Discussion :

[zamo.zd]

Bonjour,

désolé pour cette question je sais que ce n'est pas un forum pour ce genres de questions mais je n'ai pas trouvé où les poser.

1 - pour un cracker ( hacker ) quelle est la différence entre pare feu stateless et statefull ?
autrement dit est ce que stateless est vulnerable ou moins sécurisé, et si possible donnez moi la vue globale de comment le cracker ( hacker ) exploite pare-feu stateless ou comment stateful lui rend la tâche difficile ?
et qu'elle est la difference entre ces deux procédures:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
                SYN			192.168.1.100 -> 192.168.1.200
		SYN-ACK    		192.168.1.200 -> 192.168.1.100
		ACK           		192.168.1.100 -> 192.168.1.200
		RST			192.168.1.200 -> 192.168.1.100
 
		et
 
		SYN			192.168.1.100 -> 192.168.1.200
		SYN-ACK	        	192.168.1.200 -> 192.168.1.100
		ensuite rien

qu'elle est la difference ? ou quelle est le plus de ce deuxieme pare-feu ?


2 - les segments udp sont non-orientés connexion, mais je vois qu'avec un scan nmap ( nmap- sU 192.168.1.100 ) que j'ai capturé avec wireshark revois des paquets icmp ( destination unreachable port unreachable ), quand est qu'on voit ce genre d'échange ou quand est ce que les segments udp renvoient les paquets icmp quand elle n'atteignent pas la destination ? merci.

3 - comment les IDS/IPS fonctionnent et surtout comment les IPS préviennent contre les attaques, comment il bloque les attaques ? je ne me suis pas encore documenté sur le sujet mais je voudrai une vue globale rapidement, mais je sais que par exemple snort détecte les intrusions selon les signatures des paquet sniffer et la prevention et d'envoyer un RST a celui qui c'est introduit ( mais corrigez moi si je me trompe ).

4 - quelle est la difference entre ( MTU ) et ( window size Value ) du protocol TCP/IP ?

[Obsidian]

Bonjour,

Ça ressemble énormément à un devoir scolaire.

On peut te donner la réponse à tes questions mais, avant cela, dis-nous ce que tu en penses toi, et ce que tu as déjà écrit jusqu'ici.

[zamo.zd]

On peut te donner la réponse à tes questions mais, avant cela, dis-nous ce que tu en penses toi, et ce que tu as déjà écrit jusqu'ici.

non ce n'est pas un devoir scolaire, je me pose juste des question.

pour le pare-feu je n'ai rien compris, je ne me suis pas documenté encore mais je voudrais des réponse rapides comme introduction.

pour la deuxieme question, on dit que udp est non-orienté connexion, qu'il ne nous dit pas si le paquet est arrivé vers la destination, et je vois le paquet pcap que j'ai capturé avec wireshark.

pour la quatrieme, pour moi le MTU et Windows size value est la même chose.

merci

[zamo.zd]

Ou sinon donnez moi, s'il vous plaît, les RFC que je dois lire.

[Invité]

Salut,

la différence entre parfeu stateless et statefull ?

Avec les techniques de "Stateful Packet Inspection", le firewall stateful garde trace de toutes les connections qui passent au travers. Ce qui bien sûr n'est pas le cas du firewall stateless.

En résumé, le firewall stateful travaille sur des flux tandis que le stateless travaille sur des paquets individuels. Il est donc très difficile pour les hackers de faire intrusion dans les réseaux protégés par ce type de firewall.

Un firewall stateless sera donc plus vulnérable, surtout aux attaques d'intrusion dans les réseaux qu'il est censé protéger. Je te laisse faire des recherches Google
Et concernant tes "traces"... On peut pas conclure grand chose de ton truc là
C'est quoi ces traces hormis que ça montre le 3-Way Handshake TCP ? Dans quel contexte ?

2 - les segment udp sont non-orienter connexion, mais je vois qu'avec un scan nmap ( nmap- sU 192.168.1.100 ) que j'ai capturer avec wireshark revoie des paquet icmp ( destination unreachable port unreachable ), quand es qu'on voit se genre d'échange ou quand es que les segment udp renvoie les paquet icmp quand elle n'atteigne pas la destination ? merci.

C'est normal. nmap incrémente les ports qu'il scanne donc si la cible n'est pas en listening sur le port scanné, elle va émettre un ICMP Port Unreachable. Cf RFC792

3 - comment les IDS/IPS fonctionne et surtout comment les IPS prevente les attaques, comment il bloque les attaques ? je ne me suis pas encore documenter sur le sujet mais je voudrai une vu global rapidement, mais je sais que par exemple snort détecte les intrusion selon les signature des paquet sniffer et la prevention et d'envoyer un RST a celui qui c'est introduit ( mais corriger moi si je me trompe ).

Ce sont des sondes "furtives" qui écoutent en permanence le traffic sur des réseaux sensibles. Que ce soit les SYN Flood, les Ping of Death, les attaques WinNuke, il faut bien comprendre que toutes ces attaques ont une signature... Elles sont donc détectables.

4 - qu'elle est la difference entre ( MTU ) et ( window size Value ) du protocol TCP/IP ?

L'IP MTU est la longueur max d'un paquet IP encapsulable sans fragmentation.

Historiquement, le "Window Size Value" dont tu parles c'est le TCP MSS (Maximum Segment Size). C'est le volume maximum qu'un host peut recevoir sous forme d'un seul datagramme TCP. Le TCP MSS est négocié lors de l'initialisation de la connection TCP et est lié aux buffers et à l'IP MTU. Fais des recherches Google sur "TCP MSS", "TCP Set Send MSS" parce que là ça risque d'être long à expliquer
Voici un site pas trop mal qui explique assez bien les choses :

http://www.tcpipguide.com/free/t_TCP...oIPDatagra.htm

Steph

[zamo.zd]

merci pour tes réponses steph.

à propos:

Avec les techniques de "Stateful Packet Inspection", le firewall stateful garde trace de toutes les connections qui passent au travers.

es que:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

nmap -sS cible.com

laisse des traces avec firewall stateful.

et j'ai d'autres questions S.V.P

1 - c'est quoi un hôte zombie ?
j'ai lu dans un tutoriel qu'un zombie peut etre n'importe quoi une imprimante ou ... ( ils n'ont pas dit plus qu'une imprimante ), là ma question est est ce que n'importe quelle hôte ou péripherique est un zombie ?

2 - pourquoi hping envoie vers le port 0, es que quand un hôte est allumé le port 0 est ouvert.

[zamo.zd]

merci d'avance.

[Invité]

Quand je disais qu'un firewall stateful garde trace des connexions, c'était dans le sens où il maintient en mémoire une table dynamique de tous les flux qu'il voit passer. D'autre part, saches que les activités nmap sont simplissimes à logger : c'est toujours la même adresse IP source qui envoie des probes en incrémentant les ports. C'est un jouet de boy-scout

Quant aux zombies... Halte aux fantasmes... C'est tout simplement un cheval de Troie

Et oui, hping sans option va chercher le port 0 d'un host. A une époque, les firewalls qui bloquaient les ICMP laissaient passer le hping -0 c'était donc très utilisé par les hackers pour cibler des hosts sur des réseaux privés...


Mais je vois que tu shootes dans tous les coins
Après, chacun fait ce qu'il veut... Mais si tu veux t'intéresser au hacking/cracking, tu devrais oublier tout ça pendant quelques temps et essayer d'assimiler au moins les principes de base du networking TCP/IP. Prends des captures FTP, Telnet, imprimes les RFC et regardes comment ça marche en real time. Parce qu'en 3 ou 4 messages, t'as déjà posé 10 questions de base. Alors crois-moi Petit Scarabée, le chemin est encore long

Bon, fais-nous plaisir, mets le fil en Résolu et ouvres une discussion par question

Steph

[messinese]

D'autre part, saches que les activités nmap sont simplissimes à logger : c'est toujours la même adresse IP source qui envoie des probes en incrémentant les ports. C'est un jouet de boy-scout

Pour le reste je ne me permettrai pas d'intervenir mais dire qu'Nmap est un jouet de boyscouts .. faut pas abuser !

Facile a logguer si tu use des arguments pareil sS (Syn) oui, mais si tu utilise des Decoys et d'autres forme de scans je te mettrait au défis de les voir si simplement surtout sur un firewall de prod ou le trafic est dense ..

Et encore a supposer qu'un scapy n'a pas été fait avant pour effectuer un firewalking en amont afin de cibler le type meme de scans a faire ..