L espionnage dans les réseaux TCP/IP: sniffers et anti-sniffers (Collection Réseaux et télécoms)

281 pages

Français

Découvre YouScribe en t'inscrivant gratuitement

Je m'inscris

L'espionnage dans les réseaux TCP/IP: sniffers et anti-sniffers (Collection Réseaux et télécoms) , livre ebook

Hermès - Editions Lavoisier - Zouheir Trabelsi

Découvre YouScribe en t'inscrivant gratuitement

Je m'inscris

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

281 pages

Français

Obtenez un accès à la bibliothèque pour le consulter en ligne
En savoir plus

A propos
Informations
Extrait

Description

Le sniffer est une arme à double tranchant : pour l'administrateur, c'est un outil de gestion des réseaux qui permet de contrôler les accès et de détecter les activités suspectes , pour un utilisateur malveillant, il permet d'écouter les communications, d'intercepter le trafic sur le réseau pour s'approprier des informations sensibles telles que les logins, les mots de passe, les e-mails, etc. Cet ouvrage présente les sniffers des réseaux partagés et commutés, mais aussi quelques scénarios de piratage et d'espionnage dans les réseaux et les systèmes, ainsi que les différentes techniques et outils de détection des sniffers. L'auteur s'adresse aux directeurs et responsables informatiques, aux administrateurs et ingénieurs de sécurité, aux consultants en sécurité informatique ainsi qu'aux étudiants des Ecoles d'ingénieurs.
Les réseaux locaux Ethernet et les protocoles TCP/IP. Les réseaux locaux. Les protocoles TCP/IP. Des attaques communes sur les réseaux et les systèmes. Les attaques de déni de service. Le détournement de session. Les attaques par saturation de mémoire. Les attaques des mots de passe. L'attaque Unicode sur les serveurs Web Microsoft IIS. L'attaque de NetBios : accès aux fichiers partagés. Les attaques de la falsification des adresses IP (IP spoofing) et des e-mails. Les attaques des chevaux de Troie. Les sniffers dans les réseaux partagés. Introduction. Le mode normal et le mode promiscuous des cartes réseaux. Le filtrage matériel. Fonctionnalités d'un sniffer. Les composantes d'unsniffer. Les librairies logicielles de capture et de génération de paquets. Les protocoles vulnérables au sniffing. Les sniffers les plus notoires. Les sniffers contrôlables à distance. Scénarios d'attaques avec des sniffers. Visualisation des connexions réseau. Lecture des e-mails des utilisateurs. Récupération des logins et des mots de passe des comptes e-mails des utilisateurs. Visualisation des sites Web visités par les utilisateurs. Récupération des logins et mots de passe des services FTP. Récupération des fichiers texte téléchargés à partir d'un serveur FTP. Les attaques de déni de service (DoS). La désactivation des connexions TCP. L'attaque de déviation avec un paquet ICMP. Les techniques et les outils de détection des sniffers dans les réseaux Ethernet partagés. Le concept du mode promiscuous. Les filtres systèmes. Les méthodes de détection des sniffers dans les réseaux Ethernet partagés. Les outils de détection des sniffers : les anti-sniffers. Leurrer les anti-sniffers : les anti-anti-sniffers. Les sniffers dans les réseaux commutés. Introduction. Les commutateurs : rappel. Les techniques du sniffing dans les réseaux commutés. Les outils de sniffing. Les techniques et les outils de détection des sniffers dans les réseaux commutés. Introduction. Les caches ARP statiques. Mise à jour des caches ARP. Détection de la corruption basée sur l'analyse du trafic. La défense contre le clonage MAC (MAC cloning). Détection des sniffers. Déconnexion des machines sniffeuses. L'outil Advanced AntiSniffer. Annexe. Bibliographie.

Sujets

Informatique

réseaux

Informations

Publié par	Hermès - Editions Lavoisier
Date de parution	11 octobre 2005
Nombre de lectures	509
EAN13	9782746217638
Langue	Français
Poids de l'ouvrage	6 Mo

Informations légales : prix de location à la page 0,0585€. Cette information est donnée uniquement à titre indicatif conformément à la législation en vigueur.

Extrait

L’espionnage dans les réseaux TCP / IP

AVERTISSEMENT

Le but de cet ouvrage est de faire connaître les techniques de piratage pour mieux les combattre. L’atteinte aux systèmes de traitement automatisé de données est un délit prévu par les articles 323-1 à 323-7 du Code Pénal.

Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni d'un an d'emprisonnement et de 15000 euros d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de 30000 euros d'amende.

Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 45000 euros d'amende.

Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de 45000 euros d'amende.

La tentative des délits prévus par les articles 323-1 à 323-3 est punie des mêmes peines.

(Ordonnance n° 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002)

©LAVOISIER, 2005

LAVOISIER —11, rue Lavoisier — 75008 Paris

www.hermes-science.com

www.lavoisier.fr

ISBN 2-7462-1178-5

Le Code de la propriété intellectuelle n'autorisant, aux termes de l'article L. 122-5, d'une part, que les "copies ou reproductions strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective" et, d'autre part, que les analyses et les courtes citations dans un but d'exemple et d'illustration, "toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement de l'auteur ou de ses ayants droit ou ayants cause, est illicite" (article L. 122-4). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait donc une contrefaçon sanctionnée par les articles L. 335-2 et suivants du Code de la propriété intellectuelle.

Tous les noms de sociétés ou de produits cités dans cet ouvrage sont utilisés à des fins d’identification et sont des marques de leurs détenteurs respectifs.

L’espionnage dans les réseaux TCP / IP

sniffers et antisniffers

Zouheir Trabelsi

COLLLECTION DIRIGÉE PAR GUYPUJOLLE

TABLE DES MATIERES

Avant-propos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Chapitre 1. Les réseaux locaux Ethernet et les protocoles TCP/IP. . . . . . 1.1. Les réseaux locaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.1. Les composants matériels dun réseau local . . . . . . . . . . . . . 1.1.2. Topologies des réseaux locaux . . . . . . . . . . . . . . . . . . . . . 1.1.3. Les réseaux Ethernet partagés. . . . . . . . . . . . . . . . . . . . . . 1.1.4. Les réseaux Ethernet commutés . . . . . . . . . . . . . . . . . . . . 1.1.5. Les routeurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2. Les protocoles TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.1. Avantages des protocoles TCP/IP . . . . . . . . . . . . . . . . . . . 1.2.2. Architecture des protocoles TCP/IP . . . . . . . . . . . . . . . . . . 1.2.3. Encapsulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.4. Démultiplexage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.5. Ladressage Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.6. Principe de routage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.7. Les protocoles ARP et RARP . . . . . . . . . . . . . . . . . . . . . . 1.2.8. Le protocole IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.9. Le protocole ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.10. Le modèle client-serveur . . . . . . . . . . . . . . . . . . . . . . . . 1.2.11. Le protocole UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.12. Le protocole TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.13. Les services Internet . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3. Résumé du chapitre 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Chapitre 2. Des attaques communes sur les réseaux et les systèmes. . . . . 2.1. Les attaques de déni de service . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1. Exemples dattaques de déni de service . . . . . . . . . . . . . . . .

15 15 16 16 21 22 23 25 25 26 29 30 30 33 34 37 41 44 45 46 51 54

55 56 56

6 Lespionnage dans les réseaux TCP/IP

2.1.2. Les outils combinés de déni de service . . . . . . . . . . . . . . . . 2.1.3. Lattaque de déni de service distribué . . . . . . . . . . . . . . . . . 2.2. Le détournement de session . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1. Les attaques de détournement de session . . . . . . . . . . . . . . . 2.2.2. Les outils de détournement de session. . . . . . . . . . . . . . . . . 2.3. Les attaques par saturation de mémoire . . . . . . . . . . . . . . . . . . . 2.3.1. La recherche des vulnérabilités de saturation de mémoire . . . . . 2.3.2. Les différents types dattaque de saturation de mémoire . . . . . . 2.4. Les attaques des mots de passe . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1. Problème des mots de passe par défaut . . . . . . . . . . . . . . . . 2.4.2. Lobtention des mots de passe par script . . . . . . . . . . . . . . . 2.4.3. Le craquage et le stockage des mots de passe . . . . . . . . . . . . 2.4.4. Les techniques de craquage des mots de passe . . . . . . . . . . . . 2.4.5. Les outils de craquage des mots de passe . . . . . . . . . . . . . . . 2.5. Lattaque Unicode sur les serveurs web Microsoft IIS . . . . . . . . . . 2.5.1. Trouver un serveur web IIS vulnérable . . . . . . . . . . . . . . . . 2.6. Lattaque de NetBios : accès aux fichiers partagés. . . . . . . . . . . . . 2.6.1. Utilisation des commandes DOS . . . . . . . . . . . . . . . . . . . . 2.6.2. Utilisation de loutil LANWalk Scanner . . . . . . . . . . . . . . . 2.7. Les attaques de la falsification des adresses IP (IPspoofing) et des e-mails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.7.1. La falsification des adresses IP et e-mails. . . . . . . . . . . . . . . 2.8. Les attaques des chevaux de Troie . . . . . . . . . . . . . . . . . . . . . . 2.9. Résumé du chapitre 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Chapitre 3. Lessniffersdans les réseaux partagés. . . . . . . . . . . . . . . . 3.1. Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2. Le mode normal et le modepromiscuous. . . . . . .des cartes réseau 3.3. Le filtrage matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.1. Unicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.2. Broadcast (adresse de diffusion générale). . . . . . . . . . . . . . . 3.3.3. Multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.4. Promiscuous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4. Fonctionnalités dunsniffer. . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1. Utilités dessniffers. . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.2. Les dangers et les menaces . . . . . . . . . . . . . . . . . . . . . . . 3.5. Les composantes dunsniffer. . . . . . . . . . . . . . . . . . . . . . . . . 3.6. Les librairies logicielles de capture et de génération de paquets . . . . . 3.7. Les protocoles vulnérables ausniffing. . . . . . . . . . . . . . . . . . . . 3.7.1. HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.7.2. Telnet et rlogin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.7.3. SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

59606464656666676768686970717373767778

81 81 86 89

91 91 92 93 93 94 94 94 95 95 104 105 106 108 108 108 108

Table des matières 7

3.7.4. SMTP, POP, FTP, IMAP, NNTP. . . . . . . . . . . . . . . . . . . . 3.8. Lessniffersles plus notoires . . . . . . . . . . . . . . . . . . . . . . . . . . 3.8.1. Ethereal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.8.2. Sniffer Pro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.8.3. CommView . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.8.4. TCPdump. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.8.5. Snort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.9. Lessniffers. . . . . . . . . . . . . . . . . . . . . .contrôlables à distance 3.9.1. Exemple 1 : CommView Remote Agent . . . . . . . . . . . . . . . 3.9.2. Utilisation de CommView Remote Agent . . . . . . . . . . . . . . 3.9.3. Contrôle du trafic avec le programme client : lesniffer. . . . . . . . . . . . . . . . . . . . . . . . . . . . .CommView . 3.10. Résumé du chapitre 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Chapitre 4. Scénarios dattaques avec dessniffers. . . . . . . . . . . . . . . . 4.1. Visualisation des connexions réseau . . . . . . . . . . . . . . . . . . . . . 4.2. Lecture des e-mails des utilisateurs . . . . . . . . . . . . . . . . . . . . . . 4.3. Récupération desloginset des mots de passe des comptes e-mail des utilisateurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4. Visualisation des sites web visités par les utilisateurs . . . . . . . . . . . 4.5. Récupération desloginset mots de passe des services FTP . . . . . . . 4.6. Récupération des fichiers texte téléchargés à partir dun serveur FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.7. Les attaques de déni de service (DoS) . . . . . . . . . . . . . . . . . . . . 4.7.1. Exemple 1 : lattaque Land . . . . . . . . . . . . . . . . . . . . . . . 4.8. La désactivation des connexions TCP . . . . . . . . . . . . . . . . . . . . 4.9. Lattaque de déviation avec un paquet ICMP . . . . . . . . . . . . . . . . 4.10. Résumé du chapitre 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Chapitre 5. Les techniques et les outils de détection dessniffers dans les réseaux Ethernet partagés. . . . . . . . . . . . . . . . . . . . . . . . . 5.1. Le concept du modepromiscuous. . . . . . . . . . . . . . . . . . . . . . . 5.2. Les filtres système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2.1. Le filtre matériel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2.2. Le filtre logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3. Les méthodes de détection dessniffersdans les réseaux Ethernet partagés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.1. La méthode du DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.2. La méthode pots de miel (honey pots) . . . . . . . . . . . . . . . . . 5.3.3. La méthode de lhôte local . . . . . . . . . . . . . . . . . . . . . . . 5.3.4. La méthode de latence . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.5. La méthode physique . . . . . . . . . . . . . . . . . . . . . . . . . . .

108 109 110 115 116 117 118 118 119 120

121 122

125 126 126

129 131 133

136 137 138 141 142 145

147 147 148 149 149

150 150 155 156 162 163

8 Lespionnage dans les réseaux TCP/IP

5.3.6. La méthode du ping ICMP . . . . . . . . . . . . . . . . . . . . . . . 5.3.7. La méthode de lARP . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.8. Extension de la méthode de lARP : la méthode de lARP améliorée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.9. La méthode de lattaque du cache ARP . . . . . . . . . . . . . . . . 5.4. Les outils de détection dessniffers: lesanti-sniffers. . . . . . . . . . . 5.4.1. PromiScan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.2. L0pht AntiSniff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.3. Advanced AntiSniffer . . . . . . . . . . . . . . . . . . . . . . . . . . 5.5. Leurrer lesanti-sniffers: lesanti-anti-sniffers. . . . . . . . . . . . . . . 5.6. Résumé du chapitre 5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Chapitre 6. Lessniffersdans les réseaux commutés. . . . . . . . . . . . . . . 6.1. Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2. Les commutateurs : rappel . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3. Les techniques dusniffing. . . . . . . . . .dans les réseaux commutés 6.3.1. Leswitch jamming. . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.2. La déviation avec un paquet ICMP . . . . . . . . . . . . . . . . . . 6.3.3. La reconfiguration du port moniteur/SPAN . . . . . . . . . . . . . 6.3.4. La manipulation des tables de commutation (les tables CAM) . . 6.3.5. Les techniques de manipulation des caches ARP . . . . . . . . . . 6.4. Les outils desniffing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.1. Dsniff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.2. Ettercap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.3. Taranis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.4. Angst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.5. Winarp-sk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.6. ARPoison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.7. Parasite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.8. Le projet ZWEKNU . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4.9. Snarp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5. Résumé du chapitre 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Chapitre 7. Les techniques et les outils de détection dessniffersdans les réseaux commutés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.1. Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2. Les caches ARP statiques . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3. Mise à jour des caches ARP . . . . . . . . . . . . . . . . . . . . . . . . . . 7.4. Détection de la corruption basée sur lanalyse du trafic . . . . . . . . . . 7.4.1. Les vulnérabilités du protocole ARP . . . . . . . . . . . . . . . . . 7.4.2. Une approche de détection . . . . . . . . . . . . . . . . . . . . . . . 7.5. La défense contre le clonage MAC (MAC cloning) . . . . . . . . . . . .

163 166

168 175 185 186 188 188 189 191