hping3/docs/french/MORE-FUN-WITH-IPID

Post<EFBFBD> sur la mailing liste bugtraq (20 Nov 1999) :

---
Salut,

quelques petites nouvelles id<69>es <20> propos des probl<62>mes du champ IP ID :

Le premier est <20> propos du filtrage IP Linux : puisqu'il augmente le
compteur global du champ IP ID m<>me si un paquet sortant sera filtr<74> nous
sommes capables, par exemple, de scanner des ports UDP m<>me si la sortie de
paquets ICMP de type 3 (ndt : port non accessible) est DENY, et en g<>n<EFBFBD>ral
il est possible de savoir quand la pile TCP/IP r<>pond <20> un paquet m<>me si la
r<EFBFBD>ponse est jet<65>e.
Je pense (mais non test<73>) que ceci est vrai pour la plupart des firewalls.

Le second probl<62>me concerne la capacit<69> <20> d<>couvrir les r<>gles de filtrage.
Par exemple il est trivial de conna<6E>tre si un syst<73>me A filtre les paquets
depuis l'adresse IP X.Y.Z.W en contr<74>lant l'augmentation du champ IP ID du
syst<EFBFBD>me A ou du syst<73>me avec l'adresse X.Y.Z.W (ceci change si nous sommes
int<EFBFBD>ress<EFBFBD>s par la connaissance des r<>gles d'entr<74>e ou de sortie) et en
envoyant les paquets qui supposent une r<>ponse. <20>galement ceci est apparent<6E>
avec la capacit<69> de scanner les ports d'un syst<73>me qui jette tous les
paquets avec une source diff<66>rente de systeme.de-confiance.com. Il y a
d'autres choses comme ceci mais elles sont seulement diff<66>rentes facettes du
m<EFBFBD>me concept.

Quelques personnes pensent que ce type d'attaques ne sont pas des attaques
du "monde r<>el", je suis fortement int<6E>ress<73> de savoir quelle est l'opinion
des lecteurs de bugtraq (<28> mon opinion ce type d'attaques est faisable et
utile pour un attaquant. Par exemple la capacit<69> de scanner les ports avec
seulement des paquets spoof<6F>s (ndt : avec l'adresse source usurp<72>e) et la
capacit<EFBFBD> de deviner le trafic du syst<73>me distant sont grandement r<>els).

ciao,
antirez