Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Veille Technologique Sécurité - cert devoteam
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Avril 2001<br />
Certains outils, dont EtherReal proposent une fonction permettant de reconstituer le flux des données échangées sur<br />
une session TCP/IP. L'analyste peut alors suivre aisement le déroulement des actions ce qui simplifie l'investiguation.<br />
Dans le cas présent, cette approche permet de confirmer <strong>cert</strong>aines hypothèses mais reste limitée, une grande partie<br />
des attaques utilisant une multitude de flux HTTP.<br />
Session Incident N°1 - TCP/6969<br />
Le lecteur qui aura le courage de lire la transcription de cette session ne manquera pas de noter les nombreuses<br />
erreurs de frappe et l'utilisation systématique de la commande 'dir'. Il comprendra pourquoi l'attaquant est obligé de<br />
déconnecter la session: il tente de visualiser un fichier binaire contenant des caractères de contrôles qui engendrent<br />
un dysfonctionnement du terminal ! Notons que pour conserver une transcription lisible et d'une taille raisonnable,<br />
les résultats des commandes 'dir' ne sont pas tous affichés.<br />
<strong>Veille</strong> <strong>Technologique</strong> <strong>Sécurité</strong> N°33 Page 48/59<br />
© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE