Scanning

1
Scanning
2
Scanning

• Responsable Remy FABREGES
• Objectif découvrir des failles de sécurité,
  sintroduire dans la passerelle
• Outils nmap, rooktits

3
Nmap Introduction

• Outil de sécurité très utilisé par les
  administrateurs systèmes.
• Outil dexploration du réseau pour déterminer les
  hôtes connectés.
• Scanner des services disponibles associés à
  chaque ports ouverts.

4
Nmap Fonctionnement

• Supporte un grand nombre de techniques de scan.
• Détecte l'OS distant.
• Fournit comme résultat
• le nom du service
• le numéro du port
• l'état (ouvert, filtré)
• le protocole.

5
Nmap Exemple 1

• prise en main
• ./nmap -O -v 134.214.90.20
• Host (134.214.90.20) appears to be up ... good.
• Initiating SYN Stealth Scan against
  (134.214.90.20)
• The SYN Stealth Scan took 169 seconds to scan
  1601 ports.
• All 1601 scanned ports on (134.214.90.20) are
  filtered
• Nmap run completed -- 1 IP address (1 host up)
  scanned in 191 seconds

6
Nmap Exemple 2

• Test sur un routeur sans firewall
• ./nmap -P0 -v 134.214.90.8
• Initiating SYN Stealth Scan against
  b710pbj.univ-lyon1.fr (134.214.90.8)
• Port State Service
• 9/tcp open discard
• 13/tcp open daytime
• 21/tcp open ftp
• 23/tcp open telnet
• 25/tcp open smtp
• Remote operating system guess Linux 2.1.19 -
  2.2.20

7
Nmap Exemple 3

• Noyer l'adresse d'envoi des requêtes
• ./nmap -F -D 134.214.0.1 -v 134.214.90.14
• No Time Source Destination
  Protocol
• 0.0000 134.214.90.8 134.214.90.14 TCP
• 0.0061 134.214.0.1 134.214.90.14 TCP
• 0.0123 134.214.90.8 134.214.90.14 TCP
• 0.0203 134.214.0.1 134.214.90.14 TCP
• 0.0275 134.214.90.8 134.214.90.14 TCP
• 0.0344 134.214.0.1 134.214.90.14 TCP

8
Nmap Exemple 4

• Scanner un réseau.
• ./nmap -v 134.214.90.0-255
• Host(134.214.90.10) appears to be down, skipping
  it.
• Host(134.214.90.11) appears to be down, skipping
  it.
• Host(134.214.90.12) appears to be down, skipping
  it.
• Host(134.214.90.13) appears to be down, skipping
  it.
• Host(134.214.90.14) appears to be up ... good.
• Nmap run completed -- 256 IP addresses (8 hosts
  up) scanned in 455 seconds.

9
Rootkit Définition

• Rootkit ensemble dexploits réuni pour pénétrer
  un réseau/ordinateur sans être détecté.
• Exploit technique de piratage exploitant un
  faille de sécurité connu.
• Trojans petit programme servant à infecter un
  système pour un e action bien spécifique.
• Backdoor porte dérobée permettant de
  sintroduire dans un système de manière illicite.

10
Rootkit Etapes

• Recherche d'une proie scan de machines.
• Pratique de l'exploit prise de contrôle de la
  machine en root.
• Se cacher nettoyage des traces.
• Préparer ses prochaines visites installation de
  backdoor.
• Actions possibles
• Attaque (sur la machine même ou sur ces
  correspondants).
• Recherche dautre informations sniffer.

11
Rootkit Fonctionnement

• Pratique de lexploit
• Failles des navigateurs, des serveurs http, des
  protocoles
• Dépend des systèmes que lon attaque.
• Comment se cacher?
• Modification des binaires communs
• Actifs /bin/ps, /bin/netstat, /usr/bin/top
• Passifs /bin/ls

12
Rootkit Fonctionnement

• Nettoyage des fichiers de log.
• Prévoir les futurs visites
• Daemon qui écoute sur un port spécifique.
• Accepte un login et un mot de passe défini par le
  hacker

13
Rootkit Défense

• Appliquer les mises à jours des logiciels.
• Utiliser régulièrement des outils de contrôles
• Scan des ports ouverts
• Scan des commandes systèmes.
• Tester sa sécurité (Nmap, Nessus)