L'IP spoofing est tout sauf une légende urbaine, c'est d'ailleurs cette
technique (entre autres) qui a été utilisée par Kevin Mitnick lors de sa
célèbre attaque contre les ordinateurs de Tsutomu Shimomura (usurpation IP +
SYN flooding + prédiction des numéros de séquence TCP).
L'IP spoofing est tout sauf une légende urbaine, c'est d'ailleurs cette
technique (entre autres) qui a été utilisée par Kevin Mitnick lors de sa
célèbre attaque contre les ordinateurs de Tsutomu Shimomura (usurpation IP +
SYN flooding + prédiction des numéros de séquence TCP).
L'IP spoofing est tout sauf une légende urbaine, c'est d'ailleurs cette
technique (entre autres) qui a été utilisée par Kevin Mitnick lors de sa
célèbre attaque contre les ordinateurs de Tsutomu Shimomura (usurpation IP +
SYN flooding + prédiction des numéros de séquence TCP).
Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
voulant absolument rentrer sur la machine fera un scan de port
systématique avec analyse du service qui répond, or une telle personne
finirait de toute façon par comprendre ton mécanisme d'ouverture de
fenêtre.
Si tu paramètre correctement ton port-knocking j'en doute!
pour les logs mettre ssh ailleurs que sur le 22/TCP c'est clairement
mieux. Par contre les deux solutions présentées ici ont le même défaut
qui peut être rédhibitoire : en "extérieur" certains opérateurs ne
laissent passer que certains ports, assez souvent 22 à ma grande joie
d'ailleurs, mais en en bloquent d'autre. Quand tu as besoin de ton ssh le
changement de port n'est pas la panacée en ce cas.
Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
voulant absolument rentrer sur la machine fera un scan de port
systématique avec analyse du service qui répond, or une telle personne
finirait de toute façon par comprendre ton mécanisme d'ouverture de
fenêtre.
Si tu paramètre correctement ton port-knocking j'en doute!
pour les logs mettre ssh ailleurs que sur le 22/TCP c'est clairement
mieux. Par contre les deux solutions présentées ici ont le même défaut
qui peut être rédhibitoire : en "extérieur" certains opérateurs ne
laissent passer que certains ports, assez souvent 22 à ma grande joie
d'ailleurs, mais en en bloquent d'autre. Quand tu as besoin de ton ssh le
changement de port n'est pas la panacée en ce cas.
Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
voulant absolument rentrer sur la machine fera un scan de port
systématique avec analyse du service qui répond, or une telle personne
finirait de toute façon par comprendre ton mécanisme d'ouverture de
fenêtre.
Si tu paramètre correctement ton port-knocking j'en doute!
pour les logs mettre ssh ailleurs que sur le 22/TCP c'est clairement
mieux. Par contre les deux solutions présentées ici ont le même défaut
qui peut être rédhibitoire : en "extérieur" certains opérateurs ne
laissent passer que certains ports, assez souvent 22 à ma grande joie
d'ailleurs, mais en en bloquent d'autre. Quand tu as besoin de ton ssh le
changement de port n'est pas la panacée en ce cas.
devait dire quelque chose
comme ceci :L'IP spoofing est tout sauf une légende urbaine, c'est d'ailleurs cette
technique (entre autres) qui a été utilisée par Kevin Mitnick lors de sa
célèbre attaque contre les ordinateurs de Tsutomu Shimomura (usurpation IP +
SYN flooding + prédiction des numéros de séquence TCP).
Sauf que ce que tu décris là n'est pas une attaque à proprement parler
mais un scan de port. S'il y a un service TCP en écoute sur le port, il
essayera de répondre à la poigné de main. La machine dont l'adresse IP
a été usurpée n'ayant aucune trace d'une tentative de connexion en cour
répondra d'un RST ce qui incrémentera le numéro de séquence TCP.
Si la
pile IP n'a pas une forte randomisation du numéro de séquence TCP il
suffit donc (façon de parler puisqu'il faut aussi prédire le numéro de
séquence) d'interroger le port de l'hôte usurpé, avant et après le
scan. Si le numéro de séquence a été incrémenté deux fois, c'est que le
RST a effectivement été envoyé et donc que le port est ouvert.
Par contre j'ai d'énormes doutes concernant la paternité de Mitnick,
vue que ce scan n'a été intégré à nmap qu'au environ de 2002 si ma
mémoire est bonne.
Dans le cadre d'une véritable attaque, l'IP spoofing nécessite d'avoir
le controle sur, au choix, le routeur situé avant la cible ou celui
situé avant la machine dont l'adresse IP est usurpée. Autrement les
paquets arriveront fort logiquement sur la machine usurpée et
l'usurpation ne servirait à rien.
bruno.treguier_at_shom.fr@nullepart.invalid devait dire quelque chose
comme ceci :
L'IP spoofing est tout sauf une légende urbaine, c'est d'ailleurs cette
technique (entre autres) qui a été utilisée par Kevin Mitnick lors de sa
célèbre attaque contre les ordinateurs de Tsutomu Shimomura (usurpation IP +
SYN flooding + prédiction des numéros de séquence TCP).
Sauf que ce que tu décris là n'est pas une attaque à proprement parler
mais un scan de port. S'il y a un service TCP en écoute sur le port, il
essayera de répondre à la poigné de main. La machine dont l'adresse IP
a été usurpée n'ayant aucune trace d'une tentative de connexion en cour
répondra d'un RST ce qui incrémentera le numéro de séquence TCP.
Si la
pile IP n'a pas une forte randomisation du numéro de séquence TCP il
suffit donc (façon de parler puisqu'il faut aussi prédire le numéro de
séquence) d'interroger le port de l'hôte usurpé, avant et après le
scan. Si le numéro de séquence a été incrémenté deux fois, c'est que le
RST a effectivement été envoyé et donc que le port est ouvert.
Par contre j'ai d'énormes doutes concernant la paternité de Mitnick,
vue que ce scan n'a été intégré à nmap qu'au environ de 2002 si ma
mémoire est bonne.
Dans le cadre d'une véritable attaque, l'IP spoofing nécessite d'avoir
le controle sur, au choix, le routeur situé avant la cible ou celui
situé avant la machine dont l'adresse IP est usurpée. Autrement les
paquets arriveront fort logiquement sur la machine usurpée et
l'usurpation ne servirait à rien.
devait dire quelque chose
comme ceci :L'IP spoofing est tout sauf une légende urbaine, c'est d'ailleurs cette
technique (entre autres) qui a été utilisée par Kevin Mitnick lors de sa
célèbre attaque contre les ordinateurs de Tsutomu Shimomura (usurpation IP +
SYN flooding + prédiction des numéros de séquence TCP).
Sauf que ce que tu décris là n'est pas une attaque à proprement parler
mais un scan de port. S'il y a un service TCP en écoute sur le port, il
essayera de répondre à la poigné de main. La machine dont l'adresse IP
a été usurpée n'ayant aucune trace d'une tentative de connexion en cour
répondra d'un RST ce qui incrémentera le numéro de séquence TCP.
Si la
pile IP n'a pas une forte randomisation du numéro de séquence TCP il
suffit donc (façon de parler puisqu'il faut aussi prédire le numéro de
séquence) d'interroger le port de l'hôte usurpé, avant et après le
scan. Si le numéro de séquence a été incrémenté deux fois, c'est que le
RST a effectivement été envoyé et donc que le port est ouvert.
Par contre j'ai d'énormes doutes concernant la paternité de Mitnick,
vue que ce scan n'a été intégré à nmap qu'au environ de 2002 si ma
mémoire est bonne.
Dans le cadre d'une véritable attaque, l'IP spoofing nécessite d'avoir
le controle sur, au choix, le routeur situé avant la cible ou celui
situé avant la machine dont l'adresse IP est usurpée. Autrement les
paquets arriveront fort logiquement sur la machine usurpée et
l'usurpation ne servirait à rien.
Renseigne-toi sur l'attaque en question, c'était très loin de n'être
qu'un scan de ports ! Il y a beaucoup de sources pour cela. L'un des
préalables à l'attaque de Mitnick consistait justement à faire taire la
machine légitime (et ainsi l'empêcher de répondre par un RST) en
l'inondant de paquets SYN et saturer les buffers prévus pour les
nouvelles connexions (ce qui est maintenant contourné par les SYN cookies).
Hmmm. Je pense que tu es en train de confondre avec le "dumb scan",
Par contre j'ai d'énormes doutes concernant la paternité de Mitnick,
vue que ce scan n'a été intégré à nmap qu'au environ de 2002 si ma
mémoire est bonne.
Ce n'est pas parce que ça n'a été intégré qu'en 2002 à nmap que ça
n'existait pas avant ! :-)
Mais là on ne parle pas de la même chose de toute façon...
Dans le cadre d'une véritable attaque, l'IP spoofing nécessite d'avoir
le controle sur, au choix, le routeur situé avant la cible ou celui
situé avant la machine dont l'adresse IP est usurpée. Autrement les
paquets arriveront fort logiquement sur la machine usurpée et
l'usurpation ne servirait à rien.
Ce que tu décris là est une attaque "man in the middle", rien à voir
avec l'IP spoofing, à mon avis...
Renseigne-toi sur l'attaque en question, c'était très loin de n'être
qu'un scan de ports ! Il y a beaucoup de sources pour cela. L'un des
préalables à l'attaque de Mitnick consistait justement à faire taire la
machine légitime (et ainsi l'empêcher de répondre par un RST) en
l'inondant de paquets SYN et saturer les buffers prévus pour les
nouvelles connexions (ce qui est maintenant contourné par les SYN cookies).
Hmmm. Je pense que tu es en train de confondre avec le "dumb scan",
Par contre j'ai d'énormes doutes concernant la paternité de Mitnick,
vue que ce scan n'a été intégré à nmap qu'au environ de 2002 si ma
mémoire est bonne.
Ce n'est pas parce que ça n'a été intégré qu'en 2002 à nmap que ça
n'existait pas avant ! :-)
Mais là on ne parle pas de la même chose de toute façon...
Dans le cadre d'une véritable attaque, l'IP spoofing nécessite d'avoir
le controle sur, au choix, le routeur situé avant la cible ou celui
situé avant la machine dont l'adresse IP est usurpée. Autrement les
paquets arriveront fort logiquement sur la machine usurpée et
l'usurpation ne servirait à rien.
Ce que tu décris là est une attaque "man in the middle", rien à voir
avec l'IP spoofing, à mon avis...
Renseigne-toi sur l'attaque en question, c'était très loin de n'être
qu'un scan de ports ! Il y a beaucoup de sources pour cela. L'un des
préalables à l'attaque de Mitnick consistait justement à faire taire la
machine légitime (et ainsi l'empêcher de répondre par un RST) en
l'inondant de paquets SYN et saturer les buffers prévus pour les
nouvelles connexions (ce qui est maintenant contourné par les SYN cookies).
Hmmm. Je pense que tu es en train de confondre avec le "dumb scan",
Par contre j'ai d'énormes doutes concernant la paternité de Mitnick,
vue que ce scan n'a été intégré à nmap qu'au environ de 2002 si ma
mémoire est bonne.
Ce n'est pas parce que ça n'a été intégré qu'en 2002 à nmap que ça
n'existait pas avant ! :-)
Mais là on ne parle pas de la même chose de toute façon...
Dans le cadre d'une véritable attaque, l'IP spoofing nécessite d'avoir
le controle sur, au choix, le routeur situé avant la cible ou celui
situé avant la machine dont l'adresse IP est usurpée. Autrement les
paquets arriveront fort logiquement sur la machine usurpée et
l'usurpation ne servirait à rien.
Ce que tu décris là est une attaque "man in the middle", rien à voir
avec l'IP spoofing, à mon avis...
devait dire quelque chose
comme ceci :Renseigne-toi sur l'attaque en question, c'était très loin de n'être
qu'un scan de ports ! Il y a beaucoup de sources pour cela. L'un des
préalables à l'attaque de Mitnick consistait justement à faire taire la
machine légitime (et ainsi l'empêcher de répondre par un RST) en
l'inondant de paquets SYN et saturer les buffers prévus pour les
nouvelles connexions (ce qui est maintenant contourné par les SYN cookies).
Ce qui n'est qu'un DoS et ne permet toujours pas à Mitnick de rentrer.
[snip]Hmmm. Je pense que tu es en train de confondre avec le "dumb scan",
Possible.
Ce que tu décris là est une attaque "man in the middle", rien à voir
avec l'IP spoofing, à mon avis...
Non. Un man in the middle est destiné à intercepter une connexion
légitime, je parle bien d'IP spoofing. Dans le cadre d'une connexion
TCP, à moins d'un simple DoS il faut d'abord passer la poignée de main
et donc une discussion bilatérale. Or la machine usurpée n'acceptera
jamais de donner suite à une poignée de main qu'elle n'a pas initiée,
il faut donc que les paquets soit routée vers la machine de
l'attaquant, ce qui ne peut se faire qu'en ayant la main sur l'un des
deux routeurs terminaux.
La seule exception c'est lorsque l'usurpation
se passe au sein d'un LAN, parce que c'est le seul cas où l'on a la
garantie d'être derrière le même routeur que la machine usurpée. Là
oui, si on attribue son adresse IP à notre machine et que l'on arrive à
DoSer la machine usurpée, on prendra sa place dans le réseau. Mais dans
le cadre d'une attaque in the wild, il n'y a quasiment aucune chance
d'y arriver si on ne place pas un tunnel Ip entre un routeur et notre
machine ; même si la machine usurpée est sur le même netbloc que la
notre il n'y a aucune garantie que le plan de routage du FAI
permettrait de prendre sa place autrement.
Cela dit, on en revient à ce que je répondais à Eric, l'heure est aux
botnets, ce qui change la donne. De nos jours l'IP spoofing n'a de sens
que pour contourner un filtrage par adresse IP. Dans tous les autres
cas de figure cacher l'adresse IP source est une complication inutile,
perdre une machine du botnet étant au final sans grande importance.
Cela d'autant plus que l'agonie massive des services abuses fait qu'en
général on ne perd même pas la machine utilisée.
bruno.treguier_at_shom.fr@nullepart.invalid devait dire quelque chose
comme ceci :
Renseigne-toi sur l'attaque en question, c'était très loin de n'être
qu'un scan de ports ! Il y a beaucoup de sources pour cela. L'un des
préalables à l'attaque de Mitnick consistait justement à faire taire la
machine légitime (et ainsi l'empêcher de répondre par un RST) en
l'inondant de paquets SYN et saturer les buffers prévus pour les
nouvelles connexions (ce qui est maintenant contourné par les SYN cookies).
Ce qui n'est qu'un DoS et ne permet toujours pas à Mitnick de rentrer.
[snip]
Hmmm. Je pense que tu es en train de confondre avec le "dumb scan",
Possible.
Ce que tu décris là est une attaque "man in the middle", rien à voir
avec l'IP spoofing, à mon avis...
Non. Un man in the middle est destiné à intercepter une connexion
légitime, je parle bien d'IP spoofing. Dans le cadre d'une connexion
TCP, à moins d'un simple DoS il faut d'abord passer la poignée de main
et donc une discussion bilatérale. Or la machine usurpée n'acceptera
jamais de donner suite à une poignée de main qu'elle n'a pas initiée,
il faut donc que les paquets soit routée vers la machine de
l'attaquant, ce qui ne peut se faire qu'en ayant la main sur l'un des
deux routeurs terminaux.
La seule exception c'est lorsque l'usurpation
se passe au sein d'un LAN, parce que c'est le seul cas où l'on a la
garantie d'être derrière le même routeur que la machine usurpée. Là
oui, si on attribue son adresse IP à notre machine et que l'on arrive à
DoSer la machine usurpée, on prendra sa place dans le réseau. Mais dans
le cadre d'une attaque in the wild, il n'y a quasiment aucune chance
d'y arriver si on ne place pas un tunnel Ip entre un routeur et notre
machine ; même si la machine usurpée est sur le même netbloc que la
notre il n'y a aucune garantie que le plan de routage du FAI
permettrait de prendre sa place autrement.
Cela dit, on en revient à ce que je répondais à Eric, l'heure est aux
botnets, ce qui change la donne. De nos jours l'IP spoofing n'a de sens
que pour contourner un filtrage par adresse IP. Dans tous les autres
cas de figure cacher l'adresse IP source est une complication inutile,
perdre une machine du botnet étant au final sans grande importance.
Cela d'autant plus que l'agonie massive des services abuses fait qu'en
général on ne perd même pas la machine utilisée.
devait dire quelque chose
comme ceci :Renseigne-toi sur l'attaque en question, c'était très loin de n'être
qu'un scan de ports ! Il y a beaucoup de sources pour cela. L'un des
préalables à l'attaque de Mitnick consistait justement à faire taire la
machine légitime (et ainsi l'empêcher de répondre par un RST) en
l'inondant de paquets SYN et saturer les buffers prévus pour les
nouvelles connexions (ce qui est maintenant contourné par les SYN cookies).
Ce qui n'est qu'un DoS et ne permet toujours pas à Mitnick de rentrer.
[snip]Hmmm. Je pense que tu es en train de confondre avec le "dumb scan",
Possible.
Ce que tu décris là est une attaque "man in the middle", rien à voir
avec l'IP spoofing, à mon avis...
Non. Un man in the middle est destiné à intercepter une connexion
légitime, je parle bien d'IP spoofing. Dans le cadre d'une connexion
TCP, à moins d'un simple DoS il faut d'abord passer la poignée de main
et donc une discussion bilatérale. Or la machine usurpée n'acceptera
jamais de donner suite à une poignée de main qu'elle n'a pas initiée,
il faut donc que les paquets soit routée vers la machine de
l'attaquant, ce qui ne peut se faire qu'en ayant la main sur l'un des
deux routeurs terminaux.
La seule exception c'est lorsque l'usurpation
se passe au sein d'un LAN, parce que c'est le seul cas où l'on a la
garantie d'être derrière le même routeur que la machine usurpée. Là
oui, si on attribue son adresse IP à notre machine et que l'on arrive à
DoSer la machine usurpée, on prendra sa place dans le réseau. Mais dans
le cadre d'une attaque in the wild, il n'y a quasiment aucune chance
d'y arriver si on ne place pas un tunnel Ip entre un routeur et notre
machine ; même si la machine usurpée est sur le même netbloc que la
notre il n'y a aucune garantie que le plan de routage du FAI
permettrait de prendre sa place autrement.
Cela dit, on en revient à ce que je répondais à Eric, l'heure est aux
botnets, ce qui change la donne. De nos jours l'IP spoofing n'a de sens
que pour contourner un filtrage par adresse IP. Dans tous les autres
cas de figure cacher l'adresse IP source est une complication inutile,
perdre une machine du botnet étant au final sans grande importance.
Cela d'autant plus que l'agonie massive des services abuses fait qu'en
général on ne perd même pas la machine utilisée.
