FACULTE DES SCIENCES ET TECHNIQUES - SETTAT

Master Sciences et Techniques Rseaux et Systmes Informatiques (RSI)

HPING

Module 9 : Scurit des Systmes et Rseaux Informatique 2013 / 2014

Rapport ralis par : - Mohamed TARSAFI

Encadr par : Mr Younes IDRISSI KHAMLICHI -

Table de matires
I. II. III. IV. 1) 2) V. 1) 2) VI. 1) 2) 3) VII. Objectifs pdagogiques ........................................................................................................... 3 Contexte ................................................................................................................................. 3 Schma de notre TP................................................................................................................. 3 Exercice 1................................................................................................................................ 4 Gnrer un ping TPC avec spoofing....................................................................................................4 Fabrication dun paquet avec des drapeaux a 1.................................................................................5 Exercice 2 : Capture de paquets UDP/ICMP .............................................................................. 7 Explication des diffrents attributs de la commande.........................................................................7 Changement des ports........................................................................................................................8 Exercice 3 : Etude divers .......................................................................................................... 9 DOS .....................................................................................................................................................9 Attaques PING flood .........................................................................................................................10 Attaque Smurf...................................................................................................................................11 Conclusion .............................................................................................................................12

Scurit des systmes et rseaux informatiques | TP HPING 2

I.

Objectifs pdagogiques

Se familiariser aux fonctionnalits de hping et voir le trafic dans Wireshark telles que la capture des PDU et le filtrage de laffichage.

II.

Contexte

Hping est un outil, en ligne de commande, dassembleur et danalyseur de paquets TCP/IP. Il est inspir de la commande ping de linux, mais il est aussi capable denvoyer des requtes ICMP cho. Il supporte les protocoles TCP, UDP, ICMP et RAW-IP, un mode traceroute, il a la capacit denvoyer des donnes travers un canal ouvert, et beaucoup dautres possibilits. Hping a dabord servi comme un outil de scurit dans le pass, depuis il a volu et permet aujourdhui de tester la scurit des rseaux et de leurs utilisateurs. Pour plus d'informations sur les options, accdez au site officiel de Hping http://www.hping.org/.

III.

Schma de notre TP

Scurit des systmes et rseaux informatiques | TP HPING 3

IV.

Exercice 1

1) Gnrer un ping TPC avec spoofing

On va gnrer un ping TCP avec spoofing (c'est dire gnration d'un paquet avec une adresse IP source diffrente de celle de la machine qui lance le hping). Dans notre cas on va pinger sur la machine 192.168.1.4 avec ladresse ip source 192.168.1.6 au lieu de mon adresse IP qui est dans ce cas la 192.168.1.5.

La commande utilise est : hping3 192.168.1.4 a 192.168.1.6

Loption -a hostname est utilis dans le but de fixer une fausse adresse source, cette option assure que le systme cible nobtiendra pas votre adresse relle.

Daprs lanalyse des paquets captur par WireShark , on constate que ladresse source est 192.168.1.6 et pas la vrai adresse qui est 192.168.1.5.

Scurit des systmes et rseaux informatiques | TP HPING 4

2) Fabrication dun paquet avec des drapeaux a 1

On va fabriquer un paquet o tous les drapeaux seraient 1 (ou activs) : SYN, PUSH, FIN, ACK, RST, URG. Pour fixer le drapeau SYN :

Daprs lanalyse du trafic par WireShark, on constate que le drapeau SYN est a 1.

Pour fixer le drapeau URG :

Scurit des systmes et rseaux informatiques | TP HPING 5

On peut fixer tous les drapeaux 1 laide de la commande suivante.

On utilisant WireShark , on constate que tous les drapeaux sont a 1.

Scurit des systmes et rseaux informatiques | TP HPING 6

V.

Exercice 2 : Capture de paquets UDP/ICMP

Soit La commande suivante : #hping --count 3 --baseport 80 keep --destport 80 syn --spoof 192.168.239.132 192.168.239.132 La commande ci-dessous reprsente une Land Attack qui se faisait sur les systmes NT et qui consistait envoyer des paquets formats de faon spciale. Ce formatage donnait limpression au systme que ces paquets provenaient de lui-mme destination de lui-mme et que le port source tait galement le port de destination. Cette attaque rendait les systmes instables et pouvait provoquer un DoS (Denial of Service).

--baseport source port

1) Explication des diffrents attributs de la commande

Hping3 utilise le port source afin de deviner les numros de squence des rponses. Il commence avec un numro de port source de base, et incrmente ce numro pour chaque paquet envoy. --destport Fixe le port destination, le dfaut est 0. --keep Garde constant le port source. --spoof hostname Utiliser cette option dans le but de fixer une fausse adresse source, cette option assure que le systme cible nobtiendra pas votre adresse relle --syn Fixe le drapeau TCP SYN Excution de la commande.

Scurit des systmes et rseaux informatiques | TP HPING 7

Daprs lanalyse des paquets par WireShark , on constate que lmetteur est lui-mme le rcepteur .

2) Changement des ports

On va Essaye denvoyer des paquets en changeant les ports et on va vrifier le rsultat avec wireshark. La commande est la suivante.

Dans cette ligne de commande on a enlev lattribut keep pour que le port source sera incrment 1 chaque fois.

Scurit des systmes et rseaux informatiques | TP HPING 8

On constate daprs ces analyses par wireshak, on constate qu chaque fois le numro de port source change.

VI.

Exercice 3 : Etude divers

Il est possible de spcifier lintervalle entre les requte, et donc de simuler une attaque de type Deny Of Service. Cela permet notamment de tester les IDS et les Firewalls en place. On flood le port 80 de 192.168.1.4 en spoofant lip 192.168.1.6, avec un flag Syn arm et ce avec une frquence de 1000 microsecondes. hping -I eth0 -a 192.168.10.4 -S 192.168.10.5 -p 80 -i u1000

1) DOS

On constate que dans une courte dure il y avait une transmission de 303947 paquets.

Scurit des systmes et rseaux informatiques | TP HPING 9

2) Attaques PING flood

Hping3 -1 i u10 @IP_MACHINE_CIBLE Largument -1 prcise que les paquets se font en ICMP, ceux-ci sont par dfaut des echo request . -i u10 envoi a un intervalle de 10 micro-secondes.

Scurit des systmes et rseaux informatiques | TP HPING 10

On constate que dans une courte dure, il y a un transfert de 2 819 950 paquets.

Cette attaque utilise le protocole ICMP. Quand un ping (message ICMP ECHO) est envoy une adresse de broadcast (par exemple 10.255.255.255), celui-ci est dmultipli et envoy chacune des machines du rseau. Le principe de lattaque est de spoofer les paquets ICMP ECHO REQUEST envoys en mettant comme adresse IP source celle de la cible. Le cracker envoie un flux continu de ping vers ladresse de broadcast dun rseau et toutes les machines rpondent alors par un message ICMP ECHO REPLY en direction de la cible. Le flux est alors multipli par le nombre dhte composant le rseau. Dans ce cas tout le rseau cible subit le dni de service, car lnorme quantit de trafic gnre par cette attaque entrane une congestion du rseau.

3) Attaque Smurf

hping 192.168.1.255 -1 -fast -a 192.168.1.4 : pour envoyer 10 pings par secondes au broadcast qui rpondra a la cible 192.168.1.4

Scurit des systmes et rseaux informatiques | TP HPING 11

VII.

Conclusion

HPing est un outil multi facette, trs pertinent, et qui joue un rle de pice matresse dans lanalyse, lpreuve et le contournement de la scurit du rseau. Une utilisation intelligente permettra de mettre le doigt sur dventuels points faibles notamment au niveau des IDS et des firewalls et mme si, comme tout bon outil, il peut tre employ mauvais escient, il nen reste pas moins llment dclencheur qui permettra une amlioration drastique de la scurit des systmes dinformation.

Scurit des systmes et rseaux informatiques | TP HPING 12