Rédacteur : Heurs
Date de création : 07/08/2006
Imprimer cet article : en noir et blanc ou en couleurs
C'est une technique qui n'est pas toute jeune mais qui est loin d'etre démodée. Elle permet de faire un scan de ports TCP sur une machine, mais la machine ciblée croit que c'est une autre personne que vous qui la scanne. Ainsi anonymat quasiment garanti ;)
Pour ceux qui ne le savent pas, un paquet TCP est composé d'au moins deux protocoles : l'IP et le TCP. Ce sont deux protocoles bien distincts. Sur l'IP on peux par exemple monter un protocole de couche supérieure, par exemple ICMP, UDP, IGMP etc...
Quand votre ordinateur reçoit deux paquets de facon trés raprochée, il faut bien qu'il arrive a déterminer quel paquet à été envoyé en premier. Une chance pour nous, le protocole IP à un champ prévu pour numéroter les paquets, il s'appelle l'IPID !
L'IPID est par défaut incrémenté à chaque paquet (envoyer) de facon régulière, nous le voyons dans l'exemple ci-dessous :
Nous pouvons voir trés clairement ici que notre IPID est incrémenté de 3 à chaque paquet. L'incrémentation est donc régulière.
Le but de cette attaque est que la victime ne puisse jamais voir notre adresse IP, pour se faire le spoofing va etre à l'honneur.
Nous avons vu que l'IPID était incrémenté régulièrement sur cetaines machines, et même la plus part. Dans notre exemple, si nous envoyons des paquets, nous verrons une incrémentation de 3 entre chaque paquet. En revanche, si un autre PC envoie un paquet a cette machine et que celle ci répond, une incrémentation supplémentaire sera due à cette réponse. Et nous nous verrons une incrémentation de 6 au lieu de 3 à un moment.
Vous me suivez ? Alors c'est reparti !
Maintenant regardons les flags de TCP, ou tout du moins les 3 plus importants : SYN, ACK, RST
Voici deux exemples de communication classiques :
Rentrons dans le vif du sujet : voici le plan de l'attaque :
Bon ok, ca doit vous paraître un peu brouillon, mais nous allons tout détailler.
Le Pc Zombi doit etre un PC sans activité, comme ca aucun trafic ne viendra perturber notre scan. L'ordre chronologique est le suivant :
Si entre le 1er et dernier prélevement d'IPID l'incrémentation est régulière, cela veut dire que le port de Victime est fermé. Puisque Zombi n'a pas renvoyé de paquet cela signifie qu'il a reçu un RST/ACK.
Si entre le 1er et dernier prélevement d'IPID l'incrémentation est de deux fois la normale, cela signifie que le port est ouvert. Puisque Zombi aura répondu un RST/ACK cela voudra dire qu'il a recu un SYN/ACK.
Pour ce faire, nous utiliseront nmap, tout simplement parce qu'il à déja cette option d'implémentée. Il faut utiliser l'option -sI (scan Idle) en mettant en premier argument l'adresse IP du zombi et en deuxième argument l'adresse IP de la victime.
Et voici le démonstration de cette technique (sous Windows, pour changer) :
Il est tout a fait possible de scanner sans qu'un pare-feu ne reconnaisse le vrai attaquant, mais les possibilités de ce scan restent trés limitées, donc pas de vrai gros risque ;)