Académique Documents
Professionnel Documents
Culture Documents
Par elalitte
www.siteduzero.com
2/9
Sommaire
Sommaire ........................................................................................................................................... 2 L'idle port scan ................................................................................................................................... 3
L'idle port scan .................................................................................................................................................................. 3
Qu'est-ce que l'idle port scan ? ................................................................................................................................................................................... 3 Comment est-ce possible ? ......................................................................................................................................................................................... 3 La thorie .................................................................................................................................................................................................................... 3 La mise en pratique ..................................................................................................................................................................................................... 5 Partager ....................................................................................................................................................................................................................... 8
www.siteduzero.com
Sommaire
3/9
Par
elalitte
Mise jour : 05/09/2010 Difficult : Difficile 237 visites depuis 7 jours, class 394/797 Qui n'a jamais rv de scanner la machine du voisin en se faisant passer pour l'autre voisin ? L'idle scan est une technique qui vous permettra de scanner une machine en vous faisant passer pour quelqu'un d'autre. Ce tuto ncessite d'avoir dj de trs bonnes connaissances en rseau et notamment sur le fonctionnement de la couche 3 du modle OSI et du protocole IP. Par ailleurs, si vous ne savez pas trs prcisment ce qu'est un scan de ports, je vous invite lire le tutoriel sur le scan de ports avant de commencer la lecture de celui-ci.
La thorie
Comment scanner un port, sans recevoir les rponses ?
V ous qui avez lu le tutoriel sur le scan de ports, vous savez comment s'tablit une connexion TCP : Envoi d'un segment SYN ; Rponse d'un segment SYN+ACK ; Rponse d'un ACK. Imaginons que nous voulions nous faire passer pour notre voisin vis vis de Mme Michu, pour scanner un de ses ports. Etant donn que nous allons envoyer le premier SYN en nous faisant passer pour notre voisin, Mme Michu va lui rpondre lui, et nous ne saurons pas quelle est sa rponse. Il serait ncessaire pour nous de savoir si elle a rpondu, et surtout ce qu'elle a rpondu ! Deux cas sont possibles :
www.siteduzero.com
4/9
Une diffrence norme ! Dans le premier cas, mon voisin qui jusqu' maintenant n'a rien demand personne va recevoir un segment SYN+ACK venant de Mme Michu. tant donn qu'il n'a rien demand, il va le faire savoir en renvoyant un RST, vu qu'il ne veut pas parler Mme Michu. Dans le second cas, il ne va rien rpondre du tout. Il reoit une demande de rinitialisation de connexion pour une connexion qu'il n'a jamais sollicite. Il ne va donc pas rpondre une demande de fermeture de connexion qu'il n'a jamais demand d'ouvrir ! Premier cas : il rpond. Deuxime cas : il ne rpond pas. Cette diffrence est-elle extraordinaire ? OUI ! La question se poser est donc : Qu'est-ce qui change dans ma machine quand je rponds un paquet ?
L'IPID
Les lipides constituent la matire grasse des tres vivants... Ah non, pas ceux-l. L'IPID, ou IP identifier, est un nombre cod sur 2 octets et contenu dans l'en-tte IP (variant donc de 0 65535) Il est normalement incrment de 1 chaque envoi. C'est ce nombre qui permet de retrouver les fragments issus d'un mme paquet quand il a t fragment en plusieurs paquets. Donc ds que j'envoie un paquet, l'IPID envoy dans l'en-tte IP est incrment de 1 par rapport au paquet prcdent. J'envoie un paquet : IPID = 2145 ; J'envoie un autre paquet : IPID = 2146 ; J'envoie encore un paquet : IPID = 2147 ; J'envoie encore un autre paquet : IPID = 2148... V ous avez saisi ? Nous sommes bien avancs, mais dans notre problme initial, nous voulions savoir si notre voisin avait envoy un paquet, et pour cela il faudrait connatre la valeur de l'IPID avant et aprs notre envoi (celui o on se faisait passer pour Mme Michu).
Il suffit de faire un scan de ports. Si nous trouvons au moins un port ouvert, c'est gagn ! Nous pouvons donc maintenant connatre l'IPID de notre voisin un instant t. Nous avons tout ce qu'il faut, c'est nous de jouer !
www.siteduzero.com
5/9
Dans le premier cas, o le port de Mme Michu tait ouvert, je reois un IPID de 102. Dans le second cas, o le port de Mme Michu tait ferm, je reois un IPID de 101. Je suis donc capable de savoir si le port de Mme Michu tait ouvert sans l'avoir scann directement !
Mais...
Pour que cette attaque fonctionne, il faut se trouver dans certaines conditions favorables. Il faut trouver un voisin avec un port ouvert ; Il faut en plus que les IPID de ce voisin augmentent exactement de 1 chaque envoi (ce n'est pas toujours le cas...) ; Il faut qu'il y ait peu de traffic vers ce voisin, sinon l'IPID peut augmenter cause d'autres requtes, et les rsultats seront fausss. Si ces conditions sont runies (ce qui n'est pas bien compliqu trouver) alors banco !
Limitations
Je peux donc scanner la maison blanche et faire porter le chapeau mon voisin ?
Malheureusement non, ce serait trop beau. Dj, mme si Mme Michu ne voit rien venir de vous, votre voisin, lui, a toutes les informations pour remonter vous. Si jamais la machine de votre voisin n'enregistre rien, les routeurs de son fournisseur d'accs eux le font et permettront trs facilement de remonter vous. Donc comme pour les scans de ports simples, l'idle scan ncessite d'tre effectu dans un environnement que vous matrisez et que vous connaissiez les consquences associes.
La mise en pratique
La mise en pratique est on ne peut plus simple tant donn que l'outil nmap intgre dj cette fonctionnalit. Donc allons-y gaiement !
www.siteduzero.com
6/9
Il y a le choix ! Nous allons maintenant essayer de voir si l'une de ses machines a un port ouvert pour nous permettre de jouer le rle du voisin. Nous allons les scanner une par une, tout en essayant de connatre le systme d'exploitation dessus (les derniers linux ayant une protection et incrmentant les IPIDs alatoirement). Code : Console # nmap -sS -O 10.8.98.98 Starting Nmap 4.62 ( http://nmap.org ) at 2010-02-11 15:40 CET Interesting ports on 10.8.98.98: Not shown: 1706 closed ports PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 143/tcp open imap 901/tcp open samba-swat 993/tcp open imaps 2049/tcp open nfs MAC Address: 00:08:02:4F:08:7E (Compaq Computer) Device type: general purpose Running: Linux 2.6.X OS details: Linux 2.6.13 - 2.6.24 Uptime: 34.971 days (since Thu Jan 7 16:21:17 2010) Network Distance: 1 hop OS detection performed. Please report any incorrect results at http://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 1.992 seconds
Nous avons ici une foultitude de ports ouverts, mais malheureusement la machine semble tourner avec un noyau linux 2.6 ne permettant pas l'attaque. Recherchons plutt un windows. Code : Console # nmap -O 10.8.98.0/24 Starting Nmap 4.62 ( http://nmap.org ) at 2010-02-11 15:43 CET Interesting ports on 10.8.98.98: [Bla bla]
www.siteduzero.com
7/9
Interesting ports on 10.8.98.240: Not shown: 1709 closed ports PORT STATE SERVICE 80/tcp open http 135/tcp open msrpc 139/tcp open netbios-ssn 443/tcp open https 445/tcp open microsoft-ds 1026/tcp open LSA-or-nterm MAC Address: 00:15:00:37:9F:A5 (Intel Corporate) Device type: general purpose Running: Microsoft Windows XP|2003 OS details: Microsoft Windows XP SP2, Microsoft Windows XP SP2 or Windows Server 2003 SP0 Network Distance: 1 hop Nmap done: 256 IP addresses (9 hosts up) scanned in 21.354 seconds
Bingo ! Une des machines semble tre sous windows XP SP2. Elle a les ports windows standards ouverts et n'a donc pas de firewall d'activ. Nous avons trouv notre voisin idal ! Le gagnant est 10.8.98.240 !
Ca a march ! Revenons un peu sur la commande. nmap -P0 -sI 10.8.98.240:445 10.8.98.98 Le -P0 est obligatoire, sinon notre machine envoie un ping Mme Michu qui sait maintenant qui la scanne. Le -P0 oblige nmap ne pas faire de ping avant de scanner une machine. Nous prcisons ensuite l'option -sI indiquant que nous voulons faire un idle scan. Puis qui sera notre voisin et quel port utiliser, 10.8.98.240:445. Et enfin la victime, Mme Michu, 10.8.98.98. Le rsultat est conforme ce que nous avions vu auparavant.
www.siteduzero.com
8/9
Un autre point est important dans le rsultat : Idle scan using zombie 10.8.98.240 (10.8.98.240:445); Class: Incremental Le Class: Incremental ici est trs important et nous confirme que notre voisin incrmente bien les IPID de 1 et non alatoirement. Que se serait-il pass si nous avions essay avec une machine linux comme voisin ?
Malheureusement il n'est pas possible d'utiliser un tel OS car il utilise des IPID alatoires... Code : Console # nmap -P0 -sI 10.8.98.99:80 10.8.98.98
Starting Nmap 4.62 ( http://nmap.org ) at 2010-02-11 16:01 CET Idle scan zombie 10.8.98.99 (10.8.98.99) port 80 cannot be used because IP ID sequencabil QUITTING!
Le rsultat est sans appel. Impossible de raliser l'idle scan, les IPIDs du voisin ne sont pas bons... Nous avons donc vu comment raliser un idle scan . L'intrt d'un tel scan est de ne pas tre vu directement par la machine scanne. Cela peut tre intressant pour tre furtif, mais aussi pour voir si un filtrage diffrent est appliqu en fonction des adresses IP sources. Par exemple pour voir si le filtrage est le mme pour ma machine que pour celle d'un administrateur rseau... Pour tous les fans de scans, je vous invite poursuivre ce tuto par la lecture de l'excellent site nmap qui vous en dira plus sur les diffrentes mthodes de scan disponibles.
Partager
www.siteduzero.com