Logiciel repondant "ouvert" sur tous les ports ?

Xavier HUMBERT wrote:

Bonjour,

C'est un genre de honypot, mais sans l'IDS, ni la base de données, que
je cherche.

Juste un petit bout de soft qui répond ouvert à n'importe quelle
connexion tcp/udp, sur n'importe quel port.

Ceci, afin de (in?)-valider un fichier de règles ipfilter de 15
kilomètres de long qu'on m'a refiler à examiner. Et il y a 5 interfaces
sur la bécane !

Je suis certain que ça prend pas longtemps à écrire en Perl, mais si ça
existe déja ...

Pourquoi pas une boucle de script qui met un netcat en écoute port après
port en tcp et udp ?

--
Laurent

On 20 Apr 2006 23:05:56 GMT, Laurent <address.email@libre.fr>:

Pourquoi pas une boucle de script qui met un netcat en écoute port après
port en tcp et udp ?

131070 instances de netcat en parallèle, ça risque d'être un peu
lourd, non ?

Dans le message <news:1he3rm7.17lleg113rt6lmN%xavier@injep.fr>,
*Xavier HUMBERT* tapota sur f.c.securite :

Bonjour,

C'est un genre de honypot, mais sans l'IDS, ni la base de données, que
je cherche.

Juste un petit bout de soft qui répond ouvert à n'importe quelle
connexion tcp/udp, sur n'importe quel port.

Dans votre situation, peut-on envisager d'ouvrir un port précis avec un
service quelconque ou avec netcat et créer une règle NAT qui redirige toutes
les connexions entrantes sur le port en question ?

--
Sébastien Monbrun aka TiChou

Sebastien Monbrun aka TiChou <gro.uohcit@uohcit.news.free.fr> écrivait :

Dans le message <news:1he3rm7.17lleg113rt6lmN%xavier@injep.fr>,
*Xavier HUMBERT* tapota sur f.c.securite :

Bonjour,

C'est un genre de honypot, mais sans l'IDS, ni la base de données, que
je cherche.

Juste un petit bout de soft qui répond ouvert à n'importe quelle
connexion tcp/udp, sur n'importe quel port.

Dans votre situation, peut-on envisager d'ouvrir un port précis avec
un service quelconque ou avec netcat et créer une règle NAT qui
redirige toutes les connexions entrantes sur le port en question ?

Je pense que Xavier voudra avant tout savoir quelle connexion est
passée à travers son filtre.

--
Si vous embauchez, voici mon CV
http://www.rail.eu.org/cv/cv.pdf

Xavier HUMBERT wrote:

Juste un petit bout de soft qui répond ouvert à n'importe quelle
connexion tcp/udp, sur n'importe quel port.
Ceci, afin de (in?)-valider un fichier de règles ipfilter de 15
kilomètres de long qu'on m'a refiler à examiner. Et il y a 5 interfaces
sur la bécane !

C'est forcé d'avoir la réponse au SYN ?

Parce que bon, un iptables, avec une règle qui logge les paquets rejetés
par défaut, et un fichier séparé via syslog, qui est rapidement parsé,
cela revient au même si c'est juste pour analyser les demander de
connexion non ?

Par exemple (tiré de gege.org),

iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-tcp-options --log-ip-options
--log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
..
iptables -A INPUT -j LOG_DROP

Il existe des projets d'analyse déja réalisés, mais un peu plus larges
(avec database derrière)
<http://www.gege.org/iptables/doc/faq.html>

Sebastien Monbrun aka TiChou <gro.uohcit@uohcit.news.free.fr> writes:

Dans le message <news:1he3rm7.17lleg113rt6lmN%xavier@injep.fr>,
*Xavier HUMBERT* tapota sur f.c.securite :

Bonjour,

C'est un genre de honypot, mais sans l'IDS, ni la base de données, que
je cherche.

Juste un petit bout de soft qui répond ouvert à n'importe quelle
connexion tcp/udp, sur n'importe quel port.

Dans votre situation, peut-on envisager d'ouvrir un port précis avec un service
quelconque ou avec netcat et créer une règle NAT qui redirige toutes les
connexions entrantes sur le port en question ?

Y a pas des versions d'inetd/xinetd qui permettent d'écouter des plages de ports
? Enfin je dis ça... c'est juste qu'un truc qui écoute à tout vent... ça me
rappelle quelque chose.

FAb

Xavier HUMBERT wrote:

Bonjour,

C'est un genre de honypot, mais sans l'IDS, ni la base de données, que
je cherche.

Juste un petit bout de soft qui répond ouvert à n'importe quelle
connexion tcp/udp, sur n'importe quel port.

(x)inetd couple a un programme repondant derriere, ca doit le faire.
Evidemment, je ne sais pas, vu le nombre de port si il fera pas un
segfault...

Ploc <ploc@clop.invalid> wrote:

Evidemment, je ne sais pas, vu le nombre de port si il fera pas un
segfault...

On peut se contenter des 1024 privilégies, pour commencer.

Je vais jeter un oeil à xinetd. Merci

XAv
--
Xavier HUMBERT
Infocentre - INJEP - MJSVA

Salut

On peut se contenter des 1024 privilégies, pour commencer.

Je vais jeter un oeil à xinetd. Merci

Dans ce cas on peut tenter:

#!/bin/sh
PORTBASE=1
PORTCOUNT24
for (( i = PORTBASE ; i <= PORTBASE+PORTCOUNT; i++ ))
do
nc -l -p $i -c /bin/false &
done

Attention, ca marche, mais c'est TRES crade...
Aprés on fait un killall nc...

Ne pas oublier de lancer ce script avec les privileges de super
utilisateur pour pouvoir binder sur les ports <1024.

A noter qu'une fois qu'un port aura recu une connection, il la fermera
aussitot et ne pourra plus en recevoir par la suite.

@+
Bertrand

Juste un petit bout de soft qui répond ouvert à n'importe quelle
connexion tcp/udp, sur n'importe quel port.

Dans le temps il y avait portsentry qui ouvrait une tetratripotee
de port et qui ecoutait derriere.
Ca repond, ca logue; ca semble correspondre a ce que tu cherches.