IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Schéma de détection d'intrusion réseau en C


Sujet :

Sécurité

  1. #1
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut Schéma de détection d'intrusion réseau en C
    Evidemment, il s'agit d'un premier jet servant d'exemple, base. Les fonctions check() et kill() restent superficielles et comme écrit dans la licence, il n'y a aucune garantie.
    Depuis le code a évolué, été corrigé et adapté à la demande.
    A vous de broder dessus afin de l'implémenter dans votre réseau mais je pense que cela peut-être utile pour toute entreprise.

    Attention, cela n'empêche aucune écoute !!!


    édulcoré à la demande d'un client

    Edit : même le main est trop compromettant
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  2. #2
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 035
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 035
    Points : 8 400
    Points
    8 400
    Par défaut
    salut,

    c'est dommage du coup y'a plus grand chose à reluquer
    c’était sous linux j'imagine ? un module noyau ou des nfqueues peut-être ?

    par ailleurs, ça veut dire que comme tu as déjà codé un truc similaire pour ton client c'est fini tu n'as plus le droit de coder le même genre d'outil sur ton temps libre à moins de garder jalousement le code source ?

  3. #3
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut
    C'est un module noyau, avec log, sonde de la partie adverse et neutralisation par bannissement et annihilation éventuelle suivant le degré de menace. Le tout avec une partie surveillance/gestion manuelle.
    En fait je sous-traite pour un très gros client qui lui-même revend pour d'encore plus gros clients.

    Donc évidemment, d'une part ça casse leur business si je publie. D'autre part, ce genre de gros clients ne sont pas des plaisantins
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  4. #4
    Membre actif
    Homme Profil pro
    Expertise sécurité
    Inscrit en
    Avril 2013
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expertise sécurité

    Informations forums :
    Inscription : Avril 2013
    Messages : 185
    Points : 268
    Points
    268
    Par défaut
    Citation Envoyé par marsupial Voir le message
    C'est un module noyau, avec log, sonde de la partie adverse et neutralisation par bannissement et annihilation éventuelle suivant le degré de menace. Le tout avec une partie surveillance/gestion manuelle.
    En fait je sous-traite pour un très gros client qui lui-même revend pour d'encore plus gros clients.

    Donc évidemment, d'une part ça casse leur business si je publie. D'autre part, ce genre de gros clients ne sont pas des plaisantins
    Oh !
    Ce sujet est trèèèèès frustrant !!!
    Ça donne envie de le lire puis plus rien !

    Pas moyen d'avoir un sample de code, même en message privé ?

    JayGr

  5. #5
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 035
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 035
    Points : 8 400
    Points
    8 400
    Par défaut
    Citation Envoyé par JayGr Voir le message
    Pas moyen d'avoir un sample de code, même en message privé ?
    vu ce qu'il explique, officiellementlégalement non, je lui ai posé un peu la même question par pm mais pas de réponse pour l'instant ^^

    c'est vrai que même sans livrer de code il y aurait pleins de choses intéressantes à discuter, entre l'architecture, les performances, le choix des API, la provenance de la db de patterns éventuels etc.

  6. #6
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut
    En fait même ça je ne peux pas. My best effort, BufferBob tu l'as reçu par mp.

    Tout ce qu'il y a à savoir est que cela utilise des fonctionnalités du noyau linux.

    C'est tout aussi frustrant pour moi qui avait pris la bonne résolution pour cette année de le faire en open source.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  7. #7
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 035
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 035
    Points : 8 400
    Points
    8 400
    Par défaut
    Citation Envoyé par marsupial Voir le message
    BufferBob tu l'as reçu par mp.
    nop j'ai reçu aucun mp, t'as du envoyer à quelqu'un d'autre

  8. #8
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    10 700
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : Juillet 2006
    Messages : 10 700
    Points : 15 044
    Points
    15 044
    Par défaut
    Salut,

    je m'immisce car il y a un truc que je ne pige pas :
    Citation Envoyé par marsupial Voir le message
    En fait même ça je ne peux pas. My best effort, BufferBob tu l'as reçu par mp.

    Tout ce qu'il y a à savoir est que cela utilise des fonctionnalités du noyau linux.

    C'est tout aussi frustrant pour moi qui avait pris la bonne résolution pour cette année de le faire en open source.
    J'ai bien compris que tu as développé pour d'autres un truc avec le dedans de ta tête mais qu'avec les règles commerciales de ce monde de fous, tu ne peux plus en développer un autre, tu n'en as pas le droit. C'est ça ?
    Si oui, c'est un peu comme si tu avais en son temps inventé la roue ronde pour d'autres et que tu coup tu sois obligé de continuer à pousser ta brouette sur une roue carrée, c'est bien ça ? On marche sur la tête, là !
    Et comment vas-tu faire pour ne pas inventer un truc similaire ?
    Tu vas te faire lobotomiser ?
    Car ton cerveau, face à un problème bien précis, va explorer plusieurs solutions, de la moins bonne à la meilleure et choisir la meilleure, évidemment. Et comment vas-tu faire pour ne pas retomber sur ta super-méga-géniale solution ? Tu vas te downgrader ?

    Ça me dépasse, ça me dépasse...

    Et comment ça se passerait si quelqu'un examinant le code source du noyau, en arrivait par le plus grand hasard, aux mêmes conclusions que toi ?
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  9. #9
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut
    Citation Envoyé par Jipété Voir le message
    Salut,

    je m'immisce car il y a un truc que je ne pige pas :


    J'ai bien compris que tu as développé pour d'autres un truc avec le dedans de ta tête mais qu'avec les règles commerciales de ce monde de fous, tu ne peux plus en développer un autre, tu n'en as pas le droit. C'est ça ?
    Si oui, c'est un peu comme si tu avais en son temps inventé la roue ronde pour d'autres et que tu coup tu sois obligé de continuer à pousser ta brouette sur une roue carrée, c'est bien ça ? On marche sur la tête, là !
    Et comment vas-tu faire pour ne pas inventer un truc similaire ?
    Tu vas te faire lobotomiser ?
    Car ton cerveau, face à un problème bien précis, va explorer plusieurs solutions, de la moins bonne à la meilleure et choisir la meilleure, évidemment. Et comment vas-tu faire pour ne pas retomber sur ta super-méga-géniale solution ? Tu vas te downgrader ?

    Ça me dépasse, ça me dépasse...

    Et comment ça se passerait si quelqu'un examinant le code source du noyau, en arrivait par le plus grand hasard, aux mêmes conclusions que toi ?

    Ce que je ne pige pas et qui me surprend est que personne n'ai trouvé avant. Nous méritons tout le mépris possible de Linus tellement c'est ballot

    Même pas que je n'en ai pas le droit, mais euh... comment dirai-je, ils sont assez extrèmes et radicales dans leur mode de punition. Et eux en ont parfaitement le droit et l'autorité. Entre nous soit dit.
    Donc si quelqu'un retombe sur la même chose je dirai tant mieux pour lui et qu'il en fasse bon usage.

    Mais ça m'étonnerait. Cela voudrait fatalement dire qu'il a copié tout ou partie : je sais comment je code.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  10. #10
    Membre actif
    Homme Profil pro
    Expertise sécurité
    Inscrit en
    Avril 2013
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expertise sécurité

    Informations forums :
    Inscription : Avril 2013
    Messages : 185
    Points : 268
    Points
    268
    Par défaut
    Citation Envoyé par marsupial Voir le message
    Ce que je ne pige pas et qui me surprend est que personne n'ai trouvé avant. Nous méritons tout le mépris possible de Linus tellement c'est ballot

    Même pas que je n'en ai pas le droit, mais euh... comment dirai-je, ils sont assez extrèmes et radicales dans leur mode de punition. Et eux en ont parfaitement le droit et l'autorité. Entre nous soit dit.
    Donc si quelqu'un retombe sur la même chose je dirai tant mieux pour lui et qu'il en fasse bon usage.

    Mais ça m'étonnerait. Cela voudrait fatalement dire qu'il a copié tout ou partie : je sais comment je code.
    Si je peux me permettre ce genre de question : Tu es sous contrat ?
    Si oui, je comprends qu'il puisse y avoir une clause qui dit que...
    Si tu ne l'es pas... Alors là tu peux tout à fait partager .
    J'essaye hein !!!!

    @+
    JayGr

  11. #11
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut
    "C'est un civil sous contrat, messieurs. Vous feriez bien de l'écouter car le Pentagone l'écoute. Indicatif marsu. Je vous les laisse marsu."

    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  12. #12
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut
    Citation Envoyé par marsupial Voir le message
    "C'est un civil sous contrat, messieurs. Vous feriez bien de l'écouter car le Pentagone l'écoute. Indicatif marsu. Je vous les laisse marsu."

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    /*
     * seekandestroy.c
     *
     * Copyright 2014 marsu <marsu@marsu-Latitude-E5520>
     *
     * This program is free software; you can redistribute it and/or modify
     * it under the terms of the GNU General Public License as published by
     * the Free Software Foundation; either version 2 of the License, or
     * (at your option) any later version.
     *
     * This program is distributed in the hope that it will be useful,
     * but WITHOUT ANY WARRANTY; without even the implied warranty of
     * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
     * GNU General Public License for more details.
     *
     * You should have received a copy of the GNU General Public License
     * along with this program; if not, write to the Free Software
     * Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston,
     * MA 02110-1301, USA.
     *
     *
     */
    
    /* best defense is attack
     * to patch all network
     * emscripten for web server in honeypot*/
    
    #include <termios.h>
    #include <stdio.h>
    #include <errno.h>
    #include <sys/types.h>
    
    #define CYCLE for (CYCLE == 0; if CYCLE != EOF; CYCLE++)
    
    
    
    struct
    {[E2BIG],[EACCESS],[EADDINUSE],[EADDRNOTAVAIL],[EAFNOSUPPORT],[EAGAIN],[EALREADY],
    
    [EBADF],[EBADMSG],[EBUSY],[ECANCELED],[ECHILD],[ECONNABORTED],[ECONREFUSED],[ECONNREFUSED],
    
    [EDEADLK],[EDOM],[EDQUOT],[EEXIST],[EFAULT],[EFBIG],[EHOSTUNREACH],[EIDRM],[EILSEQ],[EINPROGRESS],
    
    [EINTR],[EINVAL],[EIO],[EISCONN],[EISDIR],[ELOOP],[EMFILE],[EMLINK],[EMSGSIZE],[EMULTIHOP],
    
    [ENAMETOOLONG],[ENETDOWN],[ENETRESET],[ENETUNREACH],[ENFILE],[ENOBUFS],[ENODATA],[ENODEV],
    
    [ENODEV],[ENOENT],[ENOEXEC],[ENOLCK],[ENOLINK],[ENOMEM],[ENOMSG],[ENOPROTOOPT],[ENOSPC],
    
    [ENOSR],[ENOSTR],[ENOSYS],[ENOTCONN],[ENOTDIR],[ENOTEMPTY],[ENOTSOCK],[ENOTSUPP],[EOVERFLOW],
    
    [EOVERFLOW],[EPERM],[EPIPE],[EPROTO],[EPROTONOSUPPORT],[EPROTOTYPE],[ERANGE],[EROFS],[ESPIPE],
    
    [ESPIPE],[ESRCH],[ESTALE],[ETIME],[ETIMEDOUT],[ETXTBSY],[EWOULDBLOCK],[EXDEV]}seek;
    
    int check ( int , int) {
    
                    if ( seek =! 1 ) {
                            openlog(log, LOG_CONS|LOG_PID, LOG_LOCL7);
                            syslog(LOG_DEBUG, "investigate - traceroute/whois...");
                            closelog();
                    else {
                            exit 0;
                    };
    
    
                    if ( seek != 1 ) {
                    while ( seek != 1 ) {
    
                                            for ( &seek == 0 , return p__pid_t __pid, &seek++ )
                            }
                    }
                            else {
                    &seek++;
                    };
            }
    
    int kill(__pid_t __pid, int __sig){
            if ( si_code >= 0 )
            return SIGINT;
            else do {
                    system (kill); /* to simplify */
            } while ( si_code < 0 );
    
    
    void * main(int seek, char CYCLE)
    {
    
            for ( struct termios terminal; int tcdrain (&seek) != tcgetattr(&
    terminal); &terminal++) {
                    tcsetattr ( STDIN_FILENO, TCSAFLUSH, struct sockaddr * __pid );
                    tcsetattr ( STDOUT_FILENO, check(&seek, seek), &pid );
                    kill(&pid);
                    tcsetattr ( STDIN_FILENO, TCSAFLUSH, & terminal )
                    };
            }
            return SIGINT;
    }
    voilà un des codes de base : la structure vient de errno.h qui peut servir autant pour le système que le réseau
    cela s'intègre autant dans un serveur que dans un routeur
    Evidemment il y a des parties à réécrire en ASM que je ne maîtrise pas suffisamment
    Ensuite vous indexez sur poll() depuis systemd croisé avec suricata et ses bases
    Vous faites un aspirateur dans une DMZ ( investigate ) pour compléter la base
    Vous avez security.h et checkio.h et les gestions d'applications kernels pour gérer le tout
    Comme dit en commentaire, avec emscripten vous pouvez l'implémenter dans un serveur web

    Ca fait du bien de me lacher même si ça risque de me coûter ma mère

    Edit : j'oublie l'essentiel, à coupler avec le metaframe de de GNU/Kali Linux et/ou BackBox
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Réponses: 5
    Dernier message: 20/08/2016, 02h32
  2. Solution sur la détection d'intrusion réseau
    Par Masmeta dans le forum Sécurité
    Réponses: 3
    Dernier message: 13/12/2013, 18h05
  3. Détection d'intrusion réseau
    Par Invité dans le forum Sécurité
    Réponses: 1
    Dernier message: 07/01/2013, 11h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo