L’attaque
Question 3
Quelle est l’adresse IP de l’attaquant ?
L’attaquant se trouve à l’adresse IP : 192.168.0.9.
Remarque : Nous allons détailler par la suite le mode opératoire des attaques, ce qui permettra d’expliquer notre déduction.
Question 4
Quelle est l’adresse attaquée ?
Le serveur attaqué se trouve à l’adresse IP : 192.168.0.99.
Remarque : Nous allons détailler par la suite le mode opératoire des attaques, ce qui permettra d’expliquer notre déduction.
Question 5
Identifier les 5 techniques de scans utilisées et les décrire.
Disposant du Dump TCP de l’attaque, nous pouvons lancer une analyse via un « IDS » (Intrusion Dectection System) tel que Snort. Cela nous donnera un premier aperçu des intrusions enregistrées.
Exemple :
# Il faut lancer Snort sur le fichier de logs
# Et lui spécifier le fichier contenant les règles d’analyse
root@ubuntu:$# snort -r /xxx/0826@19-snort.log -c /xxx/snort.conf
Nous obtenons alors à l’écran le résultat suivant :
Running in IDS mode
–== Initializing Snort ==–
[…]
–== Initialization Complete ==–
[…]
========================
Snort processed 163832 packets.
========================
Breakdown by protocol:
TCP: 163816 (99.990%)
UDP: 3 (0.002%)
ICMP: 13 (0.008%)
[…]
========================
Action Stats:
ALERTS: 8898
LOGGED: 8923
PASSED: 0
========================
Snort exiting
De l’étape d’initialisation, nous retenons que Snort est capable de détecter différents types de scans sur les protocoles TCP, UDP, ICMP et IP.
Étudions-les en détails :
- Le « Portscan » : il s’agit de scanner un unique hôte, à la recherche de plusieurs ports d’écoute ;
- Le « Portsweep » : il s’agit de scanner plusieurs hôtes, à la recherche d’un port d’écoute spécifique ;
- Le « Decoy Portscan » : il s’agit d’un Portscan où l’attaquant simule avec sa machine plusieurs scans provenant de différentes adresses (dont la sienne), afin de se dissimuler dans la masse ;
- Le « Distributed Portscan » : il s’agit de Portscans réalisés par de multiples hôtes sur une victime commune.
Du bilan de l’analyse nous retenons que 99.99% des alertes concernent le protocole TCP et que le reste se réparti sur l’UDP et l’ICMP. 8898 alertes ont été générées, il nous faut aller voir le fichier /var/log/snort/alert.
Ce fichier contenant aux alentours de 63.000 lignes d’enregistrements, j’ai utilisé un petit script pour établir quelques statistiques, dont voici le résultat :
# Statistiques
[**] [1:1228:7] SCAN nmap XMAS [**] - 7513
[**] [1:623:6] SCAN NULL [**] - 1329
[**] [122:1:0] (portscan) TCP Portscan [**] - 25
[**] [1:469:3] ICMP PING NMAP [**] - 7
On peut constater que les scans de type « XMAS » sont largement plus nombreux, suivis par les scans de type « NULL ». Mais d’autres types de scans sont tout de mêmes présents tels que le « scan de port TCP ».