indices de réponses - Lita

lita.sciences.univ.metz.fr

indices de réponses - Lita

Définir ce qu’est une adresse IP et à quoi elle sert.

C’est une adresse logique qui identifie une machine connectée à un réseau.

Elle permet le routage des paquets par l’intermédiaire de routeurs (qui sont

des nœuds de transfert).


Donnez une définition du protocole IP.

C’est un protocole internet correspondant au niveau « réseau » du modèle

OSI.

Il sert comme protocole d’interconnexion: il détermine un bloc de données

suivant un format bien établi, contenant une adresse.

Il définit le format des paquets de données, leur routage, le relayage, le

contrôle de la congestion, etc.


Donnez la définition du protocole TCP (Transmission Control

Protocol).

C’est un protocole de transport en mode connexion.

Il vient en complément du protocole IP pour définir une interface avec les

applications.

Il détermine la manière de transformer un flux d’octets en paquets IP, tout en

s’assurant de la bonne transmission de ceux-ci.

TCP permet par la définition des numéros de port d’adresser des

programmes (services) contrairement à IP qui adresse des machines.


Quelle caractéristique principale différencie les protocoles TCP et

UDP ?

UDP (User Datagram Protocol) associe (comme TCP) un numéro de port à

un service, mais contrairement à TCP, il n’est pas fiable car il n’établi pas

préalablement une connexion et ne vérifie pas l’intégrité des données.

Au mieux, c’est le programme qui l’utilise qui fait cette vérification.

Les paquets IP avec UDP sont usuellement appelés « datagram ».


Que signifie TCP / IP ?

TCP/IP est un modèle en couches plus simple et plus vieux que le modèle

OSI.

IP est utilisé pour la couche réseau, et TCP pour la couche transport.


Sous windows, grâce à la commande ipconfig /all, déterminez votre

adresse IP. Quelles autres informations importantes sont données

par cette commande. Quelle est la commande équivalente sous

Linux ?

On y trouve le nom de la machine sur le réseau.

L’adresse physique est l’adresse MAC de l’adaptateur.

L’adresse de la passerelle, celle du serveur DNS.

L’adresse du serveur DHCP si le DHCP est activé.

Les informations concernant le « bail » (durée de validité de l’adresse IP

lorsque allouée dynamiquement en DHCP).

Sous linux: /sbin/ifconfig


Quels ports sont utilisés par le protocole DNS en TCP et en UDP ?

Dans les deux cas, c’est le port 53 car un port est caractéristique d’un service

(c'est-à-dire d’un programme).


Tester la connectivité grâce à l’utilitaire ping. Ping utilise-t-il le

protocole TCP ? Expliquez. Quel peut-être l’utilité de la commande

ping pour un pirate ? (1/2)

Ping vérifie s’il existe une connexion IP entre deux machine: il envoie un

paquet ICMP contenant par défaut des caractères ascii séquentiels et attend

que la machine distante lui renvoie le même paquet.

ICMP (internet control message protocole) sert essentiellement pour

l’administration réseau (rendre compte par exemple d’adresses IP

inexistantes et d’anomalies au niveau de IP).

Ping utilise le protocole ICMP. TTL est le Time to Live qui indique le nombre

maximum de routeurs qui pourront être traversés avant la destruction du

paquet. Il existe une option de ping qui permet d’ailleurs de fixer la valeur de

TTL.


Tester la connectivité grâce à l’utilitaire ping. Ping utilise-t-il le

protocole TCP ? Expliquez. Quel peut-être l’utilité de la commande

ping pour un pirate ? (2/2)

Grâce à cette commande, un pirate peut savoir si une adresse IP correspond

à une machine connectée, et donc susceptible d’être attaquée. De plus, le

pirate peut scanner toutes les IP d’un même réseau et ainsi se donner une

idée de l’importance de sa cible (machine isolée ou grand ensemble de

machines interconnectées).

Pour contrer cette attaque, on désactive la commande ping, ou on ajoute une

règle au pare-feu pour l’empêcher d’y répondre (remarque : il semble que le

pare-feu de windows ne permette pas cette possibilité).


Comment configure-t-on l’IP d’une machine Windows ?

Menu démarrer – Afficher toutes les connexions – sélectionner l’icône du

réseau activé – clic droit pour faire apparaître le menu contextuel –

sélectionner propriétés puis TCP/IP puis propriétés et on peut changer ici les

adresses IP.


Comment configure-t-on l’IP d’une machine Linux ? en mode console

et en mode graphique ?

ifconfig eth0 down

ifconfig eth0 192.168.0.1 netmask 255.255.255.0 up

Mode graphique: dépend de la distribution utilisée...


Qu’est-ce que l’IP spoofing ?

L’IP spoofing consiste à usurper l’adresse IP d’une machine. Elle permet

ensuite d’envoyer des paquets avec comme adresse IP source l’adresse

d’une autre machine.

Des services comme rsh (qui permet de se logger sur une machine) utilisent

l’IP pour identifier l’émetteur.


Expliquez comment en employant le « routage source d’IP », un pirate

peut obtenir des informations d’un serveur.

Voir

http://www.commentcamarche.net/contents/attaques/usurpation-ip-spoofing.php3

Le routage source d’IP est une option permettant d’indiquer une route à

utiliser pour envoyer et recevoir à nouveau le message.

Le pirate peut ainsi changer son IP ou envoyer des paquets avec comme IP

source celle du client usurpé.

Cela fait croire au serveur que le paquet vient bien de la machine

normalement attendue.

Grâce au routage source d’IP, le pirate indiquera au serveur la route que

devront suivre les paquets IP pour revenir jusqu'à la machine du pirate, ou en

passant par la machine du pirate avant d’aller vers la machine usurpée.


Qu’est ce que le TCP-SYN flooding ?

Voir http://fr.wikipedia.org/wiki/SYN_flooding

Utiliser wireshark pour voir le SYN, SYN-ACK, ACK (requête http par ex.).


L’outil tracert (Windows) permet d’obtenir la liste des routeurs

traversés pour envoyer un message jusqu’à une adresse de

destination. Testez la commande et expliquez le résultat obtenu.

Voir http://fr.wikipedia.org/wiki/Traceroute

% traceroute fr.wikipedia.org

traceroute to rr.knams.wikimedia.org (145.97.39.155), 30 hops max, 38 byte packets

1 80.67.162.30 (80.67.162.30) 0.341 ms 0.300 ms 0.299 ms

2 telehouse2-gw.netaktiv.com (80.67.170.1) 5.686 ms 1.656 ms 0.428 ms

3 giga.gitoyen.net (80.67.168.16) 1.169 ms 0.704 ms 0.563 ms

4 62.4.73.27 (62.4.73.27) 2.382 ms 1.623 ms 1.297 ms

5 ge5-2.mpr2.cdg2.fr.above.net (64.125.23.86) 1.196 ms ge9-4.mpr2.cdg2.fr.above.net (64.125.23.102) 1.290 ms ge5-1.mpr2.cdg2.fr.above.net

(64.125.23.82) 30.297 ms

6 so-5-0-0.cr1.lhr3.uk.above.net (64.125.23.13) 41.900 ms 9.658 ms 9.118 ms

7 so-7-0-0.mpr1.ams5.nl.above.net (64.125.27.178) 23.403 ms 23.209 ms 23.703 ms

8 64.125.27.221.available.above.net (64.125.27.221) 19.149 ms so-0-0-0.mpr3.ams1.nl.above.net (64.125.27.181) 19.378 ms

64.125.27.221.available.above.net (64.125.27.221) 20.017 ms

9 PNI.Surfnet.ams1.above.net (82.98.247.2) 16.834 ms 16.384 ms 16.129 ms

10 af-500.xsr01.amsterdam1a.surf.net (145.145.80.9) 21.525 ms 20.645 ms 24.101 ms

11 kncsw001-router.customer.surf.net (145.145.18.158) 20.233 ms 16.868 ms 19.568 ms

12 gi0-24.csw2-knams.wikimedia.org (145.97.32.29) 23.614 ms 23.270 ms 23.574 ms

13 rr.knams.wikimedia.org (145.97.39.155) 23.992 ms 23.050 ms 23.657 ms

On obtient ainsi le nom et l’ip des routeurs traversés ainsi que leur temps de

réponse minimum, moyen et maximum.


Quel est l’intérêt de la commande tracert pour un pirate ?

Elle permet de connaître l’adresse IP du routeur situé juste avant la

machine.

Il peut alors entreprendre d’attaquer ce routeur.


Regardez l’outil netstat et indiquez ce qu’il fait.

C’est un outil indiquant les connexions TCP actives sur la machine.

Sous linux :

netstat –nt -> affiche les connexions actives

netstat –ntl -> affiche les ports ouverts

netstat –a -> liste les ports utilisé ou écouté

netstat –r -> affiche la table de routage du noyau linux


Comment peut-on fermer un port ?

En utilisant un pare-feu.

Par ex. Windows: net stop NomDuService

Par ex. Linux (iptables):

iptables -A INPUT -p tcp --dport 3127 -j REJECT

iptables -A INPUT -i ppp0 -p tcp --dport 80 -j DROP

Mais on peut aussi tout simplement désactiver le service/démon qui écoute

ce port.


Que fait nslookup www.univ-metz.fr ?

C’est un outil permettant d’obtenir des informations depuis le serveur DNS

(serveur de nom configuré sur la machine).

Ceci permet ainsi d’obtenir l’IP correspondant à www.univ-metz.fr (résolution

de nom).

Pour connaître l’IP de son serveur de nom (Linux): cat /etc/resolv.conf


Grâce à cette commande, déterminer le serveur de messagerie de

l’université.

nslookup

set type=mx

univ-metz.fr

* set type=mx permet de recueillir les informations concernant le ou les

serveurs de messagerie d’un domaine.

Pour changer de serveur de noms :

nslookup

server hermes.univ-metz.fr

univ-metz.fr


Quelles sont les commandes équivalentes à tracert, netstat et

nslookup sous Linux ?

tracert -> tracepath ou traceroute

netstat et nslookup sont les mêmes.


Sous Linux, en utilisant la commande ifconfig (voir man), modifiez

l’adresse MAC de votre machine virtuelle. Vérifiez que celle-ci a

effectivement changée. Rétablissez ensuite l’adresse originale.

Peut-on authentifier de façon sûre un utilisateur grâce uniquement à

son adresse MAC ?

Il faut d'abord désactiver l'interface réseau eth0 puis la réactiver:

ifconfig eth0 down

ifconfig eth0 hw ether 00:0C:29:C5:BB:17

ifconfig eth0 up


Installation d’un sniffer : wireshark. Tester ensuite chacune des

commandes suivantes et indiquez les paquets produits.

ping 127.0.0.1

ping 172.16.106.1

tracert www.google.com

netstat

nslookup www.univ-metz.fr

nslookup 194.57.140.68


Indiquez les fichiers de configuration du réseau sous linux. (1/2)

Red hat, mandriva, mageia, etc:

/etc/sysconfig/network

/etc/sysconfig/network-scripts/ifcfg-eth0

Ubuntu:

/etc/network


Indiquez les fichiers de configuration du réseau sous linux. (2/2)





/etc/hosts: correspondance nom machine / adresse IP

/etc/services: définit les services et leur ports usuels

/etc/init.d/network: initialise le réseau

Etc.


Qu’est-ce-que xinetd ?

C’est un démon qui s’occupe de gérer des services basés sur internet. Il

centralise la distribution du travail entre les démons les plus courants (rsh,

telnet, rlogin, ftp).

Il a donc en charge l’écoute de ces ports.

On peut un peu sécurisé xinetd en effectuant d’abord un contrôle basé sur

l’adresse IP de la machine qui effectue la requête grâce à «tcpd». Les règles

d’accès sont vérifiées par tcpd et si c’est OK, alors le service est lancé.


A quoi sert le protocole TFTP ? Pourquoi n’est-il pas conseillé de

l’utiliser ?

Trivial File Transfert Protocol permet notamment de sauvegarder et de

restaurer des fichiers de configuration sur des routeurs. Le transfert n’est pas

sécurisé : les échanges ne sont pas cryptés et n’utilise pas de mécanisme

d’authentification.

Une fois connecté, la commande GET fichier-de-conf.config pourrait

permettre à un pirate de récupérer la configuration actuelle.

Il est donc très conseillé de le désactiver ou de le bloquer grâce à un parefeu.


La plupart des pare-feu sont configurés pour autoriser les connexions

sortantes sur le port 80. Quel service utilise ce port ? Quels sont

les risques inhérents au protocole HTTP?

Les trames HTTP ne contiennent pas uniquement du code HTML, mais

peuvent servir à transmettre des codes applicatifs (scripts, applets JAVA,

contrôles active X, …) qui eux, contrairement à l’HTML, présentent plus de

failles de sécurité.

Il est aussi possible d’utiliser du code malicieux (exploit tiff par exemple),

exécuté en utilisant une faille du navigateur / moteur de rendu HTML.

C’est très difficile pour un pare-feu d’analyser sémantiquement le contenu

des trame HTTP; et c’est quasi-impossible si le flux est crypté (HTTPS par

exemple).


Expliquez de quelle façon il serait possible d’usurper une adresse

mail pour envoyer un message en se faisant passer pour quelqu’un

d’autre.

Voir http://fr.wikipedia.org/wiki/Smtp.

telnet smtp.univ-metz.fr 25

HELO client

Mail from: fake@truc.com

Rcpt to: demange@univ-metz.fr

Data

Subject: fake mail

Salut mec

.

Quit


Tester la commande arp. Que fait cette commande ?

Elle permet de mettre en correspondance les adresses IP avec les adresses

MAC.

Afficher la table ARP:

arp –a

Supprimer une entrée : -d

Ajouter une entrée : arp –s NomMachine AdresseMac

(On en voit passer de temps en temps avec wireshark).


Que fait la commande lsof ?

List open files.

Elle liste les processus actifs et les fichiers ouverts (sous linux).

En particulier lsof -p PID liste les fichier ouverts par le processus identifié par

son PID.

More magazines by this user
Similar magazines