SlideShare une entreprise Scribd logo
IDS Les systèmes de détection d’intrusion
Objectifs du cours ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Schéma de la salle de test
TCP/IP Basics: Transport Layer
Transport Layer Protocols
Transport layer protocols ,[object Object],[object Object],[object Object]
Ports ,[object Object],[object Object],[object Object]
Sockets ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
UDP ,[object Object],[object Object],[object Object],[object Object],[object Object]
TCP ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
The TCP header
The TCP header ,[object Object],[object Object]
Acknowledgment number - 32 bits When a data sender receives a new value , it can dispose of data which was held  for possible retransmission . The  acknowledgment number  is valid only if the ACK flag is set .  The  acknowledgment number  is one greater then the octet number of the last in sequence octet received . It is therefore the same as the sequence number that will be in the next segment of immediately useful data . In TCP , it is possible to send a number of segments that have been received correctly, but have not been  acknowledged because the critical segment , which is the next in sequence , has failed to arrive . The  acknowledgment number  cannot advance until this missing segment isn’t retransmitted . Data offset Measures the offset to the start of the application data field .
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Window - 16 bit   The window advertises the amount of buffer space this node allocated to this connection The other node must not send more unacknowledged data than the buffer space  indicated . Checksum - 16 bit A basic check on header and data . Urgent pointer - 16 bit Points to the end of data in the data field that is considered urgent . It is valid only if the URG flag is set . Options  - variable length Normally there is only 1 option used with TCP and it’s : MMS (Maximum Segment Size) . It tells the destination TCP layer the maximum size of the segment (including TCP header) . Padding If the options field is valid , padding ensures that the data starts on a 32 bit boundary , so that the data offset may correctly point to it .
Connections setup phase Node 128.1.0.1 Node 128.1.0.9 SYNSEQ 921 No ACK SYNSEQ 302 ACK 922 SYNSEQ 922 ACK 303 SEQ=921 ACK=? SEQ=922 ACK=303 SEQ=302 ACK=? SEQ=302 ACK=922 SEQ=303 ACK=922
TCP ack’s for simple character  echo with host Node 128.1.0.1 Node 128.1.0.9 SEQ 92 ACK=109 Data=C SEQ 109 ACK 93 Data=C SEQ 93 ACK 110 User types C Node acknowledges reciept of C (ACK=SEQ+1= 109+1=110) C Host OS echoes back C and acknowledges receipt of C (ACK=SEQ+1=92+1=93) Operating System C
Sécurité informatique  ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Une approche classique ...  ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Les sites intéressants ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Les sites intéressants (suite) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Articles intéressants ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Hacking: Outils et méthodes
Techniques de hacking ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Brute force - Password guessing  ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Brute force - Password guessing  ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Labo ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Déni de service ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Etablissement d’une session 1. Client initiates a request to the server,  “I want to talk.”  (SYN) SYN/ACK 2. Server replies,  “I’m  ready.”   (SYN/ACK) ACK Client Server Client Server Client Server I want to talk Let’s go! I’m  ready SYN 3. Client sends acknowledgment to establish connection, “ Let’s go!”  (ACK)
Attaque SYNFLOOD ,[object Object],[object Object],[object Object],Client SYN SYN SYN SYN SYN/ACK SYN/ACK IP? IP? IP? IP? Server
Parade contre SYNFLOOD ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Mail bombs ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Smurf Broadcast  echo address Source address is  spoofed to be target’s address Réseau intermédiaire Attaquant Cible Many echo replies are received by the target, since most machines on the intermediary network respond to the broadcast
Smurf (suite) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Ping of Death Internet Buffer 65535 Assaillant Cible Fragmentation Réassemblage des fragments A partir d ’un shell Windows 95, « ping -l 65510 cible »
Land Il s ’agit d ’une attaque dans laquelle l ’adresse source IP et l ’adresse de  destination IP sont identiques, de même que les ports de source et de destination. Pour fonctionner, elle doit être émise sur un port ouvert et avec le flag SYN. A réception de ce type de paquet, certains systèmes stoppent (stack IP) Filtre possible ip[12:4] = ip[16:4] and ip[12:2] = ip[16:2]
Teardrop Le « fragment reassembly code » cherche à réaligner les fragments, mais il n ’y a pas assez de data dans le deuxième fragment 1er fragment - 36 bytes 24 35 0 offset end new offset 2nd frag 36 bytes Memcpy  (*dest, *src, len) Unsigned int or unsigned long Len=end-newoffset < 0
Loki ICMP echo request or echo reply packet Loki data dans le payload   Echo request Echo reply Attaquant: peut se logger sur le serveur et lancer des commandes Serveur: Répond aux requêtes du client Note: ce principe de tunneling n’est pas limité à ICMP. Il se retrouve aussi avec HTTP et d ’autres protocoles.
Combattre les attaques ICMP Internet Réseau interne 192.168.0.0 ACL 101 ACL 102 Blocage des requêtes écho en entrée et des réponses en sortie access-list 101  deny icmp  any  192.168.0.0 0.0.255.255  echo access-list 102 deny icmp  192.168.0.0 0.0.255.255  any  echo-reply Acceptation des requêtes écho en sortie et des réponses en entrée access-list 101 permit icmp  192.168.0.0 0.0.255.255  any  echo access-list 102 permit icmp any 192.168.0.0 0.0.255.255  echo-reply
Distributed denial of service Nouvelle forme de déni de service qui permet de concentrer des attaques depuis n’importe quel point d’internet vers une cible prédéfinie .
Principe du DDOS ,[object Object],[object Object],[object Object],[object Object]
Protection contre les DDOS ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Labo “Deni de service” ,[object Object],[object Object]
Spoofing IP ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Spoofing IP (suite) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Labo:   hunt.c (sur HP/UX et routeur Cisco)
Scanning TCP port scanning Utilisation d’un logiciel permettant de scanner un réseau afin de détecter les applications disponibles sur les systèmes découverts. HTTP, IMAP, POP3, DNS, Netbios, SOCKS, Telnet, FTP ...
Scanning (suite) ,[object Object],[object Object],[object Object],[object Object],[object Object]
Scanning (suite) ,[object Object],[object Object],[object Object],[object Object],[object Object]
Scanning (suite) Methodes de filtrage Filtre sur chaque flag (avec tcpdump par exemple) Byte 13 of the TCP header Syn flag set: tcp[13] & 0x02 != 0 Ack flag set: tcp[13] & 0x10 != 0 Rst flag set: tcp[13] & 0x04 != 0 Fin flag set: tcp[13] & 0x01 != 0 Psh flag set: tcp[13] & 0x08 != 0 Urg flag set: tcp[13] & 0x20 != 0 No flag set: tcp[13] & 0x3f  != 0 Exemple de filtrage : tcp and (dst port 80) and (tcp[13] & 0x02 != 0) and (tcp[13] & 0x10 =0) teste le SYN flag (set) et le ACK flag (no set) X U A S F R P X
Scanning (suite) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Scanning (suite) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Labo NMAP (en mode étendu) Les outils
Network mapping Le contenu de cette page sera communiqué ultérieurement
Attaques e-mail ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Les virus
Les chevaux de Troie ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Liste non exhaustive Netbus Pro   6400 Netbus 1.x 12346 BackOrifice 31337 Deep Throath   6670 Master Paradise   31 Millenium 20000 Netmonitor   7306 Socket23 30303 Icq Trojen   4950 Vodoo   1245 Stealth Spy   555 Attack FTP   666 Senna Spy 11000 Progenic 11223 Backdoor   1999 Portal of Doom   9875 AOL Trojan 1.1 30029 Illusion Mailer   5521 Bla 20331 Kuang 2 17300 Aujourd’hui des  CENTAINES  de chevaux de Troie circulent. Il existe même des outils pour en générer sans programmation !!!
Trojans & Trojan generators ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Sniffers ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Sniffers (suite) ,[object Object],[object Object],[object Object],[object Object],[object Object]
Sniffers (suite) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Sniffer (labo) ,[object Object],[object Object],[object Object],[object Object]
Sécurité des langages : CGI ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
CGI (suite) ,[object Object],[object Object],[object Object],[object Object]
 
Sécurité des languages ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Problèmes liés à Java/ActiveX ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Problèmes liés à Java/ActiveX ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
SNMP ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
SNMP (suite) ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Vulnérabilités des OS ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Vulnérabilités des OS - Labo Le contenu de cette page sera communiqué ultérieurement
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Débordement de pile - BoF
Divers ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Divers (suite) ,[object Object],[object Object],[object Object],[object Object],[object Object]
Hacking ou sécurité ? ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Scanners de vulnérabilités
[object Object],[object Object],[object Object],Scanners de vulnérabilités
Après les risques, les mesures de précaution
Systèmes de détection d’intrusion ,[object Object],[object Object],[object Object],[object Object]
Network based IDS Analyse des données capturées Visualisation - Reporting FW ou routeur Internet Réseau interne Supervision du trafic Principe : Une ou plusieurs sondes qui réfèrent à une console
Caractéristiques des NIDS ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Host based IDS  Analyse des données capturées Visualisation - Reporting Internet Réseau interne IDS host agent  Principe : Des agents sur les machines sensibles qui réfèrent à une console FW/Router
Host based IDS ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Les hosts sur lesquels les agents IDS sont installés monitorent leurs propres connections réseau, mais aussi le status du file system . Possibilité de reporting/alerting local, mais plus souvent centralisé
Anomaly detection ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Pattern matching ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Real time or interval based ,[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Les outils disponibles Sans TCP Wrappers Avec TCP Wrappers Inetd.conf 21  ftp 23  telnet 21 TCP Inetd.conf 21  ftp 23  telnet Log access Check ACL call inetd 21 TCP
Les outils commerciaux ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Labo - IDS tools ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Compléments aux IDS ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Compléments aux IDS (suite) File integrity checking Labo  :  Tripwire FIREWALL NETWORK-BASED INTRUSION DETECTION LOG ANALYZER TARGET-BASED FILE INTEGRITY ASSESSMENT
How Does Tripwire Work? 10110011000010100 10001001111010100 10011111101000100 10000001011110101 11000100111011001 BeXtw+/deQsQ4EJApaF6RR File content integrity  assured using crypto- graphic signatures. Cryptographic algorithms produce a fixed length signature or “hash.”
How Does Tripwire Work? From rules defined in a  policy file, Tripwire creates a baseline database of the  filesystem.  It stores this  baseline in the  database file . Database File Policy File =   cryptographic signature
=? ? Database File System’s current file structure How Does Tripwire Work? The system can then be checked against the baseline database for any unauthorized changes. =   cryptographic signature
How Does Tripwire Work? Database File = ! Report Viewer Email containing reports Syslog/ Event Log If a violation is found,  reports can be emailed  to administrators, dropped  to syslog or be viewed from the machine being  monitored.
Centralized Reporting Specific Reports Specific violations that occurred for each rule Identifies what element changed Different rules within each report
Centralized Reporting  Violations Report List of violations for all open reports Selection will bring up violation detail in right window
Centralized Reporting Search & Filter Violation search based on minimum severity of 66 Selecting will bring up violation detail in right window
TEC NT Console Interface List of TEC Agents that are managed by TEC Console Pie chart shows that all the Agents are up and running
Gestion des incidents ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Questions et réponses Discussion
Bibliographie ,[object Object],[object Object]

Contenu connexe

En vedette

GSM UMTS LTE Site Commissioning software
GSM UMTS LTE Site Commissioning softwareGSM UMTS LTE Site Commissioning software
GSM UMTS LTE Site Commissioning software
Ahmet Ozturk
 
Atm
AtmAtm
Atm
roby06
 
06 03 route
06 03 route06 03 route
06 03 routeNoël
 
06 02 opérations de sauvegarde
06 02 opérations de sauvegarde06 02 opérations de sauvegarde
06 02 opérations de sauvegardeNoël
 
06 05 résolution de nom
06 05 résolution de nom06 05 résolution de nom
06 05 résolution de nomNoël
 
06 04 arp
06 04 arp06 04 arp
06 04 arpNoël
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui Amine
Zellagui Amine
 
06 01 interfaces
06 01 interfaces06 01 interfaces
06 01 interfacesNoël
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dnsNoël
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
Noël
 
SSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedSSL/TLS : Faille Heartbleed
SSL/TLS : Faille Heartbleed
Thomas Moegli
 
LPIC1 10 01 logs
LPIC1 10 01 logsLPIC1 10 01 logs
LPIC1 10 01 logsNoël
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
Bee_Ware
 
10 02 authentification PAM
10 02 authentification PAM10 02 authentification PAM
10 02 authentification PAM
Noël
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web
Noël
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)
Noël
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016
Serrerom
 
06 02 ip
06 02 ip06 02 ip
06 02 ipNoël
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
Cyber Security Alliance
 
LPIC1 11 02 sécurité système
LPIC1 11 02 sécurité systèmeLPIC1 11 02 sécurité système
LPIC1 11 02 sécurité systèmeNoël
 

En vedette (20)

GSM UMTS LTE Site Commissioning software
GSM UMTS LTE Site Commissioning softwareGSM UMTS LTE Site Commissioning software
GSM UMTS LTE Site Commissioning software
 
Atm
AtmAtm
Atm
 
06 03 route
06 03 route06 03 route
06 03 route
 
06 02 opérations de sauvegarde
06 02 opérations de sauvegarde06 02 opérations de sauvegarde
06 02 opérations de sauvegarde
 
06 05 résolution de nom
06 05 résolution de nom06 05 résolution de nom
06 05 résolution de nom
 
06 04 arp
06 04 arp06 04 arp
06 04 arp
 
Les attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui AmineLes attaques reseaux par zellagui Amine
Les attaques reseaux par zellagui Amine
 
06 01 interfaces
06 01 interfaces06 01 interfaces
06 01 interfaces
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
 
08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl08 03 sécurisation d'un serveur web avec ssl
08 03 sécurisation d'un serveur web avec ssl
 
SSL/TLS : Faille Heartbleed
SSL/TLS : Faille HeartbleedSSL/TLS : Faille Heartbleed
SSL/TLS : Faille Heartbleed
 
LPIC1 10 01 logs
LPIC1 10 01 logsLPIC1 10 01 logs
LPIC1 10 01 logs
 
Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration Waf, le bon outil, la bonne administration
Waf, le bon outil, la bonne administration
 
10 02 authentification PAM
10 02 authentification PAM10 02 authentification PAM
10 02 authentification PAM
 
08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web08 01 mise en place d'un serveur web
08 01 mise en place d'un serveur web
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016
 
06 02 ip
06 02 ip06 02 ip
06 02 ip
 
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan MarcilASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
ASFWS 2012 - Les utilités d’un pare-feu applicatif Web (WAF) par Jonathan Marcil
 
LPIC1 11 02 sécurité système
LPIC1 11 02 sécurité systèmeLPIC1 11 02 sécurité système
LPIC1 11 02 sécurité système
 

Similaire à Ethical Hacking

Ccna1 chapitre 4
Ccna1   chapitre 4Ccna1   chapitre 4
Ccna1 chapitre 4
Sabrine Chahbi
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6  - Protocoles TCP/IP, UDP/IPChapitre 6  - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Tarik Zakaria Benmerar
 
Chapitre-4-Programmation-réseau-avec-les-sockets.pdf
Chapitre-4-Programmation-réseau-avec-les-sockets.pdfChapitre-4-Programmation-réseau-avec-les-sockets.pdf
Chapitre-4-Programmation-réseau-avec-les-sockets.pdf
YoussefJamma
 
Vpn
VpnVpn
Vpn
kwabo
 
Administration reseau
Administration reseauAdministration reseau
Administration reseau
Roka Elmourabiti
 
CoAP master presentaion
CoAP master presentaionCoAP master presentaion
CoAP master presentaionTarik Sefiri
 
Évaluation des performances du réseau 3G : application à la couche réseau
Évaluation des performances du réseau 3G : application à la couche réseauÉvaluation des performances du réseau 3G : application à la couche réseau
Évaluation des performances du réseau 3G : application à la couche réseau
Achraf Trabelsi
 
cours-gratuit.com--id-5598.pdf
cours-gratuit.com--id-5598.pdfcours-gratuit.com--id-5598.pdf
cours-gratuit.com--id-5598.pdf
GodefroyCheumaniTche1
 
Socket tcp ip client server on langace c
Socket tcp ip client server on langace c Socket tcp ip client server on langace c
Socket tcp ip client server on langace c
mouad Lousimi
 
8-socket.pdf
8-socket.pdf8-socket.pdf
8-socket.pdf
StyvePola1
 
Chapitre 3 Comprendre la notion de socket.docx
Chapitre 3 Comprendre la notion de socket.docxChapitre 3 Comprendre la notion de socket.docx
Chapitre 3 Comprendre la notion de socket.docx
Koffi Kanga
 
Administration reseau
Administration reseauAdministration reseau
Administration reseauRiadh Briki
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
gorguindiaye
 
Etude de la WIFI sur NS2
Etude de la WIFI sur NS2Etude de la WIFI sur NS2
Etude de la WIFI sur NS2
Chiheb Ouaghlani
 
Architecture réseaux
Architecture réseauxArchitecture réseaux
Architecture réseaux
SaifEJJILALI
 
Cours couche reseau
Cours couche reseauCours couche reseau
Cours couche reseau
sarah Benmerzouk
 
FR - Les réseaux Ethernet - le format des trames.pdf
FR - Les réseaux Ethernet - le format des trames.pdfFR - Les réseaux Ethernet - le format des trames.pdf
FR - Les réseaux Ethernet - le format des trames.pdf
mouradslilem1
 
1254851542chap1 interconnexion routage
1254851542chap1 interconnexion routage1254851542chap1 interconnexion routage
1254851542chap1 interconnexion routage
Simo Qb
 

Similaire à Ethical Hacking (20)

Ccna1 chapitre 4
Ccna1   chapitre 4Ccna1   chapitre 4
Ccna1 chapitre 4
 
vpn
vpnvpn
vpn
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6  - Protocoles TCP/IP, UDP/IPChapitre 6  - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IP
 
Chapitre-4-Programmation-réseau-avec-les-sockets.pdf
Chapitre-4-Programmation-réseau-avec-les-sockets.pdfChapitre-4-Programmation-réseau-avec-les-sockets.pdf
Chapitre-4-Programmation-réseau-avec-les-sockets.pdf
 
Vpn
VpnVpn
Vpn
 
Administration reseau
Administration reseauAdministration reseau
Administration reseau
 
CoAP master presentaion
CoAP master presentaionCoAP master presentaion
CoAP master presentaion
 
Évaluation des performances du réseau 3G : application à la couche réseau
Évaluation des performances du réseau 3G : application à la couche réseauÉvaluation des performances du réseau 3G : application à la couche réseau
Évaluation des performances du réseau 3G : application à la couche réseau
 
cours-gratuit.com--id-5598.pdf
cours-gratuit.com--id-5598.pdfcours-gratuit.com--id-5598.pdf
cours-gratuit.com--id-5598.pdf
 
Socket tcp ip client server on langace c
Socket tcp ip client server on langace c Socket tcp ip client server on langace c
Socket tcp ip client server on langace c
 
8-socket.pdf
8-socket.pdf8-socket.pdf
8-socket.pdf
 
Chapitre 3 Comprendre la notion de socket.docx
Chapitre 3 Comprendre la notion de socket.docxChapitre 3 Comprendre la notion de socket.docx
Chapitre 3 Comprendre la notion de socket.docx
 
Administration reseau
Administration reseauAdministration reseau
Administration reseau
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
Etude de la WIFI sur NS2
Etude de la WIFI sur NS2Etude de la WIFI sur NS2
Etude de la WIFI sur NS2
 
Architecture réseaux
Architecture réseauxArchitecture réseaux
Architecture réseaux
 
Cours couche reseau
Cours couche reseauCours couche reseau
Cours couche reseau
 
FR - Les réseaux Ethernet - le format des trames.pdf
FR - Les réseaux Ethernet - le format des trames.pdfFR - Les réseaux Ethernet - le format des trames.pdf
FR - Les réseaux Ethernet - le format des trames.pdf
 
1254851542chap1 interconnexion routage
1254851542chap1 interconnexion routage1254851542chap1 interconnexion routage
1254851542chap1 interconnexion routage
 
Examen1
Examen1Examen1
Examen1
 

Plus de Sylvain Maret

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Sylvain Maret
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
Sylvain Maret
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
Sylvain Maret
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
Sylvain Maret
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
Sylvain Maret
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
Sylvain Maret
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
Sylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPad
Sylvain Maret
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS III
Sylvain Maret
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011
Sylvain Maret
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011
Sylvain Maret
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web Application
Sylvain Maret
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
Sylvain Maret
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Sylvain Maret
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Sylvain Maret
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
Sylvain Maret
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 

Plus de Sylvain Maret (20)

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPad
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS III
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web Application
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 

Dernier

Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
abderrahimbourimi
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
Horgix
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 

Dernier (6)

Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 

Ethical Hacking

  • 1. IDS Les systèmes de détection d’intrusion
  • 2.
  • 3. Schéma de la salle de test
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 12.
  • 13. Acknowledgment number - 32 bits When a data sender receives a new value , it can dispose of data which was held for possible retransmission . The acknowledgment number is valid only if the ACK flag is set . The acknowledgment number is one greater then the octet number of the last in sequence octet received . It is therefore the same as the sequence number that will be in the next segment of immediately useful data . In TCP , it is possible to send a number of segments that have been received correctly, but have not been acknowledged because the critical segment , which is the next in sequence , has failed to arrive . The acknowledgment number cannot advance until this missing segment isn’t retransmitted . Data offset Measures the offset to the start of the application data field .
  • 14.
  • 15. Window - 16 bit The window advertises the amount of buffer space this node allocated to this connection The other node must not send more unacknowledged data than the buffer space indicated . Checksum - 16 bit A basic check on header and data . Urgent pointer - 16 bit Points to the end of data in the data field that is considered urgent . It is valid only if the URG flag is set . Options - variable length Normally there is only 1 option used with TCP and it’s : MMS (Maximum Segment Size) . It tells the destination TCP layer the maximum size of the segment (including TCP header) . Padding If the options field is valid , padding ensures that the data starts on a 32 bit boundary , so that the data offset may correctly point to it .
  • 16. Connections setup phase Node 128.1.0.1 Node 128.1.0.9 SYNSEQ 921 No ACK SYNSEQ 302 ACK 922 SYNSEQ 922 ACK 303 SEQ=921 ACK=? SEQ=922 ACK=303 SEQ=302 ACK=? SEQ=302 ACK=922 SEQ=303 ACK=922
  • 17. TCP ack’s for simple character echo with host Node 128.1.0.1 Node 128.1.0.9 SEQ 92 ACK=109 Data=C SEQ 109 ACK 93 Data=C SEQ 93 ACK 110 User types C Node acknowledges reciept of C (ACK=SEQ+1= 109+1=110) C Host OS echoes back C and acknowledges receipt of C (ACK=SEQ+1=92+1=93) Operating System C
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23. Hacking: Outils et méthodes
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29. Etablissement d’une session 1. Client initiates a request to the server, “I want to talk.” (SYN) SYN/ACK 2. Server replies, “I’m ready.” (SYN/ACK) ACK Client Server Client Server Client Server I want to talk Let’s go! I’m ready SYN 3. Client sends acknowledgment to establish connection, “ Let’s go!” (ACK)
  • 30.
  • 31.
  • 32.
  • 33. Smurf Broadcast echo address Source address is spoofed to be target’s address Réseau intermédiaire Attaquant Cible Many echo replies are received by the target, since most machines on the intermediary network respond to the broadcast
  • 34.
  • 35. Ping of Death Internet Buffer 65535 Assaillant Cible Fragmentation Réassemblage des fragments A partir d ’un shell Windows 95, « ping -l 65510 cible »
  • 36. Land Il s ’agit d ’une attaque dans laquelle l ’adresse source IP et l ’adresse de destination IP sont identiques, de même que les ports de source et de destination. Pour fonctionner, elle doit être émise sur un port ouvert et avec le flag SYN. A réception de ce type de paquet, certains systèmes stoppent (stack IP) Filtre possible ip[12:4] = ip[16:4] and ip[12:2] = ip[16:2]
  • 37. Teardrop Le « fragment reassembly code » cherche à réaligner les fragments, mais il n ’y a pas assez de data dans le deuxième fragment 1er fragment - 36 bytes 24 35 0 offset end new offset 2nd frag 36 bytes Memcpy (*dest, *src, len) Unsigned int or unsigned long Len=end-newoffset < 0
  • 38. Loki ICMP echo request or echo reply packet Loki data dans le payload Echo request Echo reply Attaquant: peut se logger sur le serveur et lancer des commandes Serveur: Répond aux requêtes du client Note: ce principe de tunneling n’est pas limité à ICMP. Il se retrouve aussi avec HTTP et d ’autres protocoles.
  • 39. Combattre les attaques ICMP Internet Réseau interne 192.168.0.0 ACL 101 ACL 102 Blocage des requêtes écho en entrée et des réponses en sortie access-list 101 deny icmp any 192.168.0.0 0.0.255.255 echo access-list 102 deny icmp 192.168.0.0 0.0.255.255 any echo-reply Acceptation des requêtes écho en sortie et des réponses en entrée access-list 101 permit icmp 192.168.0.0 0.0.255.255 any echo access-list 102 permit icmp any 192.168.0.0 0.0.255.255 echo-reply
  • 40. Distributed denial of service Nouvelle forme de déni de service qui permet de concentrer des attaques depuis n’importe quel point d’internet vers une cible prédéfinie .
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46. Scanning TCP port scanning Utilisation d’un logiciel permettant de scanner un réseau afin de détecter les applications disponibles sur les systèmes découverts. HTTP, IMAP, POP3, DNS, Netbios, SOCKS, Telnet, FTP ...
  • 47.
  • 48.
  • 49. Scanning (suite) Methodes de filtrage Filtre sur chaque flag (avec tcpdump par exemple) Byte 13 of the TCP header Syn flag set: tcp[13] & 0x02 != 0 Ack flag set: tcp[13] & 0x10 != 0 Rst flag set: tcp[13] & 0x04 != 0 Fin flag set: tcp[13] & 0x01 != 0 Psh flag set: tcp[13] & 0x08 != 0 Urg flag set: tcp[13] & 0x20 != 0 No flag set: tcp[13] & 0x3f != 0 Exemple de filtrage : tcp and (dst port 80) and (tcp[13] & 0x02 != 0) and (tcp[13] & 0x10 =0) teste le SYN flag (set) et le ACK flag (no set) X U A S F R P X
  • 50.
  • 51.
  • 52. Network mapping Le contenu de cette page sera communiqué ultérieurement
  • 53.
  • 54.
  • 55.
  • 56. Liste non exhaustive Netbus Pro 6400 Netbus 1.x 12346 BackOrifice 31337 Deep Throath 6670 Master Paradise 31 Millenium 20000 Netmonitor 7306 Socket23 30303 Icq Trojen 4950 Vodoo 1245 Stealth Spy 555 Attack FTP 666 Senna Spy 11000 Progenic 11223 Backdoor 1999 Portal of Doom 9875 AOL Trojan 1.1 30029 Illusion Mailer 5521 Bla 20331 Kuang 2 17300 Aujourd’hui des CENTAINES de chevaux de Troie circulent. Il existe même des outils pour en générer sans programmation !!!
  • 57.
  • 58.
  • 59.
  • 60.
  • 61.
  • 62.
  • 63.
  • 64.  
  • 65.
  • 66.
  • 67.
  • 68.
  • 69.
  • 70.
  • 71. Vulnérabilités des OS - Labo Le contenu de cette page sera communiqué ultérieurement
  • 72.
  • 73.
  • 74.
  • 75.
  • 76.
  • 77. Après les risques, les mesures de précaution
  • 78.
  • 79. Network based IDS Analyse des données capturées Visualisation - Reporting FW ou routeur Internet Réseau interne Supervision du trafic Principe : Une ou plusieurs sondes qui réfèrent à une console
  • 80.
  • 81. Host based IDS Analyse des données capturées Visualisation - Reporting Internet Réseau interne IDS host agent Principe : Des agents sur les machines sensibles qui réfèrent à une console FW/Router
  • 82.
  • 83.
  • 84.
  • 85.
  • 86.
  • 87.
  • 88.
  • 89.
  • 90. Compléments aux IDS (suite) File integrity checking Labo : Tripwire FIREWALL NETWORK-BASED INTRUSION DETECTION LOG ANALYZER TARGET-BASED FILE INTEGRITY ASSESSMENT
  • 91. How Does Tripwire Work? 10110011000010100 10001001111010100 10011111101000100 10000001011110101 11000100111011001 BeXtw+/deQsQ4EJApaF6RR File content integrity assured using crypto- graphic signatures. Cryptographic algorithms produce a fixed length signature or “hash.”
  • 92. How Does Tripwire Work? From rules defined in a policy file, Tripwire creates a baseline database of the filesystem. It stores this baseline in the database file . Database File Policy File = cryptographic signature
  • 93. =? ? Database File System’s current file structure How Does Tripwire Work? The system can then be checked against the baseline database for any unauthorized changes. = cryptographic signature
  • 94. How Does Tripwire Work? Database File = ! Report Viewer Email containing reports Syslog/ Event Log If a violation is found, reports can be emailed to administrators, dropped to syslog or be viewed from the machine being monitored.
  • 95. Centralized Reporting Specific Reports Specific violations that occurred for each rule Identifies what element changed Different rules within each report
  • 96. Centralized Reporting Violations Report List of violations for all open reports Selection will bring up violation detail in right window
  • 97. Centralized Reporting Search & Filter Violation search based on minimum severity of 66 Selecting will bring up violation detail in right window
  • 98. TEC NT Console Interface List of TEC Agents that are managed by TEC Console Pie chart shows that all the Agents are up and running
  • 99.
  • 100. Questions et réponses Discussion
  • 101.