L’attaque

Question 3

Quelle est l’adresse IP de l’attaquant ?

L’attaquant se trouve à l’adresse IP : 192.168.0.9.

Remarque : Nous allons détailler par la suite le mode opératoire des attaques, ce qui permettra d’expliquer notre déduction.

Question 4

Quelle est l’adresse attaquée ?

Le serveur attaqué se trouve à l’adresse IP : 192.168.0.99.

Remarque : Nous allons détailler par la suite le mode opératoire des attaques, ce qui permettra d’expliquer notre déduction.

Question 5

Identifier les 5 techniques de scans utilisées et les décrire.

Disposant du Dump TCP de l’attaque, nous pouvons lancer une analyse via un « IDS » (Intrusion Dectection System) tel que Snort. Cela nous donnera un premier aperçu des intrusions enregistrées.

Exemple :

# Il faut lancer Snort sur le fichier de logs

# Et lui spécifier le fichier contenant les règles d’analyse

root@ubuntu:$# snort -r /xxx/0826@19-snort.log -c /xxx/snort.conf

Nous obtenons alors à l’écran le résultat suivant :

Running in IDS mode

–== Initializing Snort ==–

[…]

–== Initialization Complete ==–

[…]

========================

Snort processed 163832 packets.

========================

Breakdown by protocol:

TCP: 163816 (99.990%)

UDP: 3 (0.002%)

ICMP: 13 (0.008%)

[…]

========================

Action Stats:

ALERTS: 8898

LOGGED: 8923

PASSED: 0

========================

Snort exiting

De l’étape d’initialisation, nous retenons que Snort est capable de détecter différents types de scans sur les protocoles TCP, UDP, ICMP et IP.

Étudions-les en détails :

  • Le « Portscan » : il s’agit de scanner un unique hôte, à la recherche de plusieurs ports d’écoute ;
  • Le « Portsweep » : il s’agit de scanner plusieurs hôtes, à la recherche d’un port d’écoute spécifique ;
  • Le « Decoy Portscan » : il s’agit d’un Portscan où l’attaquant simule avec sa machine plusieurs scans provenant de différentes adresses (dont la sienne), afin de se dissimuler dans la masse ;
  • Le « Distributed Portscan » : il s’agit de Portscans réalisés par de multiples hôtes sur une victime commune.

Du bilan de l’analyse nous retenons que 99.99% des alertes concernent le protocole TCP et que le reste se réparti sur l’UDP et l’ICMP. 8898 alertes ont été générées, il nous faut aller voir le fichier /var/log/snort/alert.

Ce fichier contenant aux alentours de 63.000 lignes d’enregistrements, j’ai utilisé un petit script pour établir quelques statistiques, dont voici le résultat :

# Statistiques

[**] [1:1228:7] SCAN nmap XMAS [**] - 7513

[**] [1:623:6] SCAN NULL [**] - 1329

[**] [122:1:0] (portscan) TCP Portscan [**] - 25

[**] [1:469:3] ICMP PING NMAP [**] - 7

On peut constater que les scans de type « XMAS » sont largement plus nombreux, suivis par les scans de type « NULL ». Mais d’autres types de scans sont tout de mêmes présents tels que le « scan de port TCP ».