La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Port Scanning (NMAP) Les différentes techniques de scans Laurent Barsin Olivier Delcourt Amaury Duchesne Phat Piron 01/03/02.

Présentations similaires


Présentation au sujet: "Port Scanning (NMAP) Les différentes techniques de scans Laurent Barsin Olivier Delcourt Amaury Duchesne Phat Piron 01/03/02."— Transcription de la présentation:

1 Port Scanning (NMAP) Les différentes techniques de scans Laurent Barsin Olivier Delcourt Amaury Duchesne Phat Piron 01/03/02

2 2 Plan de la présentation Quest ce quun Port Scan ? Les différentes familles et types de scans. OS Detection. Techniques de Port Scanning. Exemples de résultats NMAP.

3 3 Quest ce quun Port Scan ? Utilisé pour observer létat des ports dun hôte/réseau (port ouvert/fermé). Déterminer les services offerts qui écoutent un port et lister des vulnérabilités. Analogies: publicité agressive, voleur,… Attaque de reconnaissance. Souvent suivie dune véritable intrusion. Un scanner : NMAP (port scan, ping sweep, OS identification, identifications de process).

4 4 Scan type scan open TCP connect() reverse ident half-open TCP SYN scan « dumb » scan stealth TCP FIN scan ACK scan XMAS scan NULL scan sweeps ICMP echo TCP sweeps misc. UDP/ICMP error FTP Bounce scanning Les différents types de scans

5 5 Scan type scan open TCP connect() reverse ident half-open TCP SYN scan « dumb » scan stealth TCP FIN scan ACK scan XMAS scan NULL scan sweeps ICMP echo TCP sweeps misc. UDP/ICMP error FTP Bounce scanning

6 6 TCP connect() Rappel du three-way handshake de TCP. Utilisation de lappel système connect(). Pros: rapide, fiable, pas root. Cons: facilement loggable. Détection: log - connexion rapidement fermée.

7 7 Scan type scan open TCP connect() reverse ident half-open TCP SYN scan « dumb » scan stealth TCP FIN scan ACK scan XMAS scan NULL scan sweeps ICMP echo TCP sweeps misc. UDP/ICMP error FTP Bounce scanning

8 8 TCP reverse ident scanning Nécessite un TCP connect. Utilise le daemon identd. Permet de révéler le nom de lutilisateur propriétaire dun process. Reverse ident – le client peut identifier un serveur.

9 9 TCP sweeps

10 10 TCP SYN scan Létape trois du three-way handshake en moins. La connexion est interrompue (half-open scan). Pros: potentiellement moins loggable quun connect() vu le caractère semi-ouvert de la connexion, rapide, fiable. Cons: détectable aujourdhui par de nombreux IDS (TCP SYN flooding – DoS), requiert privilège root. Détection: repérer un grand nombre de SYN non suivi de connexion.

11 11 Scan type scan open TCP connect() reverse ident half-open TCP SYN scan « dumb » scan stealth TCP FIN scan ACK scan XMAS scan NULL scan sweeps ICMP echo TCP sweeps misc. UDP/ICMP error FTP Bounce scanning

12 12 « dumb » scan 1.Trouver un hôte muet. 2.Envoi dun paquet SYN spoofé. 3.Le témoin renvoie un paquet SYN|ACK (port ouvert) ou un RST sinon. 4.Le témoin renvoie un RST au SYN|ACK reçu, rien si il a reçu un RST. 5.On épie le témoin via lIPID.

13 13 « dumb » scan (suite) Pros: IP de lattaquant invisible pour la cible - le syn spoofé ne peut être retracé. le témoin - la vérification de lIPID par lattaquant nest pas loggée par le témoin. Cons: trouver un bon hôte muet, lent. Reste un SYN scan…

14 14 TCP sweeps

15 15 TCP FIN scan Principe de base : teste les ports fermés, en déduit ceux qui sont ouverts (inverse mapping). Envoyer un paquet avec uniquement le flag FIN activé. Deux façons de déduire quun port est ouvert. Déduction de la liste des ports scannés. Timeout.

16 16 TCP FIN scan (suite) Pros: court-circuite le three-way handshake. Cons: risques de false-positive responses, ne fonctionne pas sur tous les OS. Détection: difficilement loggable car nouvre pas de connexion complète.

17 17 Scan type scan open TCP connect() reverse ident half-open TCP SYN scan « dumb » scan stealth TCP FIN scan ACK scan XMAS scan NULL scan sweeps ICMP echo TCP sweeps misc. UDP/ICMP error FTP Bounce scanning

18 18 Scan type scan open TCP connect() reverse ident half-open TCP SYN scan « dumb » scan stealth TCP FIN scan ACK scan XMAS scan NULL scan sweeps ICMP echo TCP sweeps misc. UDP/ICMP error FTP Bounce scanning

19 19 XMAS scan Comportement identique au FIN scan. Tous les flags sont activés : FIN, PSH, URG, ACK,SYN. Alternative au FIN scan. False-positive responses.

20 20 Scan type scan open TCP connect() reverse ident half-open TCP SYN scan « dumb » scan stealth TCP FIN scan ACK scan XMAS scan NULL scan sweeps ICMP echo TCP sweeps misc. UDP/ICMP error FTP Bounce scanning

21 21 NULL scan Méthode similaire aux scans FIN et XMAS. Aucun flag activé. Autre alternative au FIN scan.

22 22 Scan type scan open TCP connect() reverse ident half-open TCP SYN scan « dumb » scan stealth TCP FIN scan ACK scan XMAS scan NULL scan sweeps ICMP echo TCP sweeps misc. UDP/ICMP error FTP Bounce scanning

23 23 ICMP Echo Envoi dun paquet ICMP Echo Request. Si on reçoit en réponse un paquet ICMP Echo Reply, lhôte est en vie. Sinon, on le considère «down». Pros: Facilité de mise en œuvre grâce à ICMP Echo broadcast. Cons: Facile de bloquer les requêtes ICMP Echo.

24 24 Scan type scan open TCP connect() reverse ident half-open TCP SYN scan « dumb » scan stealth TCP FIN scan ACK scan XMAS scan NULL scan sweeps ICMP echo TCP sweeps misc. UDP/ICMP error FTP Bounce scanning

25 25 TCP sweeps Envoi dun paquet SYN ou ACK sur le port 80 de la cible (le moins souvent filtré). Si il y a une réponse de la machine, on peut en déduire quelle est UP. Sinon, on la considèrera comme DOWN. Peu fiable.

26 26 Scan type scan open TCP connect() reverse ident half-open TCP SYN scan « dumb » scan stealth TCP FIN scan ACK scan XMAS scan NULL scan sweeps ICMP echo TCP sweeps misc. UDP/ICMP error FTP Bounce scanning

27 27 UDP/ICMP error Envoi dun paquet UDP de 0 octet sur chaque port de la machine. Si on reçoit un message ICMP port unreachable, le port est fermé. Sinon, il est considéré comme ouvert. Beaucoup de services vulnérables écoutent sur de lUDP: snmp, NFS,… On évite les IDS spécifiques à TCP.

28 28 UDP/ICMP error - désavantages Protocole UDP non fiable. Risque de conclure à un port fermé alors que la cible na pas reçu nos paquets. Il faut donc retransmettre plusieurs fois. Techniquement, un port fermé nest pas obligé de renvoyer un message derreur. Scan très lent sur certains systèmes dexploitations qui respectent la RFC 1812 (limitation de la vitesse denvoi des messages derreur ICMP). Il faut être root pour accéder au SOCKET ICMP.

29 29 Scan type scan open TCP connect() reverse ident half-open TCP SYN scan « dumb » scan stealth TCP FIN scan ACK scan XMAS scan NULL scan sweeps ICMP echo TCP sweeps misc. UDP/ICMP error FTP Bounce scanning

30 30 FTP Bounce scanning Utilise la fonctionnalité proxy dun serveur FTP. Pros: Identité de lattaquant masquée par le proxy (firewall éventuel). Autoscan du serveur avec ladresse en ignorant un firewall. Cons: maintenant connu (patché)

31 31 OS Detection Limplémentation de la pile TCP/IP diffère selon les systèmes dexploitation. Les failles de sécurité sont souvent spécifiques à un système dexploitation ou à un groupe de systèmes dexploitation, et ceci en raison dinterprétations différentes du contenu des RFC.

32 32 OS DetectionII Test FIN : paquet FIN envoyé à un port ouvert. La RFC 793 stipule quil ne faut pas y répondre. Certains OS renvoient un RST. Numéro de séquence initial (ISN) : son choix dépend de limplémentation TCP. Taille de la fenêtre TCP initiale: plus ou moins constante selon le type dOS.

33 33 OS Detection III ICMP : Citation des messages derreur ICMP : Il faut inclure une partie du message à lorigine de lerreur. Certains systèmes dexploitation renvoient une plus grande partie du message dorigine que dautres. Intégrité des messages derreur ICMP : Certains systèmes dexploitation altèrent les en-têtes IP.

34 34 OS Detection IV Options TCP : Toutes les machines ne les implémentent pas. Celles qui les implémentent le signalent en plaçant dans leur réponse les options supportées parmi celles présentes dans le message reçu.

35 35 Techniques de Port Scanning I Scan aléatoire. Les IDS recherchent des scans séquentiels (ports scannés dans lordre). Scan lent. Les IDS analysent le trafic sur une certaine période de temps (seuil de détection) à la recherche dune IP qui revient souvent.

36 36 Techniques de Port Scanning II Fragmentation. Nécessite un stealth scan (NMAP). Défragmentation non gérée par les firewalls (temps, ressources) mais par la machine cible. Comportement inattendu côté cible.

37 37 Techniques de Port Scanning III Decoys. Permet de noyer sa propre IP parmi une série dadresses spoofées (DoS !). Détection: valeur du champ TTL. Scans coordonnés Travailler à plusieurs pour scanner un réseau. Multiples IP scannent un réseau cible à des périodes de temps différentes.

38 38 Exemples de résultats NMAP nmap -sS -O Starting nmap V. 2.54BETA30 ( ) Interesting ports onmontef00.montefiore.ulg.ac.be ( ): (The 1518 ports scanned but not shown below are in state: closed) Port State Service 7/tcp open echo 9/tcp open discard 13/tcp open daytime 19/tcp open chargen 21/tcp open ftp 25/tcp filtered smtp 37/tcp open time 53/tcp open domain 80/tcp open http 110/tcp open pop-3 111/tcp open sunrpc 161/tcp filtered snmp 513/tcp open login 514/tcp open shell 515/tcp open printer 540/tcp open uucp 587/tcp open submission 1524/tcp open ingreslock 2049/tcp open nfs 4045/tcp open lockd 6000/tcp open X /tcp open dtspc 6699/tcp filtered napster 7100/tcp open font-service 8888/tcp open sun-answerbook 32771/tcp open sometimes-rpc /tcp open sometimes-rpc /tcp open sometimes-rpc /tcp open sometimes-rpc /tcp open sometimes-rpc /tcp open sometimes-rpc23 No exact OS matches for host (If you know what OS is running on it, see TCP/IP fingerprint: SInfo(V=2.54BETA30%P=i686-pc-linux gnu%D=2/24%Time=3C79126E%O=7%C=1) TSeq(Class=RI%gcd=1%SI=C5AC%IPID=I%TS=100HZ) TSeq(Class=RI%gcd=2%SI=363A%IPID=I%TS=100HZ) TSeq(Class=RI%gcd=1%SI=79CD%IPID=I%TS=100HZ) T1(Resp=Y%DF=Y%W=60DA%ACK=S++%Flags=AS%Ops=NNTNWM) T2(Resp=N) T3(Resp=N) T4(Resp=N) T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=N) T7(Resp=N) PU(Resp=Y%DF=Y%TOS=40%IPLEN=70%RIPTL=148%RID=E%RIPCK= E%UCK=E%ULEN=134%DAT=E) Uptime days (since Wed Oct 10 21:38: ) Nmap run completed -- 1 IP address (1 host up) scanned in 66 seconds


Télécharger ppt "Port Scanning (NMAP) Les différentes techniques de scans Laurent Barsin Olivier Delcourt Amaury Duchesne Phat Piron 01/03/02."

Présentations similaires


Annonces Google