Académique Documents
Professionnel Documents
Culture Documents
Le balayage
Scan type
TCP connect() TCP SYN scan TCP FIN scan ICMP echo UDP/ICMP error
XMAS scan
NULL scan
ACK
If Port is Closed
SYN
RST
SYN/ACK
RST
If Port is Closed
SYN
RST
NoETHIQUE
Formation PIRATAGE need to send back a RST 23
TCP SYN Scan
• Bien que cette technique soit devenue plutôt facilement
détectable par de nombreux IDS, ce qui implique que
quasiment tous les programmes de Dénis de Service (DoS)
basent leurs attaques en envoyant un excès de paquets SYN.
• De la même manière, les systèmes de détection d'intrusion
courants sont sans aucun doute capables de journaliser ces
scans demi-ouverts: TCP wrappers, SNORT, Courtney,
iplog, pour ne nommer qu'eux, ainsi, leur efficacité
s'est dégradée dans ces dernières années.
• Exemple: nmap –sS –p 21-500 10.4.0.1-20
• Avantages : rapide, fiable, évite les IDS primaires, évite l'accord
TCP en trois étapes
• Inconvénients: requière le privilège root, règles empêchant
beaucoup d'essais de scan SYN
If Port is Open
FIN
No Answer
If Port is Closed
FIN
RST
If Port is Open
URG/PSH/FIN
No Answer
If Port is Closed
URG/PSH/FIN
RST
If Port is Open
No Flags Sent
No Answer
If Port is Closed
No Flags Sent
RST
• La réponse inclut:
– UUID = ‘universal unique identifier’ pour chaque programme
– Nom annoté
– Protocole utilisé par chaque programme
– Adresse de réseau à laquelle le programme est lié
– Point final du programme (endpoint)
– uuid="1FF70682-0A51-30E8-076D-740BE8CEE98B"
• protocol="ncalrpc" endpoint="LRPC" id="mstask.1"
• protocol="ncacn_ip_tcp" id="mstask.2"
– uuid="378E52B0-C0A9-11CF-822D-00AA0051E40F"
• protocol="ncalrpc" endpoint="LRPC" id="mstask.3"
• protocol="ncacn_ip_tcp" id="mstask.4"