux Windows de la machine cible. Tentatives d accès aux partages réseaux Windows de la machine cible. Tentatives d accès aux partages réseaux Windows de la machine cible. Tentatives d accès aux partages réseaux Windows de la machine cible.

24 2. Statistiques des attaques contre (firewall) Protocoles : Nb de tentatives 8% 52% 40% SMB HTTP ICMP

25 3. Attaques recensées contre la machine (pot de miel) ATTAQUE BUT? PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT ICMP PING NMAP Reconnaissance ICMP SNMP trap tcp SNMP AgentX/tcp request SNMP request tcp ou DoS Deni de service (DoS) ou DoS 162 SNMP SNMP SNMP COMMENTAIRES L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. L attaquant envoie un trap et demon. Tentative de DoS L attaquant peut essayer d utiliser un exploit connu et envoyé un paquet malformé pour tenter un deni de service ou l execution de code. L attaquant envoie un paquet sur le port 161 de tcp et demon SNMP pour tenter une attaque. Tentative de DoS 4. Statistiques des attaques contre (pot de miel) Nb de tentatives 30% ICMP SNMP 70%

26 5. Attaques recensées contre la machine (routeur) ATTAQUE BUT? PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT ICMP PING NMAP Reconnaissance ICMP SNMP trap tcp SNMP AgentX/tcp request SNMP request tcp ou DoS Deni de service (DoS) ou DoS 162 SNMP SNMP SNMP COMMENTAIRES L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. L attaquant envoie un trap et demon. Tentative de DoS L attaquant peut essayer d utiliser un exploit connu et envoyé un paquet malformé pour tenter un deni de service ou l execution de code. L attaquant envoie un paquet sur le port 161 de tcp et demon SNMP pour tenter une attaque. Tentative de DoS 6. Statistiques des attaques contre Nb de tentatives 27% ICMP SNMP 73%

27 7. Attaques recensées contre la machine (client) ATTAQUE BUT? PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT ICMP PING NMAP Reconnaissance ICMP SNMP trap tcp SNMP AgentX/tcp request SNMP request tcp ou DoS Deni de service (DoS) ou DoS 162 SNMP SNMP SNMP COMMENTAIRES L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. L attaquant envoie un trap et demon. Tentative de DoS L attaquant peut essayer d utiliser un exploit connu et envoyé un paquet malformé pour tenter un deni de service ou l execution de code. L attaquant envoie un paquet sur le port 161 de tcp et demon SNMP pour tenter une attaque. Tentative de DoS 8. Statistiques des attaques contre (client) Nb de tentatives 25% 75% ICMP SNMP

28 9. Attaques recensées contre la machine (observation) ATTAQUE BUT? PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT ICMP PING NMAP Reconnaissance ICMP SNMP AgentX/tcp request SNMP request tcp Deni de service (DoS) ou DoS 705 SNMP SNMP COMMENTAIRES L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. L attaquant peut essayer d utiliser un exploit connu et envoyé un paquet malformé pour tenter un deni de service ou l execution de code. L attaquant envoie un paquet sur le port 161 de tcp et demon SNMP pour tenter une attaque. Tentative de DoS 10. Statistiques des attaques contre (observation) Nb de tentatives 33% 67% ICMP SNMP 11. Autres attaques Les attaquants ont lancé des PING NMAP en masse sur le réseau pour pouvoir obtenir une cartographie de celui-ci. L'attaque du 8 novembre est plutot une attaque de reconaissance pour identifier les machines et frapper ulterieurement.

29 V. Activité du 9 novembre Attaques recensées contre la machine (firewall) ATTAQUE BUT? PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT ICMP PING NMAP Reconnaissance ICMP COMMENTAIRES L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. 2. Attaques recensées contre la machine (pot de miel) ATTAQUE BUT? PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT ICMP PING NMAP Reconnaissance ICMP ICMP PING speedera DoS ICMP COMMENTAIRES L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. L attaquant envoie une grande quantité de pings pour tenter de provoquer un deni de service. Cette tentative a echouée car la machine a continué d emettre des paquets après l attaque.

30 Groupe Analyse REPORT du 26 oct 2004 au 3 nov 2004

31 VI. Activité du 26 octobre Attaques recensées contre (routeur inter vlan) ATTAQUE BUT? SNMP request udp SNMP public access udp SNMP missing community string attempt MS-SQL ping attempt SCAN Amanda client version request SNMP private access udp DNS named version attempt Recherche d une base MS-SQL PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT 161 SNMP SNMP SNMP Scan de ports SNMP Reconnaissance 53 DNS MISC xdmcp info query 177 UDP DNS named authors attempt SNMP trap udp MISC AFS access (spo_bo) Back Orifice Traffic detected SynScan MISC UPnP malformed advertisement Reconnaissance 53 DNS Accèe non autorisé Scan de ports furtif Deni de service ou accès non autorisé 162 SNMP UDP tous TCP UPnP TFTP Get 69 TFTP SNMP request tcp SNMP trap tcp 161 SNMP SNMP COMMENTAIRES L attaquant envoie un paquet sur le port 161 de udp et demon SNMP pour tenter une attaque SNMP v1 possede un champ community qui par défaut est public ou private sur beaucoup d implémentations. Une communication SNMP a été etablie sans nom de communauté. L attaquant semble avoir utilisé Nessus pour chercher l existence d'une base MS- SQL. SNMP v1 possede un champ community qui par défaut est public ou private sur beaucoup d implémentations. L attaquant a tenter de découvrir la version de BIND utilisée et donc de savoir si la machine heberge un serveur de nom. L attaquant tente de se connecter en XDMCP Cette attaque permet à l auteur de savor si la version de BIND utilisée est 9.x ou non. L attaquant envoie un trap et demon. AFS est un système de fichiers partagés utilisant des ACL. L attaquant a tenté d'accéder à AFS malgré ces ACL. L attaquant envoie des paquets TCP avec le flag SYN armé et attend une réponse de type SYN ACK pour connaître les ports ouverts. L attaquant utilise un exploit connu pour envoyer un Notify malformé qui va provoqué un buffer overflow. L attaquant envoie un paquet sur le port 161 de tcp et demon SNMP pour tenter une attaque. L attaquant envoie un trap et demon.

32 SNMP AgentX/tcp request Deni de service 705 SNMP TFTP GET passwd Reconnaissance 69 TFTP MISC source route lssr Informations sur la topologie du réseau MISC source route lssre ICMP PING NMAP Reconnaissance Tous ICMP DDOS shaft handler to agent DDOS TFN Probe DDOS Trin00 Master to Daemon default password attempt TFTP root directory DDOS mstream client to handler DDOS mstream handler ping to agent TFTP parent directory Deni de service distribué Deni de service distribué Deni de service distribué Execution de code ou vole de fichiers Deni de service distribué Deni de service distribué Execution de code ou vole de fichiers UDP UDP TFTP UDP UDP TFTP TOTAL 983 L attaquant peut essayer d utiliser un exploit connu et envoyé un paquet malformé pour tenter un deni de service ou l execution de code. Il semblerait que l attaquant ait essayé de scaner le réseau à la recherche de serveurs TFTP. L attaquant semble avoir tenté de découvrir la topologie du réseau en utilisant des outils comme traceroute. L attaquant a tenté avec des paquets routés par la source de modifier la configuration de la machine en termes de sourcerouting(exploit pour W9x et NT) L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. L attaquant a essayé de corrompre un host en le faisant devenir client TFN(tribal flood network) puis a tenté de communiquer avec lui. L attaquant a essayé de corrompre un host en lui plaçant un démon puis a tenté de communiquer avec ce démon(en utilisant un paquet udp port avec la chaîne "144adsl" dans le payload) pour lancer des attaques. L attaquant a essayé d utiliser un exploit dans TFTP qui peut permettre l'execution de code ou bien le vol de fichiers. L attaquant a essayé de corrompre un host en le faisant mstream handler puis a tenté de communiquer avec lui pour lancer des attaques. L attaquant a essayé de corrompre un host en le faisant mstream handler puis verifie si les autres agents sont actifs(en utilisant un paquet UDP port avec la chaine ping comme payload) L attaquant a essayé d utiliser un exploit dans TFTP qui peut permettre l'execution de code ou bien le vol de fichiers.

33 2. Statistiques des attaques contre (routeur inter vlan) Types d attaques : 1% 3%3% 9% 84% DDOS Scan Reconnaissance Autres Protocoles : 16% SNMP Autres 84%

34 3. Attaques recensées contre la machine (routeur) ATTAQUE BUT? SNMP request udp SNMP public access udp SNMP private access udp SCAN Amanda client version request PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT 161 SNMP SNMP SNMP Scan de ports ICMP PING NMAP Reconnaissance Tous ICMP SNMP missing community string attempt MS-SQL ping attempt DNS named version attempt SNMP trap udp (spo_bo) Back Orifice Traffic detected MISC UPnP malformed advertisement DNS named authors attempt Recherche d une base MS-SQL 161 SNMP Reconnaissance 53 DNS Deni de service ou accès non autorisé 162 SNMP UPnP Reconnaissance 53 DNS TFTP Get 69 TFTP SNMP request tcp SNMP trap tcp SNMP AgentX/tcp request MISC AFS access SynScan 161 SNMP SNMP Deni de service 705 SNMP Accèe non autorisé Scan de ports furtif 7001 UDP tous TCP COMMENTAIRES L attaquant envoie un paquet sur le port 161 de udp et demon SNMP pour tenter une attaque SNMP v1 possede un champ community qui par défaut est public ou private sur beaucoup d implémentations. SNMP v1 possede un champ community qui par défaut est public ou private sur beaucoup d implémentations. L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. Une communication SNMP a été etablie sans nom de communauté. L attaquant semble avoir utilisé Nessus pour chercher l existence d'une base MS- SQL. L attaquant a tenter de découvrir la version de BIND utilisée et donc de savoir si la machine heberge un serveur de nom. L attaquant envoie un trap et demon. L attaquant utilise un exploit connu pour envoyer un Notify malformé qui va provoqué un buffer overflow. Cette attaque permet à l auteur de savor si la version de BIND utilisée est 9.x ou non. L attaquant envoie un paquet sur le port 161 de tcp et demon SNMP pour tenter une attaque. L attaquant envoie un trap et demon. L attaquant peut essayer d utiliser un exploit connu et envoyé un paquet malformé pour tenter un deni de service ou l execution de code. AFS est un système de fichiers partagés utilisant des ACL. L attaquant a tenté d'accéder à AFS malgré ces ACL. L attaquant envoie des paquets TCP avec le flag SYN armé et attend une réponse de type SYN ACK pour connaître les ports ouverts.

35 TFTP GET passwd Reconnaissance 69 TFTP MISC source route lssr Informations sur la topologie du réseau MISC source route lssre MISC xdmcp info query 177 UDP DDOS shaft handler to agent DDOS TFN Probe DDOS Trin00 Master to Daemon default password attempt TFTP root directory DDOS mstream client to handler DDOS mstream handler ping to agent TFTP parent directory Deni de service distribué Deni de service distribué Deni de service distribué Execution de code ou vole de fichiers Deni de service distribué Deni de service distribué Execution de code ou vole de fichiers UDP UDP TFTP UDP UDP TFTP TOTAL 869 Il semblerait que l attaquant ait essayé de scaner le réseau à la recherche de serveurs TFTP. L attaquant semble avoir tenté de découvrir la topologie du réseau en utilisant des outils comme traceroute. L attaquant a tenté avec des paquets routés par la source de modifier la configuration de la machine en termes de sourcerouting(exploit pour W9x et NT) L attaquant tente de se connecter en XDMCP L attaquant a essayé de corrompre un host en le faisant devenir client TFN(tribal flood network) puis a tenté de communiquer avec lui. L attaquant a essayé de corrompre un host en lui plaçant un démon puis a tenté de communiquer avec ce démon(en utilisant un paquet udp port avec la chaîne "144adsl" dans le payload) pour lancer des attaques. L attaquant a essayé d utiliser un exploit dans TFTP qui peut permettre l'execution de code ou bien le vol de fichiers. L attaquant a essayé de corrompre un host en le faisant mstream handler puis a tenté de communiquer avec lui pour lancer des attaques. L attaquant a essayé de corrompre un host en le faisant mstream handler puis verifie si les autres agents sont actifs(en utilisant un paquet UDP port avec la chaine ping comme payload) L attaquant a essayé d utiliser un exploit dans TFTP qui peut permettre l'execution de code ou bien le vol de fichiers.

36 Types d attaques : 4. Statistiques des attaques contre % 11% 5% 3% 80% DDOS Scan Reconnaissance Autres Protocoles : 18% SNMP Autres 82% 5. Autres attaques Ce soir là nous avons également observé 14 ICMP redirect host avec comme adresse IP source : - 3 à destination de à destination de Ceci signifie que l attaque a tenté de se faire passer pour la machine (serveur DNS?) pour intercepter du trafic.

37 VII. Attaques du 2 novembre 2004 ATTAQUE BUT? ICMP Redirect Host ICMP Redirect Host ICMP Redirect Host Interception du trafic Interception du trafic Interception du trafic PORT VISE PROTO COLE NB DE TENTATIVES TOTAL 105 IP DE L ATTAQUANT ICMP ICMP ICMP COMMENTAIRES L attaquant a tenté de se faire passer pour la machine (serveur DNS?) pour intercepter du trafic L attaquant a tenté de se faire passer pour la machine (serveur DNS?) pour intercepter du trafic L attaquant a tenté de se faire passer pour la machine (serveur DNS?) pour intercepter du trafic VIII. Attaques du 3 novembre Attaques recensées contre la machine (client XP) ATTAQUE BUT? BAD-TRAFFIC loopback traffic SNMP trap tcp SNMP AgentX/tcp request SNMP request tcp SNMP trap udp SNMP request udp PORT VISE PROTO COLE NB DE TENTATIVES DoS ou DoS Deni de service (DoS) ou DoS 162 SNMP SNMP SNMP 38 IP DE L ATTAQUANT Adresses Spoofées (adresses de loopback) Adresses Spoofées Adresses Spoofées Adresses Spoofées 162 SNMP SNMP ICMP PING NMAP Reconnaissance Tous ICMP DOS Bay/Nortel Nautica Marlin DoS 161 SNMP TOTAL COMMENTAIRES L attaquant a essayé d envoyer un très grand nombre de paquets( avec des adresses sources spoofées)au client. L attaquant envoie un trap et demon. Tentative de DoS L attaquant peut essayer d utiliser un exploit connu et envoyé un paquet malformé pour tenter un deni de service ou l execution de code. L attaquant envoie un paquet sur le port 161 de tcp et demon SNMP pour tenter une attaque. Tentative de DoS L attaquant envoie un trap et demon. L attaquant envoie un paquet sur le port 161 de udp et demon SNMP pour tenter une attaque L attaquant a utilisé Nmap pour voir quels sont les hotes actifs du réseau. Si un pont Bay/Nortel Nautica Marlin recoit une cette requette il va etre mi hors d usage => DoS 2. Attaques recensées contre la machine (Serveur Web) ATTAQUE BUT? PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT (http_inspect) NON-RFC HTTP DELIMITER 80 HTTP TOTAL 86 COMMENTAIRES

38 3. Autres attaques ATTAQUE BUT? ICMP Redirect Host ICMP Redirect Host Interception du trafic Interception du trafic PORT VISE PROTO COLE NB DE TENTATIVES TOTAL 65 IP DE L ATTAQUANT ICMP ICMP COMMENTAIRES L attaquant a tenté de se faire passer pour la machine (serveur DNS?) pour intercepter du trafic L attaquant a tenté de se faire passer pour la machine (serveur DNS?) pour intercepter du trafic

39 RAPPORT DU 14 OCTOBRE 2004 I. Attaques recensées contre le serveur Web ( ) ATTAQUE CLASSIFICATION PRIORITE PORT VISE(TCP) NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE? SynSCAN Scan furtif Tous OUI SNMP request TCP Vol d information NON DDOS mstream client to handler Deni de service NON SNMP AgentX/tcp request Vol d information NON SNMP trap tcp Vol d information NON POLICY VNC server response OUI MISC MS Terminal server request RDP Deni de service OUI WEB-ATTACKS id command attempt Attaque web ? WEB-MISC whisker tab splice attack Vol d information ? WEB-MISC http directory traversal Vol d information ? WEB-MISC whisker space splice attack Vol d information ? DOS Cisco attempt Attaque web ? Ci dessous un graphique représentant la quantité d'attaques par port. Ports attaqués 2% 3% 3% 3% 3% 2% 2% port 80 port % port port 705 port 162 port 5900 port 3389 port 3389

40 X. Attaques recensées contre le serveur BD ( ) ATTAQUE CLASSIFICATION PRIORITE PORT VISE(TCP) NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE? SynSCAN Scan furtif Tous OUI SNMP AgentX/tcp request Vol d information ? SNMP trap tcp Vol d information ? DDOS mstream client to handler Deni de service ? SNMP request TCP Vol d information ? DNS named version attempt Vol d information ? WEB-IIS encoding Accès à une appli access web vulnérable ? WEB-ATTACKS id command attempt Attaque web ? WEB-MISC http directory traversal Vol d information ? NETBIOS SMB IPC$ share access ? Ci dessous un graphique représentant la quantité d'attaques par port sur la machine Ports attaqués 13% 13% 13% 7% 7% 47% port 53 port 80 port 139 port 161 port 162 port 705

41 XI. Attaques recensées contre le poste client ( ) ATTAQUE CLASSIFICATION PRIORITE PORT VISE(TCP) NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE? SynSCAN Scan furtif Tous OUI POLICY VNC server response OUI SNMP trap tcp Vol d information ? SNMP request TCP Vol d information ? SNMP AgentX/tcp request Vol d information ? DDOS mstream client to handler Deni de service ? Ci dessous un graphique représentant la quantité d'attaques par port sur la machine XII. Ports attaqués 29% 14% 14% 29% port 161 port 162 port 705 port 5900 port %

42 RAPPORT DU 18 OCTOBRE 2004 I..Attaques recensées contre le serveur Web ( ) ATTAQUE CLASSIFICATION PRIORITE PORT VISE NETBIOS SMB share access NETBIOS SMB-DS DCERPC NTLMSSP asn1 overflow attempt NETBIOS SMB-DS Session Setup AndX request unicode username overflow attempt TOTAL tentative d appropriation de droits admin tentative d appropriation de droits admin PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE? 3 TCP 139 SMB NON 1 TCP 445 SMB TCP 445 SMB tentatives Ci dessous un graphique représentant la quantité d'attaques par port. nombre d'attaques par port 67% 33% port 139 port 445

43 Et un autre graphique représentant le nombre d attaques par protocole Nombre d'attaque par protocole SMB 100%

44 II. Attaques recensées contre le serveur BD ( ) ATTAQUE CLASSIFICATION PRIORITE PORT VISE ICMP Destination Unreachable Fragmentation Needed and DF bit was set NETBIOS SMB share access TOTAL PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE 3 ICMP TCP 139 SMB NON 3 tentatives Ci dessous un graphique représentant la quantité d'attaques par protocole sur la machine Nombre d'attaque par protocole 33% 67% SMB ICMP

45 III. Attaques recensées contre le poste client ( ) Aucune attaque n a été portée contre le client. IV. Attaques recensées contre la machine ATTAQUE CLASSIFICATION PRIORITE PORT VISE PROTO COLE NB DE TENTATIVES IP DE L ATTAQUANT REUSSIE SynScan Scan de ports furtif OUI ICMP Destination Unreachable Fragmentation 3 ICMP Needed and DF bit was set SNMP request tcp Vol d information 2 TCP 161 SNMP NON SNMP trap tcp Vol d information 2 TCP 162 SNMP NON SNMP AgentX/tcp request Vol d information 2 TCP 705 SNMP NON NETBIOS SMB share access 3 TCP 139 SMB NON NETBIOS SMB-DS DCERPC NTLMSSP asn1 overflow attempt NETBIOS SMB DCERPC NTLMSSP asn1 overflow attempt TOTAL tentative d appropriation de droits admin tentative d appropriation de droits admin 1 TCP 445 SMB NON 1 TCP 139 SMB NON 135 tentatives Ci dessous un graphique représentant la quantité d'attaques par port sur la machine Nombre d'attaques par port 5% 5% 5% 40% port 139 port 445 port 161 port % port 705

46 Et un autre graphique représentant le nombre d attaques par protocole : Nombre d'attaque par protocole 2% 13% SMB ICMP SMTP 85%

47 Détails des failles déterminées par Snort Sources : WEB-IIS encoding access Message Résumé Impact! "# $# % & ' " Détail ( ' Systèmes Affectés )"# Scénarios d'attaque &( Facilité d'attaque & Modalité de reprise *("# %+ (, DNS named version attempt Message Résumé Impact Détail '- ( -' '- ( (.,% " -' '- Systèmes Affectés )'- Scénarios d'attaque Facilité d'attaque (& +(&% & /&( " -'( $/ 0"&(

48 Correctif -*, % Netbios SMB share Access Message Résumé Impact -,$ ( & &, $# %,1 Détail 2/, 3'145!))13 67( -( % Systèmes Affectés 8 Scénarios d'attaque Facilité d'attaque Correctif. ( "&%, 1+*&#- 9:;<= DOS Cisco attempt Message Résumé Impact Détail '> ( ' 9'=. ('0 (( '.,? 0 "&,/, Systèmes Affectés Facilité d'attaque %

49 Correctif * ", " (( WEB_MISC whisker space splice attack Message Résumé Détail 5,?? ( ' ( " (0, ' / (0 % ( / ( " #% "# ',? 0 Systèmes Affectés ) Scénarios d'attaque. ( /,?/ ( Facilité d'attaque! correctif * NETBIOS SMB-DS DCERPC NTLMSSP asn1 overflow attempt Message Résumé Impact -)>''12-)!2 :,#($- : /' "

50 Détail. &,#($- :.,? " (, # "# A "# $- :/0 ( 0 "#! / ( B' " Systèmes Affectés -) -)) CDDD E2 CDD; Facilité d'attaque!& Modalité de reprise $(*, NETBIOS SMB-DS Session Setup AndX request unicode username overflow attempt Message Résumé Impact Détail -)>' $ E( 1? /' ". & " &0, ( " ( $ -%;DD"!( " / ( (,# "#! /( B' "

51 Systèmes Affectés Scénarios d'attaque Facilité d'attaque 1-?F D/E2.CD :G,,CC < 1 F DE2.CD :H,,CC < 2 $E2.CD :G,,CC < 2 IE2.CC ;,,CC < 2 E2.: ;,,: F 1'?F D,,, 1'?; H,, 1I; H,, 1 "; H,,?22 ; H,,?2 ; H,,. ( & J&, Modalité de reprise $(*, WEB-MISC whisker tab splice attack Message Résumé Impact Détail,?? ( ' ( " (0, A(9/ &$,= (0 "(( 9/,?=&"' Systèmes Affectés )"# Scénarios d'attaque. ( /,?/ / " (.1!% I)KLMKL8)!M: D Facilité d'attaque! Correctif ( (0 "*(& 9 /, =/% 9 /, = WEB-MISC http directory traversal Message,"

52 Résumé Impact Détail ( " 1 & / "#!(", / (, (0 % & "#(0 ( "# Scénarios d'attaque. "" "/,,!& 0" &( Facilité d'attaque $ & & Correctif $(*, %+ Message Résumé Impact Détail Systèmes affectés Scénario Difficulté de l attaque Corrective Action MISC MS Terminal server request RDP )(1'29:N:OOF= # ( ( " ' "! ( '. ( ' CDDD$ 2C CDDD$ 2: CDDD$ CDDD' 2C CDDD' 2: CDDD' CDDD2C CDDD2: CDDD -))O D. ( ' " ( (,"D: DOD (#

53 WEB-ATTACKS id command attempt Message Résumé Impact Détail Scénario $))$P 9:N:;;;= ) # ) (, ( QR.-E( "# #,?(, B ( B(# # QR 9=!# ST%! Q R((,? $ /#, 8))2 ", :!( (08))2 ( &MMM&.1!(, C 0%, ;!( ST "(,,,, Facilité de l attaque (0, Correctif!,,(,

54 Port 161 et 162 => SNMP request TCP and Trap TCP : Vol d information Port 705 => SNMP AgentX/tcp request : vol d information Les vulnérabilités du protocole SNMP en terme de requêtes de la version 1 de SNMP autorisent les attaques distantes pouvant causer des dénis de service ou des vols (gain de privilèges) par l intermédiaire des messages GetRequest, GetNextRequest, et SetRequest. Les attaques distantes utilisent également le système d alertes SNMP (SNMP trap) pour causer les dénis de service et les gains de privilèges N.B : c est comme si la requête se fendait en plusieurs requêtes, une ou plusieurs requêtes pour les machines cibles. Ces messages SNM sont mis à jour lorsque les informations sont disponibles. L attaque distante envoie simplement une requête SNMP malformée au client SNMP créant ainsi un déni de service ou un vol d information. L appareil attaqué peu s éteindre ou nécessiter un redémarrage dans le cas d un déni de service. Les vulnérabilities des messages d alertes SNMP Les traps SNMP sont des messages envoyés depuis un agent vers les stations d administrations. Ils notifient l administrateur qu un évènement s est produit ou fournit des information sur l état de l agent. Les vulnerabilities du protocole SNMP sont reconnues exitantes au niveau du processus de décodage et d interprétation des traps d alertes. Ainsi les conséquences possibles sont le déni de service et l ouverture à d autres attaques pouvant compromettre les machines affectées. Microsoft a confirmé que les attaques distantes peuvent exécuter un code arbitraire sur les hôtes vulnérables si le service SNMP est activé. HP a confirmé que la majorité des traps causeront des crashs du logiciel de supervision Openview Network Node Manager. Port => DDOS mstream client to handler: déni de service Sur le système, on trouve un programme d attaque distribuée de déni de service d installer tel qu un maître, agent ou zombie. Par exemple (1) Trinoo, (2) Tribe Flood Network (TFN), (3) Tribe Flood Network 2000 (TFN2K), (4) stacheldraht, (5) mstream, ou (6) shaft. IDS111 "TROJAN-ACTIVE-BLA" Cet évènement indique qu un trojan connu opère sur l hôte. Ce n est pas un scan, mais un e connexion réussie. Cet évènement est spécifique à une tâche particulière mais la charge du paquet n est pas considérée comme une signature permettant de détecter l attaque. Le paquet a été transmis avec une session TCP correctement établie indiquant que l adresse IP source n a pas été dérobée. SI on utilise un parefeu qui supporte l inspection complète des états et qui n est pas vulnérable au séquençage de nombres d attaques, alors on peut certainement déduire que l adresse IP source est exacte. En effet il est indiqué que l émetteur attend ou désire une réponse à ces paquets (un acquittement) donc on est certain que l adresse IP source n a pas été volée. Il existe un rapport d incidents où le trafic autorisé peut causer une détection d intrusion au système, augmentant ainsi le

55 nombre de fausse alerte positive pour cet évènement Les détails suivants sont rapportés: La signature montre le port par défaut du trojan. Il est possibie qu un autre logiciel écoute sur le même port. GEN:SID 1:249 Message Rule résumé Impact Détails DDOS mstream client to handler alert tcp $EXTERNAL_NET any -> $HOME_NET (msg:"ddos mstream client to handler"; flow:stateless; flags:s,12; reference:arachnids,111; reference:cve, ; classtype:attempted-dos; sid:249; rev:8;) Cet évènement est généré quand un client DDoS mstream prend contact avec une base de traitement mstream. Severe. Si la source IP capture est sur notre réseau, ça peut être un client mstream. Si l adresse IP destination est sur notre réseau, ça peut être la machine de traitement mstream. Mstream DDoS utilise une structure d hôtes compromise pour coordonner et participer à la distribution d attaque de dénis de service. A un niveau supérieur, les clients communiquent avec les supports de traitement pour les informer du lancement des attaques. Un client peut contacter le support traitement en utilisant le packet TCP SYN à destination du port Systèmes infectés Un hôte mstream compromis. Scénarios d attaques Après qu un hôte ne devienne une base de traitement mstream, le client attend de rentrer en communication avec lui. Diificulté d attaque Simple. Le code mstream est facilement disponible. False Positives Le port légitime causera cette règle. Cette règle va générer aussi une fausse alerte positive si le port est sélectionné comme un port FTP. False Negatives Il existe d autres clients en adéquation avec le port Correctifs Analyser le serveur compromis pour en extraire les moyens de compromis. Reconstruire l hôte infecté. Configurer le parefeu pour bloquer le trafic inapproprié que le réseau afin d éviter d éventuelles infections d hôtes.

Groupe Analyse. Réalisé par : Master 2. Université Paul Sabatier de Toulouse. Novembre 2004

Groupe Analyse. Réalisé par : Master 2. Université Paul Sabatier de Toulouse. Novembre 2004 Master 2 Groupe Analyse Réalisé par : Arnaud Sébastien Bizouard Paul Delomier Yoann Esquié Jérôme Falguera Anne Laudic Sébastien Salvan Lydie Novembre 2004 Université Paul Sabatier de Toulouse Présentation

Plus en détail

Sécurité des réseaux Les attaques

Sécurité des réseaux Les attaques Sécurité des réseaux Les attaques A. Guermouche A. Guermouche Cours 2 : Les attaques 1 Plan 1. Les attaques? 2. Quelques cas concrets DNS : Failles & dangers 3. honeypot A. Guermouche Cours 2 : Les attaques

Plus en détail

Topologies et Outils d Alertesd

Topologies et Outils d Alertesd Topologies et Outils d Alertesd IDS / IDP DEFINITIONS IDS : SDI / Système de détection d intrusion IDP : SPI / Système de protection d intrusion IDS / IDP Statfull matriciels ACTIVITE IDP : Coupe circuit

Plus en détail

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion

S E C U R I N E T S C l u b d e l a s é c u r i t é i n f o r m a t i q u e I N S A T. Atelier IDS. Snort. Outil de Détection d intrusion Atelier IDS Snort Outil de Détection d intrusion Introduction Les systèmes de détection d intrusion ou IDS pour (Intrusion Detection System) sont indispensables pour la sécurité du réseau, ils permettent

Plus en détail

SOMMAIRE. Introduction Organisation Les Axes d attaques. Planification du projet Social engineering. Dénis de service. Exploite Conclusion - 2 /28-

SOMMAIRE. Introduction Organisation Les Axes d attaques. Planification du projet Social engineering. Dénis de service. Exploite Conclusion - 2 /28- SOMMAIRE Introduction Organisation Les Axes d attaques Planification du projet Social engineering Dénis de service Exploite Conclusion - 2 /28- INTRODUCTION Sensibilisation à la sécurité des SI Approfondissement

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

IDS snort. Rémi JACHNIEWICZ et Romain GEGOUT 6 décembre 2008

IDS snort. Rémi JACHNIEWICZ et Romain GEGOUT 6 décembre 2008 IDS snort Rémi JACHNIEWICZ et Romain GEGOUT 6 décembre 2008 1 Table des matières 1 Les différents IDS 3 1.1 Les NIDS (Network IDS ou IDS Réseau)..................... 3 1.2 Les HIDS (Host IDS ou IDS Machine)......................

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

TP 1.1.7 Utilisation des commandes ping et tracert à partir d une station de travail

TP 1.1.7 Utilisation des commandes ping et tracert à partir d une station de travail TP 1.1.7 Utilisation des commandes ping et tracert à partir d une station de travail Objectif Apprendre à utiliser la commande TCP/IP ping (Packet Internet Groper) à partir d une station de travail Apprendre

Plus en détail

Les Protocoles de Transport Introduction à l analyse de trames

Les Protocoles de Transport Introduction à l analyse de trames Les Protocoles de Transport Introduction à l analyse de trames telnet localhost 80 telnet localhost 80 Trying ::1 connected to localhost. Escape character is ^]. Demande de connexion du client Ouverture

Plus en détail

Exemple d intrusion dans un réseau

Exemple d intrusion dans un réseau Exemple d intrusion dans un réseau Cédric Blancher - blancher@cartel-info.fr Daniel Polombo - polombo@cartel-info.fr 11 décembre 2001 Plan 1 Introduction et présentation du réseau ciblé Pénétration du

Plus en détail

Linux sécurité des réseaux

Linux sécurité des réseaux Linux sécurité des réseaux Rappels et audits réseaux Frédéric Bongat (IPSL) Philippe Weill (SA) 1 Introduction Sécurité des réseaux sous Linux Les réseaux Audit réseau 2 3 TCP/IP : protocoles de communication

Plus en détail

Internet. PC / Réseau

Internet. PC / Réseau Internet PC / Réseau Objectif Cette présentation reprend les notions de base : Objectif, environnement de l Internet Connexion, fournisseurs d accès Services Web, consultation, protocoles Modèle en couches,

Plus en détail

Znets 2 : La maîtrise du trafic réseau de l entreprise

Znets 2 : La maîtrise du trafic réseau de l entreprise Znets 2 : La maîtrise du trafic réseau de l entreprise Thierry Descombes Laboratoire de Physique Subatomique et de Cosmologie 53 Avenue des Martyrs 38000 Grenoble Résumé Connaitre, comprendre et savoir

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS. TP sur IP

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS. TP sur IP Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS TP sur IP L objectif de ce second TP est de vous faire comprendre : l adressage IP, la fragmentation IP le fonctionnement

Plus en détail

Les Attaques en Réseau sous Linux

Les Attaques en Réseau sous Linux Les Attaques en Réseau sous Linux Plan Introduction Partie 1: ARP Spoofing Partie 2: Outils de simulation. Partie 3: Démonstration de l attaque.. Partie 4: Prévention et détection de l attaque. Partie

Plus en détail

TP 1 - Prise de contact avec Snort, scapy

TP 1 - Prise de contact avec Snort, scapy TP 1 - Prise de contact avec Snort, scapy 0. Initialisation du TP Installer les paquets python-scapy, snort, nmap. 1. Présentation de SNORT v2.8.5 La détection d intrusion consiste en un ensemble de techniques

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

SECURIDAY 2012 Pro Edition

SECURIDAY 2012 Pro Edition SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT SECURIDAY 2012 Pro Edition [Détection des alertes IDS/IPS] Chef Atelier : Mériem TOUMI(RT) Fatma GHARIANI (RT) Imène BELKHIR (RT) Insaf BEJAOUI (RT) Naim

Plus en détail

Chap.9: SNMP: Simple Network Management Protocol

Chap.9: SNMP: Simple Network Management Protocol Chap.9: SNMP: Simple Network Management Protocol 1. Présentation 2. L administration de réseau 3. Les fonctionnalités du protocole 4. Les messages SNMP 5. Utilisation de SNMP 1. Présentation En 1988, le

Plus en détail

Concepts de base de l Internet Protocol IPv4. Module 2

Concepts de base de l Internet Protocol IPv4. Module 2 Concepts de base de l Internet Protocol IPv4 Module 2 Objectifs Comprendre les bases du protocole IPv4 IPv4 Internet Protocol version 4 (IPv4) est la 4ème version du protocole d internet et la première

Plus en détail

Denial of Service and Distributed Denial of Service

Denial of Service and Distributed Denial of Service Denial of Service and Distributed Denial of Service Laurence Herbiet Christophe Boniver Benoit Joseph Xavier Seronveaux DoS Rappels Signature de l attaque DDoS Rappels Signature de l attaque Denial of

Plus en détail

Séminaire de détection d intrusions

Séminaire de détection d intrusions Buffer Overflow Université de Liège 2009-2010 Sommaire 1 Rappel de l attaque 2 Détections évidentes 3 Détections élaborées 4 Autres types d approches et améliorations 5 Analyse de signatures existantes

Plus en détail

Rappels réseaux TCP/IP

Rappels réseaux TCP/IP Rappels réseaux TCP/IP Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005: Firewall (1) 15 mai 2005 Diapositive N 1 /27 Au menu Modèle

Plus en détail

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1

Formation A2IMP. Acquisition d information sur les autres équipements du réseau. Frédéric Bongat IPSL Formation A2IMP 1 Formation A2IMP Acquisition d information sur les autres Frédéric Bongat IPSL Formation A2IMP 1 Idée : corréler des informations via d autres Informations de base Connaître l horodatage (date, heure) des

Plus en détail

Test d un système de détection d intrusions réseaux (NIDS)

Test d un système de détection d intrusions réseaux (NIDS) Test d un système de détection d intrusions réseaux (NIDS) La solution NETRANGER CISCO SECURE IDS Par l Université de Tours Thierry Henocque Patrice Garnier Environnement du Produit 2 éléments Le produit

Plus en détail

Halte aux hackers. 4 e édition. Stuart McClure Joel Scambray George Kurtz. Groupe Eyrolles, 2003, pour la présente édition, ISBN : 2-7464-0486-9

Halte aux hackers. 4 e édition. Stuart McClure Joel Scambray George Kurtz. Groupe Eyrolles, 2003, pour la présente édition, ISBN : 2-7464-0486-9 Halte aux hackers 4 e édition Stuart McClure Joel Scambray George Kurtz Groupe Eyrolles, 2003, pour la présente édition, ISBN : 2-7464-0486-9 Table des matières Préface....................................................

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling

INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling Gabriel Corvalan Cornejo Gaëtan Podevijn François Santy 13 décembre 2010 1 Modélisation et récolte d information du système 1.1 Information

Plus en détail

PROJET TRIBOX-2012-A

PROJET TRIBOX-2012-A PROJET TRIBOX-2012-A Auteur : Groupe Tutoriel d'installation et de configuration de Trixbox Membres du projet: GUITTON Jordan MORELLE Romain SECK Mbaye Gueye Responsable de la formation: MOTAMED Cina Client:

Plus en détail

Conception des réseaux Contrôle Continu 1

Conception des réseaux Contrôle Continu 1 NOM: PRENOM: Conception des réseaux Contrôle Continu 1 Durée : 2 heures Seuls les documents manuscrits ou distribués en cours sont autorisés. Les réponses doivent tenir dans l encadré prévu à cet effet

Plus en détail

RÉSEAUX ET SÉCURITÉ INFORMATIQUES

RÉSEAUX ET SÉCURITÉ INFORMATIQUES RÉSEAUX ET SÉCURITÉ INFORMATIQUES MICKAËL CHOISNARD UNIVERSITÉ DE BOURGOGNE Cours MIGS 2 novembre 2015 INTRODUCTION La sécurité de ma machine, je m'en fous : y'a rien de précieux sur ma machine... personne

Plus en détail

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ)

Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Travaux pratiques 8.4.2 Configuration des stratégies d accès et des paramètres de la zone démilitarisée (DMZ) Objectifs Se connecter au périphérique multi-fonction et afficher les paramètres de sécurité

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Etat des lieux de la sécurité dans Windows XP. Nicolas RUFF nicolas.ruff@edelweb.fr

Etat des lieux de la sécurité dans Windows XP. Nicolas RUFF nicolas.ruff@edelweb.fr Etat des lieux de la sécurité dans Windows XP Améliorations et écueils Nicolas RUFF nicolas.ruff@edelweb.fr page 1 Ordre du jour Authentification Réseau Stratégies de groupe Fichiers Noyau Support Autres

Plus en détail

Sensibilisation à la sécurité informatique

Sensibilisation à la sécurité informatique Sensibilisation à la sécurité informatique Michel Salomon IUT de Belfort-Montbéliard Département d informatique Michel Salomon Sécurité 1 / 25 Sensibilisation à la sécurité informatique Généralités et

Plus en détail

Introduction. Adresses

Introduction. Adresses Architecture TCP/IP Introduction ITC7-2: Cours IP ESIREM Infotronique Olivier Togni, LE2I (038039)3887 olivier.togni@u-bourgogne.fr 27 février 2008 L Internet est basé sur l architecture TCP/IP du nom

Plus en détail

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet

Sensibilisation à la Sécurité sur Internet. vulnérabilités sur Internet Sensibilisation à la Sécurité sur Internet Cours «2» : Menaces et Cours «2» : Menaces et vulnérabilités sur Internet Plan du cours Sécurité locale du PC Sécurité du réseau Sécurité de communication Outils

Plus en détail

Denial of Service Attacks JIHENE HERGLI (GL4) KHAOULA BLEL (RT4) MOHAMED MOADEB (MBDS) HADHEMI MATMATI (RT4)

Denial of Service Attacks JIHENE HERGLI (GL4) KHAOULA BLEL (RT4) MOHAMED MOADEB (MBDS) HADHEMI MATMATI (RT4) Denial of Service Attacks JIHENE HERGLI (GL4) KHAOULA BLEL (RT4) MOHAMED MOADEB (MBDS) HADHEMI MATMATI (RT4) Table des matières 1. Présentation de l atelier 2. Présentation des outils utilisés 2.1. Loic...

Plus en détail

DIGITAL NETWORK. Le Idle Host Scan

DIGITAL NETWORK. Le Idle Host Scan DIGITAL NETWORK Siège : 13 chemin de Fardeloup 13600 La Ciotat Siret : 43425494200015 APE : 722 Z www.digital network.org www.dnsi.info Laboratoires : 120 Avenue du Marin Blanc, ZI Les Paluds, 13685 Aubagne

Plus en détail

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation Objectif : Tout administrateur système et réseau souhaitant avoir une vision d'ensemble des problèmes de sécurité informatique et des solutions existantes dans l'environnement Linux. Prérequis : Connaissance

Plus en détail

Protection contre les menaces Prévention

Protection contre les menaces Prévention Protection contre les menaces Prévention Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Prévention Routeurs Pare-feu Systèmes de prévention d intrusion Conclusions Jean-Marc

Plus en détail

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité 1. Présentation Nmap est un outil open source d'exploration réseau et d'audit de sécurité, utilisé pour scanner de grands

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

1/ Introduction. 2/ Schéma du réseau

1/ Introduction. 2/ Schéma du réseau 1/ Introduction FWBuilder est un logiciel-libre multi-plateforme qui permet de créer ses propres pare-feux et les utiliser sur différents SE ou sur du matériel informatique. Objectif : Créer un pare-feu

Plus en détail

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3

Sécurité informatique : Sécurité dans un monde en réseau. Explosion des connexions à internet 2. ... Mais c est pas tout! 3 Sécurité informatique : Matthieu Amiguet 2006 2007 Explosion des réseaux Explosion des connexions à internet 2 En 1990, environ 320 000 hôtes étaient connectées à internet Actuellement, le chiffre a dépassé

Plus en détail

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49 Filtrage dynamique Linux noyau >= 2.4 netfilter : Iptables Cisco propose les CBAC (IOS Firewall) *BSD avec IPFilter Packet filter Beaucoup de Pare Feu utilise du filtrage dynamique Principe Fonctionnement

Plus en détail

Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog

Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog Travaux pratiques 8.5.2 : configuration des listes de contrôle d accès et enregistrement de l activité dans un serveur Syslog Nom de l hôte Adresse IP Fast Ethernet 0/0 Adresse IP Serial 0/0/0 Routeur

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Jonathan BLANC David GERBAULET Julien MANUEL David NEMBROT Simon PACHY Dimitri TSIOPOULOS

Jonathan BLANC David GERBAULET Julien MANUEL David NEMBROT Simon PACHY Dimitri TSIOPOULOS Jonathan BLANC David GERBAULET Julien MANUEL David NEMBROT Simon PACHY Dimitri TSIOPOULOS SOMMAIRE Le projet Candide SA Contexte Objectifs Organisation C.A.S.T.R.I Déploiement des outils d audit Synthèse

Plus en détail

Travaux pratiques : configuration du protocole SNMP

Travaux pratiques : configuration du protocole SNMP Topologie Table d adressage Objectifs Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut R1 G0/1 192.168.1.1 255.255.255.0 N/A S0/0/0 192.168.2.1 255.255.255.252 N/A R2 S0/0/0

Plus en détail

Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security

Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security Compromettre son réseau en l auditant? R. Deraison - Tenable Network Security Agenda But de cette présentation Injection de vulnérabilités Empecher l audit Obtention des identifiants Reverse overflow Présentation

Plus en détail

Figure 1a. Réseau intranet avec pare feu et NAT.

Figure 1a. Réseau intranet avec pare feu et NAT. TD : Sécurité réseau avec Pare Feu, NAT et DMZ 1. Principes de fonctionnement de la sécurité réseau Historiquement, ni le réseau Internet, ni aucun des protocoles de la suite TCP/IP n était sécurisé. L

Plus en détail

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3) Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3) Table des matières 1. Présentation de l atelier... 2 2. Présentation des outils utilisés... 2 a. GNS3

Plus en détail

TCP/IP, NAT/PAT et Firewall

TCP/IP, NAT/PAT et Firewall Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.

Plus en détail

Document réponse 1 : Installation des PC en réseau

Document réponse 1 : Installation des PC en réseau Réseau TCP-IP TP Réseau n Nom : Classe : Prénom : Groupe : PROBLEMATIQUE Configurer un serveur http sur un des postes d un réseau local (LAN). Déployer un site web et le mettre à jour avec un logiciel

Plus en détail

Utilisation de ports différents Utilisation de plusieurs adresses IP Utilisation de «host header»

Utilisation de ports différents Utilisation de plusieurs adresses IP Utilisation de «host header» Les sites multiples Utilisation de ports différents Utilisation de plusieurs adresses IP Utilisation de «host header» L exploration de dossier (directory browsing) Dossiers réguliers (folders) vs dossiers

Plus en détail

ETUDE DU PROTOCOLE IP

ETUDE DU PROTOCOLE IP TP Analyse de protocole ETUDE DU PROTOCOLE IP Equipe Réseaux - 1 - 1. Travail préparatoire Quelle est l adresse mac de votre machine? Quelle est l adresse ip de votre machine? Quel est le masque de réseaux?

Plus en détail

Detescan Un outil de génération de rapports de scan depuis les logs issus d'un routeur ou d un pare-feu

Detescan Un outil de génération de rapports de scan depuis les logs issus d'un routeur ou d un pare-feu Detescan Un outil de génération de rapports de scan depuis les logs issus d'un routeur ou d un pare-feu Denis Pugnère Institut de Génétique Humaine CNRS Montpellier Présentation Outil de détection de scans

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez D-6428 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez M-3109 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Chapitre 1 Comment se connecter à Internet... 13

Chapitre 1 Comment se connecter à Internet... 13 Chapitre 1 Comment se connecter à Internet... 13 1.1 Adresse IP permanente ou temporaire... 16 1.2 Débit d une connexion... 16 1.3 Utilisation occasionnelle (RTC, Numéris)... 20 RTC... 20 RNIS... 24 1.4

Plus en détail

Travaux pratiques 8.5.1 : configuration de listes de contrôle d accès et vérification avec la journalisation de console

Travaux pratiques 8.5.1 : configuration de listes de contrôle d accès et vérification avec la journalisation de console Travaux pratiques 8.5.1 : configuration de listes de contrôle d accès et vérification avec la journalisation de console Périphérique Nom de l hôte Adresse IP de l interface FastEthernet 0/0 Adresse IP

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Enoncé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre Table des matières 1 Simulateur : Nat/Pat et firewall 2 Exercice 1 (Simulation Nat/Pat et firewall).................................

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

DESS TEXTE. Outils informatiques 5. HTML et le protocole HTTP p.1

DESS TEXTE. Outils informatiques 5. HTML et le protocole HTTP p.1 Outils informatiques 5. HTML et le protocole HTTP DESS TEXTE Outils informatiques 5. HTML et le protocole HTTP p.1 Introduction But du cours : récupérer automatiquement des données accessibles sur le web

Plus en détail

Indicateur et tableau de bord

Indicateur et tableau de bord Agenda Indicateur et tableau de bord «La sécurité n est pas une destination mais un voyage» 1. Jean-François DECHANT & Philippe CONCHONNET jfdechant@exaprobe.com & pconchonnet@exaprobe.com +33 (0) 4 72

Plus en détail

Internal Hacking et contre-mesures en environnement Windows Piratage interne, mesures de protection, développement d'outils

Internal Hacking et contre-mesures en environnement Windows Piratage interne, mesures de protection, développement d'outils Introduction 1. Préambule 15 2. Décryptage d une attaque réussie 17 3. Décryptage de contre-mesures efficaces 18 3.1 Analyse de risques réels 18 3.2 Considérations techniques 19 3.3 Considérations de la

Plus en détail

LAN GUIDE D'INSTALLATION 4148996V/A 03/06/2010 ORIG0424-1

LAN GUIDE D'INSTALLATION 4148996V/A 03/06/2010 ORIG0424-1 LAN GUIDE D'INSTALLATION 4148996V/A 03/06/2010 ORIG0424-1 4148996V/A - 03/06/2010 4148996V/A 03/06/2010 ORIG0424-4 Procédure d'installation du LAN Les systèmes d affranchissement de la série IS ont la

Plus en détail

Travaux pratiques 2.6.2 : Utilisation de Wireshark pour afficher des unités de données de protocole

Travaux pratiques 2.6.2 : Utilisation de Wireshark pour afficher des unités de données de protocole pour afficher des unités de données de protocole Objectifs pédagogiques Expliquer l objectif d un analyseur de protocoles (Wireshark) Exécuter une capture de base des unités de données de protocole (PDU)

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

Formation Technicien Intervention Client Module N 20b utilisation professionnel du routeur NAT avec l utilitaire VNC.

Formation Technicien Intervention Client Module N 20b utilisation professionnel du routeur NAT avec l utilitaire VNC. 1. Définition : VNC signifie Virtual Network Computing. Cela permet de se connecter à une machine distante de sa propre machine, comme telnet, mais à la différence que vous êtes sous l'interface graphique

Plus en détail

IPv6. Gaël BEAUQUIN. 19 septembre 2013. Intervenant l mentions légales.

IPv6. Gaël BEAUQUIN. 19 septembre 2013. Intervenant l mentions légales. IPv6 Gaël BEAUQUIN 19 septembre 2013 Intervenant l mentions légales. Pourquoi passer à IPv6? P. 01 - Depuis des années on évoque le spectre de l épuisement d adresses IPv4 - Le 3 février 2011, l IANA attribue

Plus en détail

IP - ICMP - UDP - TCP

IP - ICMP - UDP - TCP Encapsulation Ethernet IP ICMP TCP UDP IP - ICMP - UDP - TCP Université de Cergy-Pontoise 2006 2007 Encapsulation Ethernet IP ICMP TCP UDP Plan 1 Encapsulation 2 Ethernet 3 IP Datagramme

Plus en détail

Notice du LiveCD Spécialité Réseaux

Notice du LiveCD Spécialité Réseaux Notice du LiveCD Spécialité Réseaux 21 2 Ethereal : Ethereal est un sniffer de réseau, il capture les trames circulant sur le réseau, en permet l'analyse et sépare suivant l'encapsulation les différnetes

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Analyse spectrale d outils classiques de Déni de Service Distribués

Analyse spectrale d outils classiques de Déni de Service Distribués Analyse spectrale d outils classiques de Déni de Service Distribués GALLON Laurent - AUSSIBAL Julien Université de Pau et des Pays de l Adour LIUPPA/CSYSEC http://csysec.univ-pau.fr Laurent.gallon@univ-pau.fr

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2008-2009 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Autorisés Note : Ce sujet comporte deux parties. La partie A est une étude

Plus en détail

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch Bernard Boutherin Benoit Delaunay Cahiers de l Admin Linux Sécuriser un réseau 3 e édition Collection dirigée par Nat Makarévitch Groupe Eyrolles, 2003, 2004, 2007, ISBN : 2-212-11960-7, ISBN 13 : 978-2-212-11960-2

Plus en détail

Outils de Sécurité Réseau

Outils de Sécurité Réseau Outils de Sécurité Réseau SNORT Système de détection d intrusion CR150 - TP#1 Nom & Prénom : KHALID MOKRINI Matricule d étudiant : 1566527 Date : 11.02.2015 1) Présentation Générale des IDS 2) SNORT -

Plus en détail

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014 École Supérieure d Économie Électronique Chap 9: Composants et systèmes de sécurité 1 Rhouma Rhouma 21 Juillet 2014 2 tagging et port trunk Création des via les commandes sur switch cisco 1 / 48 2 / 48

Plus en détail

FICHE n 1 : Configuration des paramètres IP sous Linux SUSE 11.2

FICHE n 1 : Configuration des paramètres IP sous Linux SUSE 11.2 FICHE n 1 : Configuration des paramètres IP sous Linux SUSE 11.2 Cliquer sur «Ordinateur» puis «Yast», pour ouvrir le centre de contrôle YaST du serveur. Cliquer sur «Périphérique réseau» puis «Paramètres

Plus en détail

I. Premier partie Nmap. 1- Topologie: Nous allons faire un scan sur le Site de Acf 2i. C est une société où j ai effectué un stage pendant six mois.

I. Premier partie Nmap. 1- Topologie: Nous allons faire un scan sur le Site de Acf 2i. C est une société où j ai effectué un stage pendant six mois. 1 I. Premier partie Nmap Nous allons faire un scan sur le Site de Acf 2i. C est une société où j ai effectué un stage pendant six mois. 1- Topologie: 2 2- Sortie nmap Dans cette image nous voyons bien

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

MISE EN PLACE DU FIREWALL SHOREWALL

MISE EN PLACE DU FIREWALL SHOREWALL MISE EN PLACE DU FIREWALL SHOREWALL I INTRODUCTION Administrateur réseau dans une petite entreprise, vous devez, suite à la mise en place d une ligne ADSL, offrir l accès à l internet à tous les utilisateurs

Plus en détail

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs

Plus en détail

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1 Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1 Topologie Table d'adressage Périphérique Interface Adresse IP Masque de sous-réseau Passerelle par défaut R1 Objectifs

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Corrigé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre 1 Simulateur : Nat/Pat et firewall Corrigé de l exercice 1 (Simulation Nat/Pat et firewall) Les fichiers xml contenant les

Plus en détail

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013

DHCP et NAT. Cyril Rabat cyril.rabat@univ-reims.fr. Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 2012-2013 DHCP et NAT Cyril Rabat cyril.rabat@univ-reims.fr Master 2 ASR - Info09115 - Architecture des réseaux d entreprise 22-23 Cours n 9 Présentation des protocoles BOOTP et DHCP Présentation du NAT Version

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 69 Audit et Sécurité Informatique Chap 2: Firewall et Règles de Filtrage ACL Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2 / 69 Plan

Plus en détail

Introduction. UDP et IP UDP

Introduction. UDP et IP UDP Introduction Protocoles TCP et UDP M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) assurent

Plus en détail

Session Novembre 2004

Session Novembre 2004 OFPPT Office de la Formation Professionnelle et de la Promotion du Travail Direction Recherche et Ingénierie de la Formation Correction EFF Session Juillet 2012 Filière : Techniques des Réseaux Informatiques

Plus en détail

2011 Hakim Benameurlaine 1

2011 Hakim Benameurlaine 1 Table des matières 1 OUTILS D'ANALYSE ET DE DÉTECTION RÉSEAUX... 2 1.1 ethereal... 2 1.1.1 Installation... 2 1.1.2 Utilisation d'ethereal (sans X11)... 3 1.1.3 Utilisation d'ethereal (graphique)... 4 1.2

Plus en détail

Document réponse 2 : Connexion de la caméra IP à un PC (point à point)

Document réponse 2 : Connexion de la caméra IP à un PC (point à point) CORRECTION du TP2 TCP-IP Document réponse 1 : Généralités sur la caméra IP Wanscam Q1) Une caméra IP est autonome. Elle se connecte au réseau par un port Ethernet ou en wifi. Q2) Caractéristiques de la

Plus en détail

Securite. (au 13/05/2002)

Securite. (au 13/05/2002) Securite Les 13 failles de Windows XP les plus dangereuses et leurs parades (au 13/05/2002) Arnaud Dumont et Samuel Petit Lundi 13 Mai 2002 Table des matières 1 Introduction 3 2 Windows XP, en réseau 4

Plus en détail

Introduction. Licence MASS L3 Inf f3

Introduction. Licence MASS L3 Inf f3 Le modèle client serveur Introduction Licence MASS L3 Inf f3 Encapsulation : rappel Données Données Application En-tête En-tête Transport UDP Données TCP Données Paquet UDP Segment TCP En-tête IP Données

Plus en détail

Sommaire. Présentation de l équipe. Analyse session par session. Zooms. Bilan

Sommaire. Présentation de l équipe. Analyse session par session. Zooms. Bilan Projet Sécurité Amandine Bonansea Emmanuelle Gardères Jean-Charles Fesantieu Edouard Jouen Nicolas Omari Guillaume Pujol Julien Reveret Alain Zarragoza 21-12-2006 Sommaire Présentation de l équipe Analyse

Plus en détail