Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Nouvelles techniques de scans anonymes : la fin des fichiers de log ?

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Nouvelles techniques de scans anonymes : la fin des fichiers de log ?

Dans un article paru dans The Hackademy Manuel n°5, actuellement dans les kiosques à journaux, deux extensions à des techniques de scan anonymes peu connues sont présentées. Ces nouvelles idées dans le monde du scanning de port, étape préalable et souvent considérée comme indispensable à une intrusion, permettent de scanner aussi bien les ports UDP, TCP que les protocoles IP, et ceci de manière discrète et sans laisser de preuve dans les fichiers de journalisation.


Les techniques présentées dans cet article montrent bien les défaillances des outils de détection d’intrusion et d’analyse de log actuels qui ne seront pas en mesure de fournir la véritable IP source du scan, et même si aucun outil n’existe aujourd’hui pour les rendre accessibles aux script kiddies (jeunes pirates au niveau technique limité utilisant des outils « tous faits »), il est certain que ce n’est qu’une question de temps…

L’auteur de cet article a présenté une extension du « blind scanning ARP » qui est une technique de scan qui consiste à envoyer des paquets en utilisant une adresse IP locale non utilisée sur un réseau ethernet. L’analyse temporelle des retours de requêtes ARP envoyées en broadcast par le routeur permet de déduire si le port est ouvert ou fermé. La logique de récupération des résultats diffère selon le type de scan (TCP, UDP ou protocoles IP), mais le scan apparaît bien comme provenant de l’adresse IP utilisée en source et aucun mécanisme détectable comme l’ARP Poisonning est lancé sur le LAN, ce qui rend cette technique particulièrement discrète.

La technique dite de « reverse Idle Host scan » consiste à pinger la machine scannée (ping ICMP ou tout autre technique de prise d’empreinte de l’IPID) à une heure de faible trafic. L’envoi de paquets dont la source est modifiée de manière aléatoire permet, en étudiant l’évolution d’IPID, de déterminer si le port ou protocole scanné est ouvert ou non sur la cible. Le scan provenant des quatre coins d’Internet ne laissera aucune trace dans les logs et l’attaquant n’aura officiellement réalisé qu’un trafic innocent et peu détectable.

En plus de ces deux nouveautés, un tour d’horizon assez complet des techniques de scan invisibles souvent non détectées par les IDS ou les firewall est proposé dans cet article.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.