Les outils

Question 6

Quel outil de scan a été employé pour l’exercice ? Comment le déterminer ?

Le scanner utilisé dans cette étude est Nmap.

Quand les journaux de logs retournés sont passés au crible par un IDS tel que « Snort », nous obtenons un fichier contenant les alertes générées. Dans ce fichier, de nombreuses alertes apparaissent mentionnant des scans « Nmap » :

[**] [1:469:3] ICMP PING NMAP [**]

[Classification: Attempted Information Leak] [Priority: 2]

08/26-23:59:50.250759 192.168.0.9 -> 192.168.0.99

ICMP TTL:40 TOS:0×0 ID:34827 IpLen:20 DgmLen:28

Type:8 Code:0 ID:31465 Seq:0 ECHO

[Xref => http://www.whitehats.com/info/IDS162]

[**] [1:1228:7] SCAN nmap XMAS [**]

[Classification: Attempted Information Leak] [Priority: 2]

08/27-00:21:38.723384 192.168.0.9:42307 -> 192.168.0.99:1

TCP TTL:39 TOS:0×0 ID:25186 IpLen:20 DgmLen:60

**U*P**F Seq: 0×2DC1139F Ack: 0×0 Win: 0×1000 TcpLen: 40 UrgPtr: 0×0

TCP Options (5) => WS: 10 NOP MSS: 265 TS: 1061109567 0 EOL

[Xref => http://www.whitehats.com/info/IDS30]

D’autres alertes liées aux scans sont générées ne mentionnant pas « Nmap », mais méritent d’apparaître :

[**] [122:1:0] (portscan) TCP Portscan [**] [Priority: 3]

08/27-00:00:00.597033 192.168.0.9 -> 192.168.0.99

PROTO:255 TTL:0 TOS:0×0 ID:0 IpLen:20 DgmLen:159 DF

[**] [1:623:6] SCAN NULL [**]

[Classification: Attempted Information Leak] [Priority: 2]

08/27-00:21:32.833580 192.168.0.9:42294 -> 192.168.0.99:59

TCP TTL:39 TOS:0×0 ID:3234 IpLen:20 DgmLen:40

******** Seq: 0×0 Ack: 0×0 Win: 0×1000 TcpLen: 20

[Xref => http://www.whitehats.com/info/IDS4

Question 7

Dans quel but scanne-t-on des ports ?

Le scan de ports permet à un hôte externe au réseau, qui est dépourvu de droit d’accès sur la cible, d’obtenir des renseignements sur les services offerts par celle-ci. Cela lui permet aussi d’obtenir une bonne idée de la version du système d’exploitation. La connaissance des données précédentes fournit suffisamment d’éléments à l’attaquant pour trouver et exploiter une vulnérabilité du système cible.