unkn0wn Posté(e) le 17 août 2010 Share Posté(e) le 17 août 2010 on vas parler de l'utilisation de Nmap et de Tor et sur comment combiner les performances du premier a l'anonymat du deuxième sur Linux.. Bon, une petit présentation pour les néophyte Tor (littéralement : le routage en oignon) est un réseau mondial décentralisé de routeurs, organisés en couches,(nœuds ) dont la tâche est de transmettre de manière anonyme des paquets TCP. C’est ainsi que tout échange Internet basé sur TCP peut être rendu anonyme en utilisant Tor. il est disponible pour Windows, Linux et Mac + site officiel: http://www.torproject.org Nmap est un scanner de ports open source créé par Fyodor et distribué par Insecure.org ,Il est conçu pour détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur le système d'exploitation d'un ordinateur distant. Il est disponible sous Windows, Mac OS X, Linux, BSD et Solaris.. +site officiel http://www.Insecure.org Notre objectif est de scanner notre serveur avec Nmap sans laisser de traces (adresse ip) sur les fichiers logs de la machine distante (serveur) pour cela on vas faire passer les connections effectuer par Nmap par le réseau Tor,en utilisant l’outil Proxychains. il faut noter que Tor ne fait passer que les connections TCP autrement dit on ne peut rendre anonyme que ce protocole ce qui limite notre champs d'action avec Nmap (on ne peut pas effectuer une reconnaissance UDP ou ICMP par exemple). +Il faut commencer par 1- installer TOR : http://www.torproject.org/documentation.html.fr 2- installer Nmap : http://nmap.org/download.html 3- installer Proxychains: http://proxychains.sourceforge.net/ [ Proxychains est configuré par défaut pour faire passer les connections a travers le réseau TOR ] et pour pour effectuer le scan : proxychains nmap -PN -sT -sV -n -p 80,21,146,111 64.233.181.191 quelques explications s'impose avec Nmap on a utiliser -PN pour ne pas envoyer de pings au serveur (Non prise en charge du protocole ICMP par Tor) -sT : pour un scan en mode TCP connect() -sV étection de version -n : ne pas effectuer de résolution DNS -p : les ports distant a scanner et pour finir l'adresse ip du serveur a scanner au final on obtiens ce résultat ProxyChains-3.1 (http://proxychains.sf.net) Starting Nmap 5.21 ( http://nmap.org ) at 2010-06-26 21:33 CET |S-chain|--127.0.0.1:9050--64.233.181.191:21- |S-chain|--127.0.0.1:9050--64.233.181.191:80--OK |S-chain|--127.0.0.1:9050--64.233.181.191:111- |S-chain|--127.0.0.1:9050--64.233.181.191:146- Nmap scan report for 64.233.181.191 Host is up (14s latency). PORT STATE SERVICE VERSION 21/tcp closed ftp 80/tcp open http Google httpd 2.0 (GFE) 111/tcp closed rpcbind 146/tcp closed iso-tp0 Service Info: OS: Linux ____ NB: il faut avoir une bonne connexion (car les timeout peuvent causé un résultat faux négatif) 2 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Chevrosky Posté(e) le 18 août 2010 Share Posté(e) le 18 août 2010 Y'a pas mal de solution concernant le contournement de Nmap. Commencons d'abord par cet excellent article intitulé : " Defeating TCP/IP Stack Fingerprinting " : http://www.usenix.org/publications/library/proceedings/sec2000/smart.html Solution Linux : - IPpersonality http://ippersonality.sourceforge.net/ - IpMorph http://blog.hynesim.org/en/ipmorph/ - iplog http://ojnk.sourceforge.net/ - honeyd http://www.honeyd.org/ - Stealth LKM http://www.innu.org/~sean/ - http://www.s0ftpj.org/en/tools.html Solution BSD : - Blackhole http://www.unix.com/man-page/FreeBSD/4/BLACKHOLE/ - Fingerprint Fuc.ker ( pour FreeBSD ) http://packetstormsecurity.org/UNIX/misc/bsdfpf.tar.gz - OpenBSD packet filter http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf&sektion=5&arch=i386&apr - FreeBSD TCP_DROP_SYNFIN (Eh oui, le noyau de FreeBSD a une option spéciale) N'est pas recommandée si la machine héberge un serveur web. http://www.freebsd.org/doc/fr_FR.ISO8859-1/articles/dialup-firewall/kernel.html Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.