Re: 82.67.74.6

Top Page

Reply to this message
Author: Olivier_Allard-Jacquin
Date:  
CC: Liste Guilde
Subject: Re: 82.67.74.6
> J'insiste : ce n'est pas le spoofing IP qui est difficile, c'est
> d'établir une connexion TCP en utilisant une IP spoofée (sauf d'être
> dans le même brin ethernet que celui dont tu spoofes l'IP). C'est
> difficile car tu as besoin des numéros de séquence (aléatoires en
> principe) du serveur pour faire des acknowledge corrects. Et tu ne les
> reçois pas car les réponses du serveur ne t'arrivent jamais, à moins
> d'avoir pris le contrôle d'un ou deux gros routeurs, ce qui présente
> aussi ses difficultés...


        J'ai lu que sur certains OS (Windows 9x/Me entre autre), la 
génération des numéros de séquence était prévisible : le code de leur pile 
TCP/IP n'utilise pas de module aléatoire je crois. Auquel cas, si la 
machine a peu d'activité TCP/IP, on peut :
- depuis une autre machine que l'on controle, faire une handshake(*) sur 
cette machine. Cela permet de récupérer un numéro de séquence valide.
- depuis sa propre machine, lancer une connexion SMTP spoofee (handshake + 
commandes SMTP) en utilisant le précédent numéro de séquence +1 comme 
réponse à la handshake. L'adresse IP spouffé pouvant être n'importe où sur 
Internet, et étant de préférence une adresse IP non utilisée sur le 
moment.


        Mais c'est clair que c'est très lourd comme technique...


(*) "handshake" = "poignée de main". Pour ceux qui ne connaissent pas :
http://olivieraj.free.fr/fr/linux/information/firewall/fw-01-07.html

                                                                Olivier