Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Attaque avec adresse IP forgée

7 views
Skip to first unread message

EPiKoiEncore

unread,
Dec 9, 2009, 6:30:08 AM12/9/09
to
Bonjour � tous

J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
Je subis depuis plus de 24 heures des tentatives de connexion en ssh.
Visiblement l'attaquant se cache derri�re des IP forg�es.
Il y a un essai toutes les 2 � 3 minutes avec un login diff�rent � chaque
fois mais dont le nom cro�t en ordre alphab�tique.

Normalement je bannis pour une heure les IP qui ont plus de trois connexions
infructeuses mais dans ce cas, cela ne marche pas.

Y aurait-il un moyen de d�tecter l'IP r�elle de l'attaquant ???

Merci par avance
Alain


JKB

unread,
Dec 9, 2009, 6:32:39 AM12/9/09
to
Le 09-12-2009, ? propos de
Attaque avec adresse IP forgée,
EPiKoiEncore ?crivait dans fr.comp.securite :
> Bonjour à tous

Bonjour,

> J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
> Je subis depuis plus de 24 heures des tentatives de connexion en ssh.

> Visiblement l'attaquant se cache derrière des IP forgées.
> Il y a un essai toutes les 2 à 3 minutes avec un login différent à chaque
> fois mais dont le nom croît en ordre alphabétique.


>
> Normalement je bannis pour une heure les IP qui ont plus de trois connexions
> infructeuses mais dans ce cas, cela ne marche pas.
>

> Y aurait-il un moyen de détecter l'IP réelle de l'attaquant ???
>
> Merci par avance

Est-ce que sont des vraies IP forgées ou un réseau ? Peut-on avoir
un extrait des logs ?

JKB

--
Le cerveau, c'est un véritable scandale écologique. Il représente 2% de notre
masse corporelle, mais disperse à lui seul 25% de l'énergie que nous
consommons tous les jours.

Xavier Roche

unread,
Dec 9, 2009, 6:51:58 AM12/9/09
to
EPiKoiEncore a �crit :

> Visiblement l'attaquant se cache derri�re des IP forg�es.

Forg�es ou IP de proxy ouverts ? Je n'ai jamais vu de ma vie une seule
attaque avec une "IP forg�e" (l'IP spoofing est plus du domaine de la
l�gende urbaine que de la r�alit�, mis � part quelques curiosit�s
d'attaques par UDP ou ICMP)

Mateusz Viste

unread,
Dec 9, 2009, 7:17:12 AM12/9/09
to
On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:
> Visiblement l'attaquant se cache derri�re des IP forg�es.

Si les IP étaient réellement "forgées", le connexion n'aboutirait jamais
(la poignée de main TCP ne s'établirait même pas).

> Y aurait-il un moyen de d�tecter l'IP r�elle de l'attaquant ???

Sans avoir la main sur les proxies utilisées? Non.

Solution: ne jamais laisser un accès SSH avec authentification par mot de
passe ouvert sur internet.

Cordialement,
Mateusz Viste

P.S. La chose te servant de lecteur de news est mal configurée... ;-)

EPiKoiEncore

unread,
Dec 9, 2009, 8:30:45 AM12/9/09
to

"Mateusz Viste" <mat...@no-spam.please> a �crit dans le message de news:
93h4v6-...@datacenter.viste-family.net...

> On Wednesday 09 December 2009 12:30, EPiKoiEncore wrote:
>> Visiblement l'attaquant se cache derrire des IP forges.
>
> Si les IP �taient r�ellement "forg�es", le connexion n'aboutirait jamais
> (la poign�e de main TCP ne s'�tablirait m�me pas).
>
>> Y aurait-il un moyen de dtecter l'IP relle de l'attaquant ???
>
> Sans avoir la main sur les proxies utilis�es? Non.
>
> Solution: ne jamais laisser un acc�s SSH avec authentification par mot de
> passe ouvert sur internet.
>

Merci de votre r�ponse.
Mais comment faites-vous pour vous connecter de n'importe o� sur une
machine.?
En dehors du ssh, je ne vois pas trop ?!


> Cordialement,
> Mateusz Viste
>
> P.S. La chose te servant de lecteur de news est mal configur�e... ;-)

Oui mais pour mes mails, c'est Thunderbird ;-)


EPiKoiEncore

unread,
Dec 9, 2009, 8:28:44 AM12/9/09
to
Merci pour vos r�ponses
Amicalement

Voici un petit bout des logs (il y en a beaucoup plus!) :
/************/
Dec 9 11:11:43 pitchou sshd[30469]: Invalid user export from 189.53.181.13
Dec 9 11:11:44 pitchou sshd[30469]: error: PAM: User not known to the
underlying authentication module for illegal user export from 189.53.181.13
Dec 9 11:11:44 pitchou sshd[30469]: Failed keyboard-interactive/pam for
invalid user export from 189.53.181.13 port 39272 ssh2
Dec 9 11:17:16 pitchou sshd[30500]: Invalid user extra from 113.105.82.13
Dec 9 11:17:16 pitchou sshd[30500]: error: PAM: User not known to the
underlying authentication module for illegal user extra from 113.105.82.13
Dec 9 11:17:16 pitchou sshd[30500]: Failed keyboard-interactive/pam for
invalid user extra from 113.105.82.13 port 8283 ssh2
Dec 9 11:25:56 pitchou sshd[30514]: Invalid user fabios from
211.115.234.143
Dec 9 11:25:56 pitchou sshd[30514]: error: PAM: User not known to the
underlying authentication module for illegal user fabios from
211.115.234.143
Dec 9 11:25:56 pitchou sshd[30514]: Failed keyboard-interactive/pam for
invalid user fabios from 211.115.234.143 port 60846 ssh2
Dec 9 11:37:33 pitchou sshd[30551]: Invalid user fax from 79.190.233.42
Dec 9 11:37:33 pitchou sshd[30551]: error: PAM: User not known to the
underlying authentication module for illegal user fax from
ita42.internetdsl.tpnet.pl
Dec 9 11:37:33 pitchou sshd[30551]: Failed keyboard-interactive/pam for
invalid user fax from 79.190.233.42 port 60563 ssh2
Dec 9 11:40:25 pitchou smartd[3370]: Device: /dev/sda, SMART Prefailure
Attribute: 1 Raw_Read_Error_Rate changed from 55 to 54
Dec 9 11:40:25 pitchou smartd[3370]: Device: /dev/sda, SMART Usage
Attribute: 195 Hardware_ECC_Recovered changed from 55 to 54
Dec 9 11:42:37 pitchou sshd[30573]: Invalid user acct from 168.20.197.63
Dec 9 11:42:37 pitchou sshd[30573]: error: PAM: User not known to the
underlying authentication module for illegal user acct from
sun.savannahstate.edu
Dec 9 11:42:37 pitchou sshd[30573]: Failed keyboard-interactive/pam for
invalid user acct from 168.20.197.63 port 34273 ssh2
Dec 9 11:45:26 pitchou syslog-ng[1868]: STATS: dropped 0
Dec 9 11:51:37 pitchou sshd[30609]: Invalid user felipe from 121.52.215.180
Dec 9 11:51:38 pitchou sshd[30609]: error: PAM: User not known to the
underlying authentication module for illegal user felipe from 121.52.215.180
Dec 9 11:51:38 pitchou sshd[30609]: Failed keyboard-interactive/pam for
invalid user felipe from 121.52.215.180 port 49957 ssh2
Dec 9 11:54:29 pitchou sshd[30618]: Address 125.40.69.208 maps to
hn.kd.ny.adsl, but this does not map back to the address - POSSIBLE BREAK-IN
ATTEMPT!
Dec 9 11:54:29 pitchou sshd[30618]: Invalid user felix from 125.40.69.208
Dec 9 11:54:29 pitchou sshd[30618]: error: PAM: User not known to the
underlying authentication module for illegal user felix from 125.40.69.208
Dec 9 11:54:29 pitchou sshd[30618]: Failed keyboard-interactive/pam for
invalid user felix from 125.40.69.208 port 45688 ssh2
Dec 9 11:57:25 pitchou sshd[30625]: Invalid user felix from 113.105.82.13
Dec 9 11:57:26 pitchou sshd[30625]: error: PAM: User not known to the
underlying authentication module for illegal user felix from 113.105.82.13
Dec 9 11:57:26 pitchou sshd[30625]: Failed keyboard-interactive/pam for
invalid user felix from 113.105.82.13 port 12295 ssh2
Dec 9 12:00:08 pitchou sshd[30652]: Invalid user felix from 78.43.82.153
Dec 9 12:00:09 pitchou sshd[30652]: error: PAM: User not known to the
underlying authentication module for illegal user felix from
hsi-kbw-078-043-082-153.hsi4.kabel-badenwuerttemberg.de
Dec 9 12:00:09 pitchou sshd[30652]: Failed keyboard-interactive/pam for
invalid user felix from 78.43.82.153 port 55045 ssh2
Dec 9 12:05:59 pitchou sshd[30663]: Invalid user fernanda from
190.144.133.214
Dec 9 12:06:00 pitchou sshd[30663]: error: PAM: User not known to the
underlying authentication module for illegal user fernanda from
190.144.133.214
Dec 9 12:06:00 pitchou sshd[30663]: Failed keyboard-interactive/pam for
invalid user fernanda from 190.144.133.214 port 59256 ssh2
Dec 9 12:08:51 pitchou sshd[30672]: Invalid user fernando from 212.243.41.9
Dec 9 12:08:51 pitchou sshd[30672]: error: PAM: User not known to the
underlying authentication module for illegal user fernando from 212.243.41.9
Dec 9 12:08:51 pitchou sshd[30672]: Failed keyboard-interactive/pam for
invalid user fernando from 212.243.41.9 port 4068 ssh2
Dec 9 12:10:25 pitchou smartd[3370]: Device: /dev/sda, SMART Usage
Attribute: 194 Temperature_Celsius changed from 32 to 31
Dec 9 12:14:40 pitchou sshd[30683]: Invalid user f from 41.206.41.90
Dec 9 12:14:41 pitchou sshd[30683]: error: PAM: User not known to the
underlying authentication module for illegal user f from
mail.consumeroptions.co.ke
Dec 9 12:14:41 pitchou sshd[30683]: Failed keyboard-interactive/pam for
invalid user f from 41.206.41.90 port 41493 ssh2
Dec 9 12:35:04 pitchou sshd[30750]: Address 190.25.136.132 maps to
corporat190-025136132.sta.etb.net.co, but this does not map back to the
address - POSSIBLE BREAK-IN ATTEMPT!
Dec 9 12:35:04 pitchou sshd[30750]: Invalid user finaid from 190.25.136.132
Dec 9 12:35:04 pitchou sshd[30750]: error: PAM: User not known to the
underlying authentication module for illegal user finaid from 190.25.136.132
Dec 9 12:35:04 pitchou sshd[30750]: Failed keyboard-interactive/pam for
invalid user finaid from 190.25.136.132 port 15064 ssh2
Dec 9 12:43:58 pitchou sshd[30764]: Invalid user finanzas from
66.201.160.200
Dec 9 12:43:58 pitchou sshd[30764]: error: PAM: User not known to the
underlying authentication module for illegal user finanzas from
mail.cuscatlan.net
Dec 9 12:43:58 pitchou sshd[30764]: Failed keyboard-interactive/pam for
invalid user finanzas from 66.201.160.200 port 55807 ssh2
Dec 9 12:45:27 pitchou syslog-ng[1868]: STATS: dropped 0

/************/

"JKB" <knat...@koenigsberg.fr> a �crit dans le message de news:
slrnhhv2mo.4...@rayleigh.systella.fr...


> Le 09-12-2009, ? propos de

> Attaque avec adresse IP forg�e,
> EPiKoiEncore ?crivait dans fr.comp.securite :
>> Bonjour � tous


>
> Bonjour,
>
>> J'ai une petite machine sous linux Suse 10.3 avec SuFirewall2
>> Je subis depuis plus de 24 heures des tentatives de connexion en ssh.

>> Visiblement l'attaquant se cache derri�re des IP forg�es.

>> Il y a un essai toutes les 2 � 3 minutes avec un login diff�rent � chaque


>> fois mais dont le nom cro�t en ordre alphab�tique.
>>

>> Normalement je bannis pour une heure les IP qui ont plus de trois
>> connexions
>> infructeuses mais dans ce cas, cela ne marche pas.
>>

>> Y aurait-il un moyen de d�tecter l'IP r�elle de l'attaquant ???
>>
>> Merci par avance
>
> Est-ce que sont des vraies IP forg�es ou un r�seau ? Peut-on avoir


> un extrait des logs ?
>
> JKB
>
> --

> Le cerveau, c'est un v�ritable scandale �cologique. Il repr�sente 2% de
> notre
> masse corporelle, mais disperse � lui seul 25% de l'�nergie que nous
> consommons tous les jours.


Stephane Catteau

unread,
Dec 9, 2009, 8:27:41 AM12/9/09
to
Mateusz Viste devait dire quelque chose comme ceci :

> Solution: ne jamais laisser un accᅵs SSH avec authentification par mot de
> passe ouvert sur internet.

C'est tout sauf une solution ᅵ la problᅵmatique posᅵe ici. Le monsieur
ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me
gonfle". De mᅵme qu'il ne parle pas d'une attaque dictionnaire sur le
mot de passe, mais sur le nom du compte utilisateur.


Stephane Catteau

unread,
Dec 9, 2009, 8:35:23 AM12/9/09
to
EPiKoiEncore n'ᅵtait pas loin de dire :

> Voici un petit bout des logs (il y en a beaucoup plus!) :

[snip]

Une recherche rapide permet d'aboutir entre autre ᅵ ᅵa :
<http://datanethost.net/logs/dos.txt>
<http://charles.the-haleys.org/ssh_dico_attack_hdeny_format.php/hostsdeny.txt>

Et il y en a d'autres, donc tu es pour l'instant la cible d'un gus qui
cherche ᅵ ᅵtendre son botnet, et il y a fort ᅵ parier que c'est ᅵ partir
du botnet lui-mᅵme qu'il le fait. Rien de bien grave si tu es sᅵr de
ton SSH, mais il n'y a pas grand chose que tu puisses faire pour tes
logs, sauf ᅵ bloquer les adresses IP fournis par la seconde URI pour
limiter un peu les domage en attendant.


Mateusz Viste

unread,
Dec 9, 2009, 8:45:58 AM12/9/09
to
On Wednesday 09 December 2009 14:27, Stephane Catteau wrote:
> C'est tout sauf une solution à la problématique posée ici. Le monsieur

> ne dit pas "au secours on veut casser mon SSH", mais "y a un con qui me
> gonfle". De même qu'il ne parle pas d'une attaque dictionnaire sur le

> mot de passe, mais sur le nom du compte utilisateur.

Bah justement - le con, il aura vite fait d'arrêter lorsqu'il s'apercevra
qu'il est incapable de tester ne serait-ce qu'un seul couple login/mot de
passe. :)

Cordialement,
Mateusz Viste

Eric Masson

unread,
Dec 9, 2009, 8:46:55 AM12/9/09
to
"EPiKoiEncore" <a.ferrio...@free.inutile.fr.com> writes:

'Lut,

> Mais comment faites-vous pour vous connecter de n'importe oᅵ sur une
> machine.?

Toujours en ssh mais en dᅵsactivant tout accᅵs autre que celui par clᅵs.

--
NC> Ben quoi ? C'est dᅵshonorant le GCU ? (Si oui, lᅵ, je prendrais
des risques inconsidᅵrᅵs...)
Pas ce que j'ai dit Mais passer du GCU au GNU....
-+- HP in: <http://www.le-gnu.net> - Grandeur et dᅵcadence -+-

Mateusz Viste

unread,
Dec 9, 2009, 8:52:13 AM12/9/09
to
On Wednesday 09 December 2009 14:30, EPiKoiEncore wrote:
> Mais comment faites-vous pour vous connecter de n'importe o� sur une
> machine.?
> En dehors du ssh, je ne vois pas trop ?!

Attention, je ne dis pas d'arrêter SSH.
SSH, c'est BIEN. En revanche, une authentification par login/mot de passe,
c'est MAL. :-)

SSH propose deux mécanismes d'authentificaion: par login/mot de passe
(méthode simple, mais vulnérable aux attaques brute-force), et
authentification par clef.
Pour des accès distants, je préconise de n'autoriser que cette dernière.

Cordialement,
Mateusz Viste

Fabien LE LEZ

unread,
Dec 9, 2009, 8:56:45 AM12/9/09
to
On Wed, 9 Dec 2009 12:30:08 +0100, "EPiKoiEncore"
<a.ferrio...@free.inutile.fr.com>:

>Je subis depuis plus de 24 heures des tentatives de connexion en ssh.

A priori, mes machines en subissent aussi. Rien de bien grave, tant
que tu as des mots de passe s�rieux.

Je n'ai connu qu'un seul cas o� un serveur (pas encore en production,
heureusement) est tomb�[*] � cause de �a : un guignol avait cr�� un
compte temporaire avec un mot de passe trop facile � deviner.
L'identit� du guignol en question ? Un employ� de l'h�bergeur. Grrr...
(Il s'agissait d'un serveur "managed" (infog�r� ?))

[*] Comprendre : un script-kiddie a r�ussi � se connecter, donc on
consid�re que la machine est compromise, et il faut r�installer le
syst�me � partir d'un backup ant�rieur.

Fabien LE LEZ

unread,
Dec 9, 2009, 8:58:55 AM12/9/09
to
On Wed, 09 Dec 2009 14:52:13 +0100, Mateusz Viste :

>En revanche, une authentification par login/mot de passe,
>c'est MAL.

Pourquoi ?

>par login/mot de passe
>(m�thode simple, mais vuln�rable aux attaques brute-force),

Combien de temps faut-il pour trouver un mot de passe de style
Z9PQiQ7N ?

EPiKoiEncore

unread,
Dec 9, 2009, 9:28:52 AM12/9/09
to
Merci � vous tous,

C'est � peu pr�s les mots de passe que j'utilise.
Mais pourquoi avoir diffus� mon mot de passe root ci-dessous ????
:-)

Je clos donc le sujet puisque le risque semble faible.


Merci encore pour vos conseils
Cordialement
Alain

"Fabien LE LEZ" <gram...@gramster.com> a �crit dans le message de news:
66bvh5di5e1q634hn...@4ax.com...

Stephane Catteau

unread,
Dec 9, 2009, 10:26:28 AM12/9/09
to
Mateusz Viste n'ᅵtait pas loin de dire :

> Bah justement - le con, il aura vite fait d'arrᅵter lorsqu'il s'apercevra


> qu'il est incapable de tester ne serait-ce qu'un seul couple login/mot de
> passe. :)

Le con est un botnet qui agit visiblement sur ordre mais sans
controle. Du coup il est parfaitement capable de dᅵrouler l'ensemble de
son dictionnaire mᅵme si ᅵa ne sert strictement ᅵ rien.


Stephane Catteau

unread,
Dec 9, 2009, 10:34:46 AM12/9/09
to
Mateusz Viste n'ᅵtait pas loin de dire :

> En revanche, une authentification par login/mot de passe, c'est MAL. :-)

Pas si c'est vers un compte utilisateur correctement configurᅵ, ᅵ
savoir sans possibilitᅵ d'escalade normale[1], limitᅵ ᅵ trois process,
limitᅵ ᅵ une connexion et on peut aussi jouer sur la limitation
processeur et mᅵmoire pour eviter qu'il puisse servir ᅵ un DoS en
interne. Avec ᅵa il peut faire une connexion scp[2], mais mᅵme un man
ferait beugler le systᅵme. Idᅵal pour un bot, pas plus dangeureux que
ᅵa (mais plus que pas d'accᅵs du tout ᅵvidement) et tellement reposant
pour l'admin qui regarde son petit monde bosser pour lui :D
Il y a aussi la possibilitᅵ, pour les plus programmeurs, d'utiliser un
shell dᅵdiᅵ ce qui limiterait d'autant plus les possibilitᅵs d'action
d'une personne qui arriverait ᅵ casser le mot de passe.

[1]
Une "possibilitᅵ d'escalade normale" ᅵtant ici d'avoir le droit de
faire un p'tit su vers un autre utilisateur ou, pire, root, et de
pouvoir utiliser sudo.
[2]
Dommage qu'il ait besoin d'un shell.


Message has been deleted

Fabien LE LEZ

unread,
Dec 9, 2009, 1:32:27 PM12/9/09
to
On Wed, 9 Dec 2009 18:45:37 +0100, xav...@groumpf.org (Xavier):

>et � part faire gonfler mes
>fichiers hosts.denyssh, �a m'en touche une sans remuer l'autre (c)

Ben justement, s'il s'agit du serveur SSH de l'ordinateur portable qui
se trouve sur tes genoux, toutes ces attaques le font chauffer un peu
plus, et donc chauffer un peu plus tes testicules. Remarque, c'est une
m�thode contraceptive comme une autre...

Message has been deleted

Thierry

unread,
Dec 10, 2009, 4:15:00 AM12/10/09
to
"Stephane Catteau" <steph....@sc4x.net> wrote in message
news:mn.4bda7d9c9...@sc4x.org...

> Le con est un botnet qui agit visiblement sur ordre mais sans
> controle. Du coup il est parfaitement capable de dᅵrouler l'ensemble de
> son dictionnaire mᅵme si ᅵa ne sert strictement ᅵ rien.

Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon courage
deja rien que pour trouver le username.


Jean-Marc Desperrier

unread,
Dec 10, 2009, 6:55:12 AM12/10/09
to
Thierry wrote:
>> Le con est un botnet [...]

>
> Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon
> courage deja rien que pour trouver le username.

Sauf que si le botnet dispose de suffisament d'ip, le blacklistage ne
sert ᅵ rien.

Un blacklistage de quelques minutes valable pour toutes les ip serait
peut-ᅵtre une solution (avec si besoin des plages spᅵcifiques en
white-list).

Stephane Catteau

unread,
Dec 10, 2009, 7:22:32 AM12/10/09
to
Jean-Marc Desperrier n'ᅵtait pas loin de dire :

>> Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon
>> courage deja rien que pour trouver le username.
>
> Sauf que si le botnet dispose de suffisament d'ip, le blacklistage ne
> sert ᅵ rien.

D'aprᅵs les logs que l'on peut trouver sur le net en recherchant
certaines des IP indiquᅵes, non seulement il dispose d'un bon parc
d'adresses IP, mais en plus il ne va pas jusqu'au trois tentatives.


> Un blacklistage de quelques minutes valable pour toutes les ip serait
> peut-ᅵtre une solution (avec si besoin des plages spᅵcifiques en
> white-list).

Dans l'un de mes messages prᅵcᅵdent j'ai pointᅵ un fichier
denyssh.host qui contient entre autres un bon nombre[1] des adresses IP
de ce botnet. Bloquer toutes ces adresses au moins pour deux ou trois
jours serait encore plus efficace.


[1]
Je ne suis pas non plus allᅵ les comparer une ᅵ une hein.


EPiKoiEncore

unread,
Dec 10, 2009, 9:09:42 AM12/10/09
to
Bonjour � tous

Je me permets de m'immiscer dans votre discussion car je me demandais s'il
�tait possible de s'abonner (au niveau du serveur ssh) � des listes d'ip
blacklist�es un peu comme dans postfix avec les rbl spamcop ou mail-abuse
Les hosts.deny me semblent un peu fig�s face � la volatilit� des IP.

P.S.
Pour le blacklistage, j'ai mis 86400 secondes, cela devrait calmer ;-)
Mais je suis loin d'�tre un expert en s�curit� comme vous tous, quand je
vois ce que vous �crivez ...

Merci
Alain

"Stephane Catteau" <steph....@sc4x.net> a �crit dans le message de news:
mn.53227d9c7...@sc4x.org...
> Jean-Marc Desperrier n'�tait pas loin de dire :


>
>>> Avec un blacklistage d'1 heure pour chaque IP ayant 3 echecs, bon
>>> courage deja rien que pour trouver le username.
>>
>> Sauf que si le botnet dispose de suffisament d'ip, le blacklistage ne

>> sert � rien.
>
> D'apr�s les logs que l'on peut trouver sur le net en recherchant
> certaines des IP indiqu�es, non seulement il dispose d'un bon parc


> d'adresses IP, mais en plus il ne va pas jusqu'au trois tentatives.
>
>
>> Un blacklistage de quelques minutes valable pour toutes les ip serait

>> peut-�tre une solution (avec si besoin des plages sp�cifiques en
>> white-list).
>
> Dans l'un de mes messages pr�c�dent j'ai point� un fichier


> denyssh.host qui contient entre autres un bon nombre[1] des adresses IP
> de ce botnet. Bloquer toutes ces adresses au moins pour deux ou trois
> jours serait encore plus efficace.
>
>
> [1]

> Je ne suis pas non plus all� les comparer une � une hein.
>
>


"fx [François-Xavier Peretmere]"

unread,
Dec 10, 2009, 2:16:58 PM12/10/09
to
on the 10/12/2009 15:09 EPiKoiEncore wrote the following:
> Bonjour ᅵ tous

>
> Je me permets de m'immiscer dans votre discussion car je me demandais s'il
> ᅵtait possible de s'abonner (au niveau du serveur ssh) ᅵ des listes d'ip
> blacklistᅵes un peu comme dans postfix avec les rbl spamcop ou mail-abuse
> Les hosts.deny me semblent un peu figᅵs face ᅵ la volatilitᅵ des IP.

http://denyhosts.sourceforge.net/ ?

Ps : merci de rᅵpondre en dessous du message original.

--
Fx

Jean-Marc Desperrier

unread,
Dec 11, 2009, 5:09:25 AM12/11/09
to
Jean-Marc Desperrier wrote:
> Un blacklistage de quelques minutes valable pour toutes les ip serait
> peut-ᅵtre une solution (avec si besoin des plages spᅵcifiques en
> white-list).

En fait, ᅵa ne marche pas du tout ce genre de solution.

Le bot, s'il est obstinᅵ et attaque en force, dᅵrobe systᅵmatiquement le
"slot" de connexion ᅵ l'utilisateur lᅵgitime car il rebloque
instantanᅵment le systᅵme pour plusieurs minutes dᅵs qu'il se dᅵbloque
et le systᅵme apparaᅵt donc comme constamment bloquᅵ.

Une autre mᅵthode efficace serait peut-ᅵtre d'utiliser 2 ports :
- On drop tout par dᅵfaut.
- L'utilisateur lᅵgitime se connecte ᅵ un port secret, qui est lui aussi
droppᅵ
- Mais cela a ouvert pour son ip une fenᅵtre de 30 secondes oᅵ il peut
se connecter sans drop au port lᅵgitime et envoyer ses identifiants
- si l'ip se connecte ᅵ un autre port que le bon pendant les 30
secondes, cela ferme la fenᅵtre
- il faut voir les numᅵros des deux ports juste comme un prᅵ-filtrage
qui ᅵvite d'encombrer les log et le CPU en gᅵrant trop de tentatives de
connexions rejetᅵes.

Stephane Catteau

unread,
Dec 11, 2009, 5:38:57 AM12/11/09
to
Jean-Marc Desperrier n'ᅵtait pas loin de dire :

> Une autre mᅵthode efficace serait peut-ᅵtre d'utiliser 2 ports :
> - On drop tout par dᅵfaut.
> - L'utilisateur lᅵgitime se connecte ᅵ un port secret, qui est lui aussi
> droppᅵ
> - Mais cela a ouvert pour son ip une fenᅵtre de 30 secondes oᅵ il peut
> se connecter sans drop au port lᅵgitime et envoyer ses identifiants

Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
voulant absolument rentrer sur la machine fera un scan de port
systᅵmatique avec analyse du service qui rᅵpond, or une telle personne
finirait de toute faᅵon par comprendre ton mᅵcanisme d'ouverture de
fenᅵtre.
Du coup, autant demander directement ᅵ SSH d'ᅵcouter sur cet autre
port (2222 par exemple) et le problᅵme est rᅵglᅵ. Si c'est un bot il
croira qu'il n'y a pas de service SSH disponible, et si c'est un vrai
pirate bah ᅵa ne changera de toute faᅵon pas grand chose aux donnᅵes du
problᅵme. Par contre ᅵa limitera les risques d'effets de bord nᅵgatif.


EPiKoiEncore

unread,
Dec 11, 2009, 8:37:51 AM12/11/09
to

""fx [Fran�ois-Xavier Peretmere]"" <f...@terra.fr> a �crit dans le message de
news: 4b21492a$1...@ac-versailles.fr...

>> Les hosts.deny me semblent un peu fig�s face � la volatilit� des IP.
>
> http://denyhosts.sourceforge.net/ ?

Ha que merci que j'y vais de ce pas !!

>
> Ps : merci de r�pondre en dessous du message original.
>
Oups !
Serais-je devenu un gougnafier ?
Je vous l'dis mon bon Monsieur : tout fout l'camp ;-)

D�sol� et merci de cette petite claque sur mes fesses plus tr�s roses


Netsurfeur

unread,
Dec 11, 2009, 1:10:31 PM12/11/09
to
Jean-Marc Desperrier a ᅵcrit :

> Jean-Marc Desperrier wrote:
> Une autre mᅵthode efficace serait peut-ᅵtre d'utiliser 2 ports :
> - On drop tout par dᅵfaut.
> - L'utilisateur lᅵgitime se connecte ᅵ un port secret, qui est lui aussi
> droppᅵ
> - Mais cela a ouvert pour son ip une fenᅵtre de 30 secondes oᅵ il peut
> se connecter sans drop au port lᅵgitime et envoyer ses identifiants
> - si l'ip se connecte ᅵ un autre port que le bon pendant les 30
> secondes, cela ferme la fenᅵtre
> - il faut voir les numᅵros des deux ports juste comme un prᅵ-filtrage
> qui ᅵvite d'encombrer les log et le CPU en gᅵrant trop de tentatives de
> connexions rejetᅵes.
>

La technique existe, c'est le "port knocking"
(http://fr.wikipedia.org/wiki/Port_knocking).
En utilisant une sᅵquence de plusieurs ports, ᅵa rᅵsiste bien au simple
scan. Une description pour Ubuntu (mais pouvant ᅵtre adaptᅵe pour
d'autres Linux) : http://doc.ubuntu-fr.org/port-knocking

--
Netsurfeur

Eric Razny

unread,
Dec 13, 2009, 8:25:14 AM12/13/09
to
Bonjour.


Le Fri, 11 Dec 2009 11:38:57 +0100, Stephane Catteau a écrit :

> Jean-Marc Desperrier n'était pas loin de dire :
>
>> Une autre méthode efficace serait peut-être d'utiliser 2 ports : - On
>> drop tout par défaut.
>> - L'utilisateur légitime se connecte à un port secret, qui est lui
>> aussi droppé
>> - Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
>> se connecter sans drop au port légitime et envoyer ses identifiants

le port knocking fonctionne bien mais il vaut mieux une succession de
plusieurs port dans un ordre précis (le même port pouvant être utilisé
plusieurs fois ;)

>
> Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
> voulant absolument rentrer sur la machine fera un scan de port

> systématique avec analyse du service qui répond, or une telle personne
> finirait de toute façon par comprendre ton mécanisme d'ouverture de
> fenêtre.

Si tu paramètre correctement ton port-knocking j'en doute!

> Du coup, autant demander directement à SSH d'écouter sur cet autre
> port (2222 par exemple) et le problème est réglé. Si c'est un bot il


> croira qu'il n'y a pas de service SSH disponible, et si c'est un vrai

> pirate bah ça ne changera de toute façon pas grand chose aux données du
> problème. Par contre ça limitera les risques d'effets de bord négatif.

pour les logs mettre ssh ailleurs que sur le 22/TCP c'est clairement
mieux. Par contre les deux solutions présentées ici ont le même défaut
qui peut être rédhibitoire : en "extérieur" certains opérateurs ne
laissent passer que certains ports, assez souvent 22 à ma grande joie
d'ailleurs, mais en en bloquent d'autre. Quand tu as besoin de ton ssh le
changement de port n'est pas la panacée en ce cas.

Eric

Eric Razny

unread,
Dec 13, 2009, 8:25:14 AM12/13/09
to
Bonjour.


Le Fri, 11 Dec 2009 11:38:57 +0100, Stephane Catteau a écrit :

> Jean-Marc Desperrier n'était pas loin de dire :
>
>> Une autre méthode efficace serait peut-être d'utiliser 2 ports : - On
>> drop tout par défaut.
>> - L'utilisateur légitime se connecte à un port secret, qui est lui
>> aussi droppé
>> - Mais cela a ouvert pour son ip une fenêtre de 30 secondes où il peut
>> se connecter sans drop au port légitime et envoyer ses identifiants

le port knocking fonctionne bien mais il vaut mieux une succession de
plusieurs port dans un ordre précis (le même port pouvant être utilisé
plusieurs fois ;)

>

> Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
> voulant absolument rentrer sur la machine fera un scan de port

> systématique avec analyse du service qui répond, or une telle personne
> finirait de toute façon par comprendre ton mécanisme d'ouverture de
> fenêtre.

Si tu paramètre correctement ton port-knocking j'en doute!

> Du coup, autant demander directement à SSH d'écouter sur cet autre
> port (2222 par exemple) et le problème est réglé. Si c'est un bot il


> croira qu'il n'y a pas de service SSH disponible, et si c'est un vrai

bruno.tregui...@nullepart.invalid

unread,
Dec 20, 2009, 7:04:21 PM12/20/09
to
Le 09/12/2009 � 12:51, Xavier Roche a �crit :
> EPiKoiEncore a �crit :

>> Visiblement l'attaquant se cache derri�re des IP forg�es.
>
> Forg�es ou IP de proxy ouverts ? Je n'ai jamais vu de ma vie une seule
> attaque avec une "IP forg�e" (l'IP spoofing est plus du domaine de la
> l�gende urbaine que de la r�alit�, mis � part quelques curiosit�s
> d'attaques par UDP ou ICMP)

Bonjour,

L'IP spoofing est tout sauf une l�gende urbaine, c'est d'ailleurs cette
technique (entre autres) qui a �t� utilis�e par Kevin Mitnick lors de sa
c�l�bre attaque contre les ordinateurs de Tsutomu Shimomura (usurpation
IP + SYN flooding + pr�diction des num�ros de s�quence TCP). Elle a m�me
�t� plus ou moins automatis�e par la suite (par d'autres, Mitnick ayant
�t� arr�t� entre-temps).

Cela dit, outre le fait que d�j�, � l'�poque (fin 1994), tr�s peu de
gens �taient capables de mettre en oeuvre une telle attaque (et encore
moins de la comprendre ;-) ), de nombreuses am�liorations ont depuis �t�
apport�es aux piles TCP/IP, (meilleure randomisation des num�ros de
s�quence TCP et impl�mentation des SYN cookies, notamment), ce qui la
rend encore plus difficile � mener d�sormais.

Aujourd'hui, l'usurpation IP est donc effectivement, � mon avis, plut�t
une attaque "�pouvantail" qu'autre chose (dans la mesure o� la
dangerosit� per�ue en est tr�s exag�r�e, �tant donn� le nombre de
pr�-requis qu'elle impose) mais elle a bel et bien �t� r�alis�e.

Par ailleurs, il n'est pas totalement exclu que la d�couverte d'une ou
plusieurs autre(s) faille(s) protocolaire(s) la remette "en selle" un de
ces jours, m�me si cela reste actuellement du domaine du tr�s improbable.

Bruno

Stephane Catteau

unread,
Dec 21, 2009, 8:29:07 AM12/21/09
to
bruno.tregui...@nullepart.invalid devait dire quelque chose
comme ceci :

> L'IP spoofing est tout sauf une lᅵgende urbaine, c'est d'ailleurs cette
> technique (entre autres) qui a ᅵtᅵ utilisᅵe par Kevin Mitnick lors de sa
> cᅵlᅵbre attaque contre les ordinateurs de Tsutomu Shimomura (usurpation IP +
> SYN flooding + prᅵdiction des numᅵros de sᅵquence TCP).

Sauf que ce que tu dᅵcris lᅵ n'est pas une attaque ᅵ proprement parler
mais un scan de port. S'il y a un service TCP en ᅵcoute sur le port, il
essayera de rᅵpondre ᅵ la poignᅵ de main. La machine dont l'adresse IP
a ᅵtᅵ usurpᅵe n'ayant aucune trace d'une tentative de connexion en cour
rᅵpondra d'un RST ce qui incrᅵmentera le numᅵro de sᅵquence TCP. Si la
pile IP n'a pas une forte randomisation du numᅵro de sᅵquence TCP il
suffit donc (faᅵon de parler puisqu'il faut aussi prᅵdire le numᅵro de
sᅵquence) d'interroger le port de l'hᅵte usurpᅵ, avant et aprᅵs le
scan. Si le numᅵro de sᅵquence a ᅵtᅵ incrᅵmentᅵ deux fois, c'est que le
RST a effectivement ᅵtᅵ envoyᅵ et donc que le port est ouvert.
Par contre j'ai d'ᅵnormes doutes concernant la paternitᅵ de Mitnick,
vue que ce scan n'a ᅵtᅵ intᅵgrᅵ ᅵ nmap qu'au environ de 2002 si ma
mᅵmoire est bonne.

Dans le cadre d'une vᅵritable attaque, l'IP spoofing nᅵcessite d'avoir
le controle sur, au choix, le routeur situᅵ avant la cible ou celui
situᅵ avant la machine dont l'adresse IP est usurpᅵe. Autrement les
paquets arriveront fort logiquement sur la machine usurpᅵe et
l'usurpation ne servirait ᅵ rien. C'est cela qui rend l'IP spoofing
anecdotique, d'autant plus de nos jours oᅵ le premier pirate venu peut
disposer d'un botnet de quelques centaines de machines ou plus.


Stephane Catteau

unread,
Dec 21, 2009, 8:43:55 AM12/21/09
to
Eric Razny n'ᅵtait pas loin de dire :

>> Pourquoi se compliquer la vie ? Prenons les faits, seul un pirate
>> voulant absolument rentrer sur la machine fera un scan de port

>> systᅵmatique avec analyse du service qui rᅵpond, or une telle personne
>> finirait de toute faᅵon par comprendre ton mᅵcanisme d'ouverture de
>> fenᅵtre.
>

> Si tu paramᅵtre correctement ton port-knocking j'en doute!

Bof. A l'ᅵpoque des botnets les donnᅵes ne sont plus les mᅵmes. Si
chaque (sᅵquence de) port est testᅵ par une machine tirᅵe au hasard et
que le port lui-mᅵme, ou la sᅵquence de port, est aussi tirᅵe au
hasard. Si tu laisses un dᅵlais de 2 minutes entre chaque test, que tu
places un prᅵrequis disant qu'une mᅵme machine ne peut pas intervenir
deux fois de suite et que deux (sᅵquences de) ports qui se suivent ne
peuvent pas ᅵtre faites l'une aprᅵs l'autre, le tout couplᅵ avec un
tableau de flags pour ᅵtre sᅵr de faire tous les tests et de ne pas les
faire deux fois, non seulement ce n'est qu'une question de temps mais
en plus bon courage ᅵ l'IDS pour arriver ᅵ dᅵtecter le scan.
La seule chose que montreront les logs, c'est qu'un paquet de machines
font toc toc au hasard, ce qu'il faudra dᅵbrouiller du bruit de fond
fait par tous les kiddies qui trainent sur le rᅵseau. Le seul handicap
c'est le temps nᅵcessaire pour le scan, mais lᅵ encore les botnets ont
changᅵ la donne, tu lances ton script et ensuite tu fais ta vie en
attendant d'avoir un rᅵsultat.
Le port knocking reste un plus, mais le considᅵrer comme sᅵr est une
faille en soit, il protᅵge encore des kiddies, mais d'eux seuls.


[snip]


> pour les logs mettre ssh ailleurs que sur le 22/TCP c'est clairement

> mieux. Par contre les deux solutions prᅵsentᅵes ici ont le mᅵme dᅵfaut
> qui peut ᅵtre rᅵdhibitoire : en "extᅵrieur" certains opᅵrateurs ne
> laissent passer que certains ports, assez souvent 22 ᅵ ma grande joie

> d'ailleurs, mais en en bloquent d'autre. Quand tu as besoin de ton ssh le

> changement de port n'est pas la panacᅵe en ce cas.

En tout ᅵtat de cause, l'obscuritᅵ n'a jamais ᅵtᅵ un rᅵel plus en
matiᅵre de sᅵcuritᅵ. Un SSH bien configurᅵ et les patchs de sᅵcuritᅵ
appliquᅵs en temps et en heure restent la dᅵfense la plus efficace, le
reste n'ᅵtant qu'une question de confort personnel.


bruno.tregui...@nullepart.invalid

unread,
Dec 21, 2009, 9:07:06 AM12/21/09
to
Le 21/12/2009 ᅵ 14:29, Stephane Catteau a ᅵcrit :

> bruno.tregui...@nullepart.invalid devait dire quelque chose
> comme ceci :
>
>> L'IP spoofing est tout sauf une lᅵgende urbaine, c'est d'ailleurs cette
>> technique (entre autres) qui a ᅵtᅵ utilisᅵe par Kevin Mitnick lors de sa
>> cᅵlᅵbre attaque contre les ordinateurs de Tsutomu Shimomura (usurpation IP +
>> SYN flooding + prᅵdiction des numᅵros de sᅵquence TCP).
>
> Sauf que ce que tu dᅵcris lᅵ n'est pas une attaque ᅵ proprement parler
> mais un scan de port. S'il y a un service TCP en ᅵcoute sur le port, il
> essayera de rᅵpondre ᅵ la poignᅵ de main. La machine dont l'adresse IP
> a ᅵtᅵ usurpᅵe n'ayant aucune trace d'une tentative de connexion en cour
> rᅵpondra d'un RST ce qui incrᅵmentera le numᅵro de sᅵquence TCP.

Bonjour Stᅵphane,

Renseigne-toi sur l'attaque en question, c'ᅵtait trᅵs loin de n'ᅵtre
qu'un scan de ports ! Il y a beaucoup de sources pour cela. L'un des
prᅵalables ᅵ l'attaque de Mitnick consistait justement ᅵ faire taire la
machine lᅵgitime (et ainsi l'empᅵcher de rᅵpondre par un RST) en
l'inondant de paquets SYN et saturer les buffers prᅵvus pour les
nouvelles connexions (ce qui est maintenant contournᅵ par les SYN cookies).


> Si la
> pile IP n'a pas une forte randomisation du numᅵro de sᅵquence TCP il
> suffit donc (faᅵon de parler puisqu'il faut aussi prᅵdire le numᅵro de
> sᅵquence) d'interroger le port de l'hᅵte usurpᅵ, avant et aprᅵs le
> scan. Si le numᅵro de sᅵquence a ᅵtᅵ incrᅵmentᅵ deux fois, c'est que le
> RST a effectivement ᅵtᅵ envoyᅵ et donc que le port est ouvert.

Hmmm. Je pense que tu es en train de confondre avec le "dumb scan", lᅵ,
qui utilise effectivement une technique utilisant non pas les numᅵros de
sᅵquence TCP, mais un champ IP qu'on appelle habituellement "IP ID" et
qui s'incrᅵmente de faᅵon simple sur beaucoup d'implᅵmentation de piles
IP. Cette technique permet ᅵ un pirate de scanner des ports sans rᅵvᅵler
son adresse IP.


> Par contre j'ai d'ᅵnormes doutes concernant la paternitᅵ de Mitnick,
> vue que ce scan n'a ᅵtᅵ intᅵgrᅵ ᅵ nmap qu'au environ de 2002 si ma
> mᅵmoire est bonne.

Ce n'est pas parce que ᅵa n'a ᅵtᅵ intᅵgrᅵ qu'en 2002 ᅵ nmap que ᅵa
n'existait pas avant ! :-) Mais lᅵ on ne parle pas de la mᅵme chose de
toute faᅵon...


> Dans le cadre d'une vᅵritable attaque, l'IP spoofing nᅵcessite d'avoir
> le controle sur, au choix, le routeur situᅵ avant la cible ou celui
> situᅵ avant la machine dont l'adresse IP est usurpᅵe. Autrement les
> paquets arriveront fort logiquement sur la machine usurpᅵe et
> l'usurpation ne servirait ᅵ rien.

Ce que tu dᅵcris lᅵ est une attaque "man in the middle", rien ᅵ voir
avec l'IP spoofing, ᅵ mon avis...

Bonne fin de journᅵe,

Cordialement,

Bruno

Stephane Catteau

unread,
Dec 21, 2009, 10:27:38 AM12/21/09
to
bruno.tregui...@nullepart.invalid devait dire quelque chose
comme ceci :

> Renseigne-toi sur l'attaque en question, c'ᅵtait trᅵs loin de n'ᅵtre

> qu'un scan de ports ! Il y a beaucoup de sources pour cela. L'un des
> prᅵalables ᅵ l'attaque de Mitnick consistait justement ᅵ faire taire la
> machine lᅵgitime (et ainsi l'empᅵcher de rᅵpondre par un RST) en
> l'inondant de paquets SYN et saturer les buffers prᅵvus pour les
> nouvelles connexions (ce qui est maintenant contournᅵ par les SYN cookies).

Ce qui n'est qu'un DoS et ne permet toujours pas ᅵ Mitnick de rentrer.


[snip]


> Hmmm. Je pense que tu es en train de confondre avec le "dumb scan",

Possible.


>> Par contre j'ai d'ᅵnormes doutes concernant la paternitᅵ de Mitnick,
>> vue que ce scan n'a ᅵtᅵ intᅵgrᅵ ᅵ nmap qu'au environ de 2002 si ma
>> mᅵmoire est bonne.
>
> Ce n'est pas parce que ᅵa n'a ᅵtᅵ intᅵgrᅵ qu'en 2002 ᅵ nmap que ᅵa
> n'existait pas avant ! :-)

Ca avait ᅵtᅵ intᅵgrᅵ suite ᅵ la publication de la mᅵthode. Tsutomu
Shimomura s'y connait suffisement pour comprendre ce qui lui ᅵtait
arrivᅵ et a l'ᅵgo qui va avec sa profession, il n'aurait pas gardᅵ ᅵa
pour lui ;)


> Mais lᅵ on ne parle pas de la mᅵme chose de toute faᅵon...

vi.


>> Dans le cadre d'une vᅵritable attaque, l'IP spoofing nᅵcessite d'avoir
>> le controle sur, au choix, le routeur situᅵ avant la cible ou celui
>> situᅵ avant la machine dont l'adresse IP est usurpᅵe. Autrement les
>> paquets arriveront fort logiquement sur la machine usurpᅵe et
>> l'usurpation ne servirait ᅵ rien.
>
> Ce que tu dᅵcris lᅵ est une attaque "man in the middle", rien ᅵ voir
> avec l'IP spoofing, ᅵ mon avis...

Non. Un man in the middle est destinᅵ ᅵ intercepter une connexion
lᅵgitime, je parle bien d'IP spoofing. Dans le cadre d'une connexion
TCP, ᅵ moins d'un simple DoS il faut d'abord passer la poignᅵe de main
et donc une discussion bilatᅵrale. Or la machine usurpᅵe n'acceptera
jamais de donner suite ᅵ une poignᅵe de main qu'elle n'a pas initiᅵe,
il faut donc que les paquets soit routᅵe vers la machine de
l'attaquant, ce qui ne peut se faire qu'en ayant la main sur l'un des
deux routeurs terminaux. La seule exception c'est lorsque l'usurpation
se passe au sein d'un LAN, parce que c'est le seul cas oᅵ l'on a la
garantie d'ᅵtre derriᅵre le mᅵme routeur que la machine usurpᅵe. Lᅵ
oui, si on attribue son adresse IP ᅵ notre machine et que l'on arrive ᅵ
DoSer la machine usurpᅵe, on prendra sa place dans le rᅵseau. Mais dans
le cadre d'une attaque in the wild, il n'y a quasiment aucune chance
d'y arriver si on ne place pas un tunnel Ip entre un routeur et notre
machine ; mᅵme si la machine usurpᅵe est sur le mᅵme netbloc que la
notre il n'y a aucune garantie que le plan de routage du FAI
permettrait de prendre sa place autrement.

Cela dit, on en revient ᅵ ce que je rᅵpondais ᅵ Eric, l'heure est aux
botnets, ce qui change la donne. De nos jours l'IP spoofing n'a de sens
que pour contourner un filtrage par adresse IP. Dans tous les autres
cas de figure cacher l'adresse IP source est une complication inutile,
perdre une machine du botnet ᅵtant au final sans grande importance.
Cela d'autant plus que l'agonie massive des services abuses fait qu'en
gᅵnᅵral on ne perd mᅵme pas la machine utilisᅵe.


bruno.tregui...@nullepart.invalid

unread,
Dec 21, 2009, 12:16:22 PM12/21/09
to
Rebonjour Stᅵphane,

Le 21/12/2009 ᅵ 16:27, Stephane Catteau a ᅵcrit :


> bruno.tregui...@nullepart.invalid devait dire quelque chose
> comme ceci :
>
>> Renseigne-toi sur l'attaque en question, c'ᅵtait trᅵs loin de n'ᅵtre
>> qu'un scan de ports ! Il y a beaucoup de sources pour cela. L'un des
>> prᅵalables ᅵ l'attaque de Mitnick consistait justement ᅵ faire taire la
>> machine lᅵgitime (et ainsi l'empᅵcher de rᅵpondre par un RST) en
>> l'inondant de paquets SYN et saturer les buffers prᅵvus pour les
>> nouvelles connexions (ce qui est maintenant contournᅵ par les SYN cookies).
>
> Ce qui n'est qu'un DoS et ne permet toujours pas ᅵ Mitnick de rentrer.

Mais si, ce DoS est justement destinᅵ a bᅵillonner la machine usurpᅵe !
Plus bas dans ton message, tu dis que jamais une machine usurpᅵe
n'acceptera de donner suite ᅵ un 3-way-handshake dont elle n'est pas ᅵ
l'origine: je suis tout ᅵ fait d'accord. Pour ᅵviter qu'elle ne rᅵagisse
violemment ᅵ l'attaque en aveugle menᅵe par Mitnick en balaᅵant des RST
ᅵ tout va, il fallait donc la faire taire, c'est prᅵcisᅵment ᅵ cela que
ce DoS ᅵ base de SYN flooding sert.

Ensuite, Mitnick a exploitᅵ une relation de confiance prᅵexistante entre
la machine usurpᅵe (localisᅵe chez Shimomura) et un serveur de l'UCSD
sur lequel celui-ci avait un compte.

Au final, Mitnick est bel et bien rentrᅵ sur la machine de Shimomura,
avec les droits root, qui plus est.


> [snip]
>> Hmmm. Je pense que tu es en train de confondre avec le "dumb scan",
>
> Possible.

Certain. ;-)


>> Ce que tu dᅵcris lᅵ est une attaque "man in the middle", rien ᅵ voir
>> avec l'IP spoofing, ᅵ mon avis...
>
> Non. Un man in the middle est destinᅵ ᅵ intercepter une connexion
> lᅵgitime, je parle bien d'IP spoofing. Dans le cadre d'une connexion
> TCP, ᅵ moins d'un simple DoS il faut d'abord passer la poignᅵe de main
> et donc une discussion bilatᅵrale. Or la machine usurpᅵe n'acceptera
> jamais de donner suite ᅵ une poignᅵe de main qu'elle n'a pas initiᅵe,
> il faut donc que les paquets soit routᅵe vers la machine de
> l'attaquant, ce qui ne peut se faire qu'en ayant la main sur l'un des
> deux routeurs terminaux.

Non, voir ci-dessus. ;-)


> La seule exception c'est lorsque l'usurpation
> se passe au sein d'un LAN, parce que c'est le seul cas oᅵ l'on a la
> garantie d'ᅵtre derriᅵre le mᅵme routeur que la machine usurpᅵe. Lᅵ
> oui, si on attribue son adresse IP ᅵ notre machine et que l'on arrive ᅵ
> DoSer la machine usurpᅵe, on prendra sa place dans le rᅵseau. Mais dans
> le cadre d'une attaque in the wild, il n'y a quasiment aucune chance
> d'y arriver si on ne place pas un tunnel Ip entre un routeur et notre
> machine ; mᅵme si la machine usurpᅵe est sur le mᅵme netbloc que la
> notre il n'y a aucune garantie que le plan de routage du FAI
> permettrait de prendre sa place autrement.

Sur un LAN les choses sont effectivement beaucoup plus simples, mais via
des liaisons WAN, avec des routeurs qu'on ne maᅵtrise pas, le seul moyen
d'usurper une machine est de la faire taire avant... D'oᅵ le DoS.

Pour plus d'infos, voir ici le post de Shimomura lui-mᅵme, expliquant
comment il s'ᅵtait fait avoir (ce qui a dᅵ lui en coᅵter, vu l'ego du
bonhomme, comme tu le disais):

http://www.cs.berkeley.edu/~daw/security/shimo-post.txt


> Cela dit, on en revient ᅵ ce que je rᅵpondais ᅵ Eric, l'heure est aux
> botnets, ce qui change la donne. De nos jours l'IP spoofing n'a de sens
> que pour contourner un filtrage par adresse IP. Dans tous les autres
> cas de figure cacher l'adresse IP source est une complication inutile,
> perdre une machine du botnet ᅵtant au final sans grande importance.
> Cela d'autant plus que l'agonie massive des services abuses fait qu'en
> gᅵnᅵral on ne perd mᅵme pas la machine utilisᅵe.

Tout ᅵ fait d'accord avec cette derniᅵre partie.

Cordialement,

Bruno

0 new messages