Honeynet

Honeynet : scan of the month

Plan du tutoriel

Présentation

Le projet « Honeynet » est une organisation de recherche à but non lucratif, destinée à éprouver la sécurité de l’Internet, sans aucun coût pour le public. Tous les travaux sont menés avec un idéal d’Open Source afin de faire la différence. Ce but se réalise en suivant 3 objectifs :

  • La connaissance : l’apprentissage des différentes menaces et vulnérabilités existantes sur Internet ;
  • L’information : la diffusion de détails et d’informations critiques ;
  • Les outils : la mise à disposition des outils pour réaliser ces analyses soi-même.

Analyse de 5 types de scans de ports

Le challenge

Vous pourrez trouver les sources de l’étude en suivant ce lien : http://www.honeynet.org/scans/scan23/.

Les membres de l’équipe du sud de la Floride ont générés manuellement 5 différents types de scans de ports depuis Internet vers un unique « Honeypot » (i.e. : pot de miel). Durant chacun des scans, un « IDS » (i.e. : Intrusion Detection System) capture et enregistre les évènements réseau dans un fichier de log. « Snort » est le logiciel utilisé pour la capture des scans au format « Tcpdump », via la librairie : « Libpcap ». La mission est de répondre aux questions suivantes :

  1. Qu’est-ce qu’un fichier binaire de log et comment en créer ?
  2. Qu’est-ce que le MD5 et quelle valeur produit-il ?
  3. Quelle est l’adresse IP de l’attaquant ?
  4. Quelle est l’adresse attaquée ?
  5. Identifier les 5 techniques de scans utilisées et les décrire.
  6. Quel outil de scan a été employé pour l’exercice ? Comment le déterminer ?
  7. Dans quel but scanne-t-on des ports ?
  8. Quels sont les ports trouvés ouverts ?
  9. Quel est le système d’exploitation de l’attaquant ?

Les outils conseillés pour réaliser cette étude sont :

  • Tcpdump : un débuggeur de réseau permettant d’intercepter les paquets TCP/IP, …
  • Snort : un « IDS » (i.e. : Intrusion Detection System) ;
  • Wireshark : un explorateur de logs ainsi qu’un excellent sniffer réseau ;
  • Nmap : un scanner de ports ;
  • P0f : un outil permettant de récupérer le système d’exploitation à partir d’ « Empreintes digitales ».

Tutoriaux :

Sources :

Mon rapport au format pdf : ici.