C'est un genre de honypot, mais sans l'IDS, ni la base de données, que
je cherche.
Juste un petit bout de soft qui répond ouvert à n'importe quelle
connexion tcp/udp, sur n'importe quel port.
Ceci, afin de (in?)-valider un fichier de règles ipfilter de 15
kilomètres de long qu'on m'a refiler à examiner. Et il y a 5 interfaces
sur la bécane !
Je suis certain que ça prend pas longtemps à écrire en Perl, mais si ça
existe déja ...
Juste un petit bout de soft qui répond ouvert à n'importe quelle connexion tcp/udp, sur n'importe quel port.
(...)
Le mieux ça serait de modifier le comportement de la pile TCP/IP directement dans le kernel. Sous FreeBSD, on peut utiliser les blackholes pour ne pas répondre par un RST sur les ports TCP fermés et par un ICMP "port unreachable" pour les ports UDP fermés.
Sous GNU/Linux, je ne pense pas que cela existe en natif mais il doit sûrement y avoir des LKMs ou des patchs sur le ouaib pour faire ce genre de chose. Sinon avec un peu de connaissance en prog. système, c'est jouable. J'en avais fais un pour l'udp pour pas que le kernel réponde par un ICMP "port unreachable" lorsqu'il reçoit un paquet sur un port UDP fermé.
Sinon, je me souviens que portsentry avait une option qui permettait de faire cela comme ça a été dit plus haut... c'est déjà plus propre que les 65535x2 netcat en background. :-)
Bon courage,
-- Clément Lecigne, « If one XOR is good TWICE IS BETTER. » - Peiter Zatko
Xavier HUMBERT wrote:
Juste un petit bout de soft qui répond ouvert à n'importe quelle
connexion tcp/udp, sur n'importe quel port.
(...)
Le mieux ça serait de modifier le comportement de la pile TCP/IP
directement dans le kernel. Sous FreeBSD, on peut utiliser les
blackholes pour ne pas répondre par un RST sur les ports TCP fermés et
par un ICMP "port unreachable" pour les ports UDP fermés.
Sous GNU/Linux, je ne pense pas que cela existe en natif mais il doit
sûrement y avoir des LKMs ou des patchs sur le ouaib pour faire ce genre
de chose. Sinon avec un peu de connaissance en prog. système, c'est
jouable. J'en avais fais un pour l'udp pour pas que le kernel réponde
par un ICMP "port unreachable" lorsqu'il reçoit un paquet sur un port
UDP fermé.
Sinon, je me souviens que portsentry avait une option qui permettait de
faire cela comme ça a été dit plus haut... c'est déjà plus propre que
les 65535x2 netcat en background. :-)
Bon courage,
--
Clément Lecigne,
« If one XOR is good TWICE IS BETTER. » - Peiter Zatko
Juste un petit bout de soft qui répond ouvert à n'importe quelle connexion tcp/udp, sur n'importe quel port.
(...)
Le mieux ça serait de modifier le comportement de la pile TCP/IP directement dans le kernel. Sous FreeBSD, on peut utiliser les blackholes pour ne pas répondre par un RST sur les ports TCP fermés et par un ICMP "port unreachable" pour les ports UDP fermés.
Sous GNU/Linux, je ne pense pas que cela existe en natif mais il doit sûrement y avoir des LKMs ou des patchs sur le ouaib pour faire ce genre de chose. Sinon avec un peu de connaissance en prog. système, c'est jouable. J'en avais fais un pour l'udp pour pas que le kernel réponde par un ICMP "port unreachable" lorsqu'il reçoit un paquet sur un port UDP fermé.
Sinon, je me souviens que portsentry avait une option qui permettait de faire cela comme ça a été dit plus haut... c'est déjà plus propre que les 65535x2 netcat en background. :-)
Bon courage,
-- Clément Lecigne, « If one XOR is good TWICE IS BETTER. » - Peiter Zatko
Vincent Bernat
OoO Lors de la soirée naissante du dimanche 23 avril 2006, vers 18:14, Clement Lecigne disait:
Sous GNU/Linux, je ne pense pas que cela existe en natif mais il doit sûrement y avoir des LKMs ou des patchs sur le ouaib pour faire ce genre de chose. Sinon avec un peu de connaissance en prog. système, c'est jouable. J'en avais fais un pour l'udp pour pas que le kernel réponde par un ICMP "port unreachable" lorsqu'il reçoit un paquet sur un port UDP fermé.
Peut être est-il possible d'utiliser iproute2 pour avoir le même effet. Il est possible d'y définir des routes de manière assez évoluée. -- Je reponds au message de p... m... au sujet de sa recherche LESPINASSE, qu'il me contacte. -+- BD In GGE - En esperant que lui sache utiliser le mail -+-
OoO Lors de la soirée naissante du dimanche 23 avril 2006, vers 18:14,
Clement Lecigne <clemun@gmail.com> disait:
Sous GNU/Linux, je ne pense pas que cela existe en natif mais il doit
sûrement y avoir des LKMs ou des patchs sur le ouaib pour faire ce
genre de chose. Sinon avec un peu de connaissance en prog. système,
c'est jouable. J'en avais fais un pour l'udp pour pas que le kernel
réponde par un ICMP "port unreachable" lorsqu'il reçoit un paquet sur
un port UDP fermé.
Peut être est-il possible d'utiliser iproute2 pour avoir le même
effet. Il est possible d'y définir des routes de manière assez
évoluée.
--
Je reponds au message de p... m... au sujet de sa recherche
LESPINASSE, qu'il me contacte.
-+- BD In GGE - En esperant que lui sache utiliser le mail -+-
OoO Lors de la soirée naissante du dimanche 23 avril 2006, vers 18:14, Clement Lecigne disait:
Sous GNU/Linux, je ne pense pas que cela existe en natif mais il doit sûrement y avoir des LKMs ou des patchs sur le ouaib pour faire ce genre de chose. Sinon avec un peu de connaissance en prog. système, c'est jouable. J'en avais fais un pour l'udp pour pas que le kernel réponde par un ICMP "port unreachable" lorsqu'il reçoit un paquet sur un port UDP fermé.
Peut être est-il possible d'utiliser iproute2 pour avoir le même effet. Il est possible d'y définir des routes de manière assez évoluée. -- Je reponds au message de p... m... au sujet de sa recherche LESPINASSE, qu'il me contacte. -+- BD In GGE - En esperant que lui sache utiliser le mail -+-
