Debian or not to be ? 2.0 » Réseaux

Tips: Serveur web d’urgence avec Netcat

Crashdump — Mon, 03 May 2010 12:57:44 +0000

Il peut arriver que l’on ait ponctuellement besoin de publier un fichier html/txt en http sur une machine.. Pour ça inutile d’installer un serveur web lourd comme apache. Je vous avais déjà parlé du serveur web en python en une ligne, cette fois on remet ça, mais avec NC:

1	$ while true; do nc -l -p 8080 < index.html; done

(attention, la version BSD de Netcat diffère au niveau des arguments, pour la même chose il faut supprimer le « -p »):

Les requêtes de votre navigateur seront renvoyées vers le stdout:

1
2
3
4
5
6
7
8

GET / HTTP/1.1
Host: 127.0.0.1:8080
Connection: keep-alive
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_2; en-US) AppleWebKit/533.2 (KHTML, like Gecko) Chrome/5.0.342.5 Safari/533.2
Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Encoding: gzip,deflate,sdch
Accept-Language: fr-FR,fr;q=0.8,en-US;q=0.6,en;q=0.4
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

On peut ensuite faire ce que l’on veut avec – comme simple limite – son imagination ! Exemple:

1	$ while true; do echo "< pre>$(ps aux)< /pre>" \| nc -l 8080; done

Du load-balancing avec Vyatta

Crashdump — Mon, 20 Jul 2009 16:41:08 +0000

Après la découverte de Vyatta grâce a l’excellent blog de guiguiabloc: Je cite: « Ce qui le rend intéressant, c’est son approche à la “Cisco”, avec des commandes en mode “configure” très proche des IOS, ce qui le classe dans la catégorie des cisco-like. », pour en savoir plus, n’hésitez pas a lire son billet avant de poursuivre.

Je me suis donc mis en tête de faire du load-balancing depuis deux connexions ADSL vers mon LAN avec un serveur DHCP et dnsmasq (mise en cache des requêtes dns). voici les différentes étapes qui nous mènent à un routeur pas cher et qui fonctionne vraiment à merveille. Voici le schéma de l’installation:

Nous allons commencer par passer en mode configuration pour spécifier, dans l’ordre:

Hostname
Serveur SSH
DNS
Fuseau Horaire

1
2
3
4
5
6
7

configure
set system host-name aggregateur
set service ssh allow-root false
set service ssh
set system name-server 208.67.222.222
set system name-server 208.67.220.220
set system time-zone GMT+2

Spécifions maintenant les paramètres ip de nos interfaces:

Adresses ip de: eth0, eth1, eth2
Description des interfaces
Routes vers le WAN

1
2
3
4
5
6
7
8
9

set interfaces ethernet eth0 address 192.168.3.254/24
set interfaces ethernet eth1 address 10.0.1.2/30
set interfaces ethernet eth2 address 10.0.2.2/30
set interfaces ethernet eth0 description "*** LAN ***"
set interfaces ethernet eth1 description "*** WAN1 ***"
set interfaces ethernet eth2 description "*** WAN2 ***"
set protocols static route 0.0.0.0/0 next-hop 10.0.1.1
set protocols static route 0.0.0.0/0 next-hop 10.0.2.1
commit

Des lors, vous pouvez mettre vôtre serveur du une baie (ou au fond du garage..) et vous y connecter en ssh.

Bien, maintenant mettons en place le load-balancing vers le WAN avec vérification de l’état et failover. (Les serveurs que j’ai utilisé ici pour vérifier l’état des liens sont les ns1 et ns2 de google, si vous les changez spécifiez en deux différents, ça vous évitera de perdre la connexion si le serveur tombe..):

Règles de vérification:

1
2
3
4
5
6
7
8

set load-balancing wan interface-health eth1 failure-count 5
set load-balancing wan interface-health eth1 success-count 5
set load-balancing wan interface-health eth1 nexthop 10.0.1.1
set load-balancing wan interface-health eth1 ping 216.239.32.10
set load-balancing wan interface-health eth2 failure-count 5
set load-balancing wan interface-health eth2 success-count 5
set load-balancing wan interface-health eth2 nexthop 10.0.2.1
set load-balancing wan interface-health eth2 ping 216.239.34.10

Puis ajoutons les règles du load-balancing lui même:

1
2
3
4

set load-balancing wan rule 10 inbound-interface eth0
set load-balancing wan rule 10 interface eth1
set load-balancing wan rule 10 interface eth2
set load-balancing wan

On applique et on sauvegarde le tout:

1 2	commit save

Voilà, je vous avais prévenu c’est terriblement simple et efficace ! Pour afficher l’état:

1 2	exit show wan-load-balance status

Passons maintenant a la partie service: DCHP et DNSMASq.

1
2
3
4
5
6
7
8
9
10

set service dhcp-server shared-network-name LAN
set service dhcp-server shared-network-name LAN subnet 192.168.3.0/24
set service dhcp-server shared-network-name LAN subnet 192.168.3.0/24
start 192.168.3.100 stop 192.168.3.200
set service dhcp-server shared-network-name LAN subnet 192.168.3.0/24
default-router 192.168.3.254
set service dhcp-server shared-network-name LAN subnet 192.168.3.0/24
dns-server 192.168.3.254
set service dhcp-server shared-network-name LAN subnet 192.168.3.0/24
dns-server 208.67.222.222

1 2	set service dns forwarding system set service dns forwarding listen-on eth0

C’est fini, en 15 minutes vous avez un système terriblement efficace et très peu cher.. que rêver de mieux ?
Bien entendu, il sagit ici de l’installation minimale, il reste encore a mettre en place des règles pour le firewall et d’autres petites finitions.

ARP Spoofing (ARP Cache poisoning)

Crashdump — Sun, 26 Apr 2009 09:25:57 +0000

Dans le monde de la sécurité informatique, il existe trois types de failles : L’exploit connu de tous, généralement rapidement corrigé par un patch. L’exploit de type 0-day, très peu de gens en ont connaissance — qui sera peut-être corrigé un jour — Et enfin les vulnérabilités dues a la conception d’un système/protocole et qui ne pourrons pas être, c’est le cas de par exemple du protocole de routage BGP (sur lequel j’ai fait un billet précédemment) ou encore de l’ « Address Resolution Protocol » aka ARP. Et tout bon sysadmin se doit de les connaitre pour savoir où et comment surveiller son réseau et se prémunir de ces attaques qui ne pardonnent pas.
Ce protocole et les attaques qu’il permet sur un LAN sont plutôt bien connus. Néanmoins, les conséquences de ces attaques sont rarement appréhendées à leur juste mesure. La technique que nous allons voir ici se nomme ARP Spoofing (ou ARP Cache poisoning). C’est une technique de spoofing très efficace bien que facilement détectable et – comme je le disais plus haut, parfaitement incurable, car lié directement a sa conception. . Nous étudierons trois possibilités de sont utilisation : Denial of Service, Man in the middle et MAC Flooding. Mais tout d’abord, commençons par une piqûre de rappel.

MAJ 6 Mai 2009: Correction de quelques fautes.

1. Modèle OSI
2. L’adresse MAC
3. Le protocole ARP
4. L’ARP Spoofing
5. Faiblesses
5.1 Denial of Service
5.2 Man in the middle
5.3 MAC Flooding
6. Solutions
6.1 Pour les petits réseaux
6.2 Pour les grands réseaux
6.3 Pour tous le monde

1. Modèle OSI

L’OSI (Open Systems Interconnection) est un modèle de communications entre machines proposé par l’ISO (Organisation internationale de normalisation). Il décrit les fonctionnalités nécessaires à la communication et l’organisation de ces fonctions.
Dans sa forme la plus simple, il divise le réseau en sept couches que nous ne détaillerons pas ici. La numérotation des couches commence par le bas, c’est à dire par le matériel (matériel en bas, logiciel d’application en haut. Nous nous intéressons uniquement à certaines couches dites basses :

• La couche physique (niveau 1) : La couche physique est chargée de la transmission effective des signaux électriques ou optiques entre les interlocuteurs (100BASE-TX, ADSL, Firewire, USB, RS-232…).
• la couche liaison (niveau 2) est le lien entre la carte réseau et la couche réseau (Ethernet, Token ring, WiFi, PPPoE)
• la couche réseau (niveau 3) gère l’adressage logique et le routage (IPv4, IPv6, ICMP).

Exemples :

- Un hub est un matériel de niveau 1 : il permet de relier plusieurs machines à une même branche du réseau. Il se contente de faire circuler les signaux dans les deux sens, sans traitement.
- Un routeur est un matériel de niveau 3, c’est-à-dire qu’il intervient aux niveaux 1 à 3. C’est le dispositif de base des réseaux. Il lit l’adresse IP des paquets qu’il reçoit et les re-expédie où il faut depuis les données contenues dans sa table de routage et son cache ARP. Cette dernière est mise à jour régulièrement, en fonction des données que le routeur reçoit des routeurs et des ordinateurs voisins.

2. L’adresse MAC

L’adresse MAC (Media Access Control) est un identifiant physique constitué de 6 octets, elle est attribuée par le constructeur de l’équipement et « hard codé » sur la carte (il est possible de la changer, mais ce n’est pas le but de cet article.) Elle consiste en six nombres hexadécimaux séparés par des « – » ou des « : », il existe potentiellement 248 (environ 281 000 milliards) d’adresses MAC possible, il est donc quasiment impossible de se retrouver avec un doublon sur le réseau. Notez que l’adresse de broadcast est: FF:FF:FF:FF:FF:FF, les données seront envoyées à l’ensemble du réseau local.
Nota : L’IEEE a donné des préfixes de 24 bits sur les 48 bits aux fabricants, c’est l ‘OUI (organizationally unique identifier). Ce qui permet facilement d’identifier une carte de destination, ex :

00-00-0C(hex) Pour Cisco ou encore 00-00-7D(hex) pour Sun – (clin d’œil a touff’.. si tu me lis ;)

Vous pouvez y avoir accès, sous Linux avec la commande ifconfig :

1
2
3

[user@machine]$ ifconfig
eth0 Link encap:Ethernet HWaddr 00:90:27:52:78:7A
inet addr:192.168.10.51 Bcast:192.168.10.255 Mask:255.255.255.0

En savoir plus : http://www.iana.org/assignments/ieee-802-numbers

3. Le Protocole ARP

Ce protocole est vraiment très simple : Il sert à mettre en corrélation l’adresse IP avec l’adresse MAC pour savoir qui sont les machines sur le réseau et donc savoir ou router les paquets. Ce protocole est totalement séparé de TCP/IP puisqu’il n’opère qu’entre les niveaux 2 et 3 de la couche réseau. Nous pourrions le comparer aux DNS sauf qu’au lieu de convertir les noms de domaines en IP, il convertit les IPs en Adresse MAC.
Les équipements réseaux communiquent en échangeant des trames Ethernet (dans le cas d’un réseau Ethernet bien sûr) au niveau de la couche liaison de données, toute machine connectée a un réseau possède un cache ARP de toutes les adresses IP/MAC rencontrés, ce qui permet de ne pas encombrer les réseaux en renouvelant les requêtes pour communiquer avec les machines contactées précédemment.

Il comprend quatre messages de base :

Une requête ARP: L’ordinateur A demande sur le réseau (en broadcast) « Qui a cette adresse IP ? »
Une réponse ARP: L’ordinateur B répond a l’ordinateur A : « J’ai cette adresse IP et mon adresse Mac est .. »
Une requête RARP (ARP inversé): Même principe que le 1. sauf que l’ordinateur A demande : “Qui a cette adresse mac ?” (En réalité le RARP est très peu utilisé et est essentiellement utilisé pour les stations de travail n’ayant pas de disque dur et souhaitant connaître leur adresse logique.)
Une réponse RARP:L’ordinateur B répond a l’ordinateur A: “J’ai cette adresse IP:..”
Puisqu’il s’agit de broadcast, tous les ordinateurs connectés au support physique vont recevoir la requête. Les autres machines recevront aussi le message et pourrons analyser les messages pour stocker dans leur cache une liste des adresses IP/MAC (Vous commencez a voir ou je veux en venir…) La machine qui possède cette adresse MAC, sera la seule – ce qui est censé être le cas dans tout réseau, cf : Adresses MAC, plus haut – à répondre en envoyant à la machine émettrice une réponse.

Aller plus loin : http://tools.ietf.org/html/rfc826

4. L’ARP Spoofing

Bien, assez de tous ces rappels ennuyeux, passons aux choses amusantes : la vulnérabilité de ce protocole. Pour améliorer le temps de réponse et limiter l’utilisation du réseau la plupart des systèmes mettent a jour leur cache ARP a chaque fois qu’ils reçoivent une réponse, même s’ils ne l’on pas demandé : ce qui veut dire qu’un « pirate » envoyant un message ARP a l’ordinateur B disant « l’ordinateur C a mon Adresse MAC » recevra ensuite tous les messages qui devraient normalement être délivrés a cet ordinateur C.
petite mise en situation :

(J’ai simplifié les adresses MAC pour une meilleure lisibilité)
A. Le serveur, 00:00:00:00:00:01 – 192.168.0.10
B. Un utilisateur, 00:00:00:00:00:02 – 192.168.0.20
C. Le pirate, 00:00:00:00:00:03 – 192.168.0.30

C annonce à B “192.168.0.10” est a l’adresse MAC: 00:00:00:00:00:03.
C annonce à A “192.168.0.20” est a l’adresse MAC: 00:00:00:00:00:03.

Comment ? avec des solutions comme ARPSpoof ou Némésis, très simplement :

1
2
3

[user@cible]$ traceroute 192.168.0.10
traceroute to 192.168.0.10 (192.168.0.10), 30 hops max, 40 byte packets
1 192.168.0.10 (192.168.0.10) 718 ms 461 ms 849 ms

1
2
3
4

[user@cible]$ arp
Address HWtype HWAddress Flags Mask Iface
192.168.0.10 ether 00:00:00:00:00:01 C eth0
192.168.0.30 ether 00:00:00:00:00:03 C eth0

1
2
3
4

[evil@pirate]$ arpspoof -t 192.168.0.30 192.168.0.10
0:0:0:0:0:3 0:0:0:0:0:2 0806 42: arp reply 192.168.0.10 is-at 0:0:0:0:0:3
0:0:0:0:0:3 0:0:0:0:0:2 0806 42: arp reply 192.168.0.10 is-at 0:0:0:0:0:3
0:0:0:0:0:3 0:0:0:0:0:2 0806 42: arp reply 192.168.0.10 is-at 0:0:0:0:0:3

1
2
3
4

[user@cible]$ traceroute 192.168.0.10
traceroute to 192.168.0.10 (192.168.0.10), 30 hops max, 40 byte packets
1 192.168.0.10 (192.168.0.10) 612 ms 465 ms 515 ms
2 192.168.0.30 (192.168.0.30) 238 ms 121 ms 169 ms

Maintenant toutes les communications de l’utilisateur vers le serveur (ou inversement) seront routées vers le pirate… qui pourra par exemple récupérer les login/mot de passe.

5. Faiblesses

Comme je viens de le dire, il n’y a aucun système d’authentification. ARP est basé sur la confiance : il considère tous les messages reçus comme authentiques, qu’il provienne de la machine légitime ou pas et il n’intègre aucun moyen de vérification. Je pense que les concepteurs de ces protocoles ont sûrement simplifié les communications pour que les réseaux fonctionnent de manière optimale, les débits étaient très peu élevés à cette époque et un système d’authentification aurait été beaucoup plus lourd.
La possibilité d’associer n’importe quelle adresse IP avec une @MAC permet à un pirate plusieurs vecteurs d’attaques, je vais maintenant en détailler 3 : Denial of Service, Man in the Middle et MAC Flooding.

5.1 Denial of Service (DoS)

Comme nous l’avons vu précédemment, un pirate peut facilement associer une adresse IP a une fausse adresse MAC. Par exemple, un pirate peut envoyer une réponse ARP associant l’adresse de vôtre routeur avec une adresse MAC qui n’existe pas. Votre ordinateur pense donc connaître réellement la passerelle par défaut, mais en fait ils envoient leurs paquets a une destination qui n’existe pas. Le pirate vous a isolé du réseau.
Nous pourrions tout aussi bien projeter – sur un réseau plus grand – une attaque de type DDoS (Distributed Denial of Service) en signalant a toutes les machines qu’une seule adresse MAC correspond a toutes les adresses IP. Ce qui risque de submerger la machine sous des requêtes en tout genre. (Voir aussi MAC Flooding).

5.2 Man in the Middle

Une autre utilisation intéressante de cette faille est de rester dans l’ombre et d’ « écouter » le trafic (sniffing) pour récupérer des informations comme les logins et mot de passe… ce qui est particulièrement dévastateur, car le pirate peut rapidement avoir accès a des informations qui lui permettront de s’infiltrer plus profond dans vôtre réseau.
Mise en œuvre : Dans le cadre d’un ARP Poisoning simple, les machines n’arrivent plus a joindre leur destinataire légitime, l’attaque est donc très facilement repérable. Mais le pirate peut facilement mettre en place ce qu’on appelle l’IP Forwarding (echo 1 > /proc/sys/net/ipv4/ip_forward), celles-ci enverront donc leurs trames Ethernet à la machine pirate tout en croyant communiquer avec la cible, et ce de façon transparente pour les switches. De son côté, la machine pirate stocke le trafic et le renvoie à la vraie machine en forgeant des trames Ethernet comportant la vraie adresse MAC (indépendamment de l’adresse IP) pour cela il suffit en fait d’envoyer régulièrement des paquets ARPReply en broadcast, contenant l’adresse IP cible (mettons, un serveur) et la fausse adresse MAC. Cela a pour effet de modifier les tables dynamiques de toutes les machines du réseau. Ce qui permet à la machine du pirate d’écouter toutes les informations qui transitent par son ordinateur et il peu – facilement – avoir accès a vos mots de passe non chiffrés (entre autres).

5.3 MAC Flooding

Le MAC Flooding est un ARP Cache poisoning visant les routeurs et les switches. Certains matériels réseaux actifs – lorsqu’ils sont surchargés – basculent dans un mode moins gourmand en ressources, pour sauvegarder leurs liens : ils deviennent de simples hubs et donc broadcastent tout le trafic réseau sur tous leurs ports (et donc tous les ordinateurs qui y sont connectés. (Et en floodant la table ARP d’un switch avec énormément de données on peut facilement le surcharger..) ce qui permet ensuite au pirate d’écouter facilement tout ce qui transite sur le réseau.

6. Solutions

Certaines solutions que je vous propose ci-dessous sont simples, mais n’hésitez pas à les mettre en place – car si vous vous pensez à l’abri c’est là que vous êtes le plus vulnérable. Notez tout de même que l’ «ARP Poisoning» ne peut être utilisé qu’en local. Il doit contrôler une machine sur votre réseau, ce qui veut dire que le pirate aurait déjà accès à ce réseau… Parce que cette faille est inhérente au protocole requis par TCP/IP vous ne pourrez le patcher, cependant il existe des solutions pour le surveiller/détecter.

6.1 Pour les petits réseaux

Si vous êtes administrateur d’un petit réseau, vous avez plusieurs méthodes imparables pour vous prémunir de ces attaques : Utiliser des Adresses IP fixes / Tables ARP statiques. (arp –s pour définir les @MAC/IP de tous vos périphériques) ils ne changeront donc jamais, quels que soient les messages reçus. Si vous avez mis en place un contrôleur de domaine, il est possible de définir un script de démarrage dans lequel vous spécifieriez ces adresses.
Gardez tout de même a l’esprit que maintenir une liste de ces adresses est possible seulement si vous possédez un petit réseau. S’il devait s’agrandir vous seriez rapidement submergé par le temps demandé a maintenir cette liste, car il vous faudrait ajouter chaque machine a ce script avant qu’elle ne puisse dialoguer avec les autres (quid de la taille du fichier script ?).

6.2 Pour les grands réseaux

Si vous êtes administrateur d’un réseau informatique assez étendu vous devriez être équipé de switch qui propose des options « port security » (par exemple Cisco) cette option permet de définir une seule adresse MAC par ports et qui – si cette adresse change – verrouille le port. Cela permet de limiter la plupart des attaques ARP comme le Man-in-the-middle.

6.3 Pour tous le monde

La meilleure protection contre l’ARP Poisoning est la surveillance de votre réseau, en effet, avec les outils appropriés, cette attaque ne peut pas passer inaperçue. Par exemple, il existe un outil nommé ARPwatch qui permet – en autres – d’envoyer une alerte quand messages ARP anormaux apparaissent (j’écrirais un billet sur l’envoi d’alertes par SMS via des API bientôt).

Serveur HTTP Python en une ligne..

Crashdump — Fri, 24 Apr 2009 22:21:29 +0000

Un « irc friend » – fo0 en l’occurrence – m’as demandé récemment comment comment créer un petit serveur web en python, rapidement pour pouvoir partager ponctuellement des fichiers & tester du dev. Et bien c’est faisable en une courte ligne:

1	python -c 'import SimpleHTTPServer;SimpleHTTPServer.test()'

Ca lance un petit serveur http sur le port 8000, partageant les fichiers du répertoire courant. Pointez vôtre navigateur sur http://127.0.0.1:8000/ et vous servira le fichier index.html si il existe, sinon il listera le répertoire courant. Et il bavera toutes les infos sur le stdout, exemple:

1
2
3
4
5

$ python -c 'import SimpleHTTPServer;SimpleHTTPServer.test()'
Serving HTTP on 0.0.0.0 port 8000 ...
localhost - - [25/Apr/2009 00:01:27] "GET / HTTP/1.1" 200 -
localhost - - [25/Apr/2009 00:01:38] "GET /Documents/ HTTP/1.1" 200 -
localhost - - [25/Apr/2009 00:01:44] "GET /Documents/test.txt HTTP/1.1" 200 -

De plus il est « chrooté » au répertoire dans lequel vous l’aurez lancé – essayer d’accéder a http://127.0.0.1:8000/../ vous laissera dans le répertoire courant.

Voilà pour la petite astuce du soir..

Maj du 29 Avril 2009: Vu sur http://www.tux-planet.fr, une version encore plus simple:

1	python -m SimpleHTTPServer

Maj du 04 Mai 2009: Voici une version multithreadé et pas beaucoup plus compliquée:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

#!/usr/bin/env python
# -*- coding: utf-8 -*-
import SocketServer
import BaseHTTPServer
import sys, os
import CGIHTTPServer
port = 8000
class ThreadingCGIServer(SocketServer.ThreadingMixIn, BaseHTTPServer.HTTPServer):
pass
server = ThreadingCGIServer(('', port), CGIHTTPServer.CGIHTTPRequestHandler)
print "Serveur demarre sur le port %s." % port
try:
while 1:
sys.stdout.flush()
server.handle_request()
except KeyboardInterrupt:
print "Fini !"

HackThisSite.org Basic Howto: 1 à 10

Crashdump — Fri, 10 Apr 2009 13:04:09 +0000

Il y a des jours, ou, on se fait un peu plus chier que d’autres.. En bon geek j’ai occupé mon temps en surf sur le net et je suis tombé sur ça: http://www.hackthissite.com. Il ne sagit pas là d’une provocation pure et simple mais d’un site qui propose des défis de h4x0r. Je n’ai eu – pour l’instant – que l’occasion de réaliser la partie « Basic Missons » (les 10 épreuves) et je vais essayer de toutes vous les expliquer ici. Sans plus attendre voici les solutions.

Avant tout, il vous faudra le navigateur au renard a la queue flamboyante avec quelques une des extensions disponibles: « Firefox« , « Firebug » et « FireCookies« .

Basic 1: « Basic test of your skills to see if you can do any of these missions. Requirements: HTML. »

La première mission est vraiment très très simple, il suffit d’aller plonger dans le code source pour y trouver le mot de passe: faites un clic droit et « View page source » (ou « Inspect element » avec firebug) cherchez un code de la forme:

Entrez le mot de passe dans le champ puis cliquez: « submit ». Bravo vous êtes un 3l1t3 h4x00r :)

Basic 2: « A slightly more difficult challenge, involving an incomplete password script. Requirements: Common sense. »

Deuxième mission qui on s’en doute ne va pas être vraiment plus difficile que la première. Il suffira d’être un petit peu logique.. il est dit que l’admin n’as pas uploadé le fichier contenant le mot de passe, donc: le mot de passe est… vide, quel étourdi ce sam ! Cliquez simplement sur « submit » :)

Basic 3: « Some intuition is needed to find the location of the hidden password file. Requirements: Basic HTML knowledge. »

Très bien, ici, Sam n’as pas oublié d’uploader le fichier contenant le mot de passe (en clair..). Comme d’habitude, avant tout, rendons nous dans la source:

Tiens, Sam a encore commis une boulette ! Pointez vôtre navigateur sur « http://www.hackthissite.org/missions/basic/3/password.php », récupérez le mot de passe et next !

Basic 4: « An email script has been set up, which sends the password to the administrator. Requirements: HTML knowledge, an email address. »

Dans la mission 4, Sam a encore commis de belles erreurs ! Regardons directement la source:

Comme vous pouvez le voir, il y a deux « forms »: Le premier permet d’envoyer le mot de passe sur l’adresse mail de Sam alors que le second permet l’accès quand on connais le mot de passe.

Ici encore, nous allons exploiter ce code pas très sécure pour nous faire envoyer le mot de passe en forgeant notre propre form. Pour ça, ouvrez firebug en cliquant droit sur le form, puis « Inspect element ». Maintenant changez directement l’adresse mail par la vôtre – ou changez le type du champ de

1	type="hidden"

1	type="text"

. Validez.. copiez le mot de passe, revenez en arrière et passons au challenge suivant :)

Basic 5: « Similar to the previous challenge, but with some extra security measures in place. Requirements: HTML knowledge, JS or FF, an email address. »

A priori, rien de différent, on procède comme la Basic 4..

EDIT: il semble que la seule chose qui change c’est un script qui vérifie nôtre provenance avant de valider l’envoi du mail… en effet une autre solution pour le défi précédent aurais été de modifier la source de la page directement depuis une copie sur notre disque dur.

Basic 6: « An encryption system has been set up, which uses an unknown algorithm to change the text given. Requirements: Persistence, some general cryptography knowledge. »

J’avoue avoir un peu plus galéré sur ce défi ! C’est un sacré bond en avant que Sam nous a fait là.. En fait il ne sagit pas là d’exploit mais de cryptographie pure et simple.

Qu’avons nous ? deux formulaires et le mot de passe chiffré: Le premier permet de chiffrer un mot de passe et le deuxième d’accéder au défi suivant. Le mot de passe étant sous sa forme chiffrée, il nous faudra donc utiliser le premier script pour comprendre ou essayer d’en déduire la technique utilisée.

Essayons de chiffrer un caratère:

1 nous donne: 1

1 donne 1. Hùùùm.. tentons quelque chose de plus long..

11111111

12345678

22222222

23456789

Nous pouvons voir ici qu’il y a incrémentation de 1 pour le second chiffre, 2 pour le troisième.. etc. Que se passe t’il quand nous allons quitter les décimaux simples ? Essayons.

99999999

9:;<=>?@

C’est la qu’il m’a fallu un peu de temps pour réaliser qu’il sagissait en fait de la table ASCII… en effet, sur cette table après le « 9″ nous avons »: » puis « ; » puis »< », etc… Vérifiez ici par vous même :)

J’ai, comme mot de passe chiffré: ef6d4818

e - 0 = e

f - 1 = e

6 - 2 = 4

d - 3 = a

4 - 4 = 0

8 - 5 = 3

l - 6 = f

8 - 7 = 1

Le mot de passe déchiffré est donc: ee4a03f1 dans mon cas :)

Basic 7: « The password is hidden in an unknown file, and Sam has set up a script to display a calendar. Requirements: Basic UNIX command knowledge. »

Celui ci est vraiment très facile aussi ! Nous apprenons que Sam a crée un script qui retourne la sortie de la commande cal de linux (une aubaine pour nous!). Testons la chose.. Si nous entrons une année dans le champ il nous retourne le résultat classique de la commande cal, rien d’exceptionnel. Comment cela peut il fonctionner ? Je suppose que le contenu doit être de la forme:

print `cal $input`;

Une simple injection de la forme:

&& ls

Nous permet donc de lister le répertoire courant:

.
..
level7.php
cal.pl
index.php
k1kh31b1n55h.php
perl5.8.9.core

Il semblerais que le fichier k1kh31b1n55h.php contienne notre mot de passe. Bravo étape suivante :)

Basic 8: « The password is yet again hidden in an unknown file. Sam’s daughter has begun learning PHP, and has a small script to demonstrate her knowledge. Requirements: Knowledge of SSI (dynamic html executed by the server, rather than the browser). »

Sam commence a sécuriser un peu plus ses formulaire, heureusement sa petite soeur a crée un petit script qui va nous ouvrir les portes ! Essayons donc maintenant le script de Stéphanie: Ce script enregistre ce que vous avez entré dans le champ texte avec quelques informations supplémentaires (Longueur du texte.. etc). C’est a ce moment la que nous allons utiliser une injection par formulaire en utilisant, cette fois ci les SSI. (Du html dynamique, du code exécuté par le serveur.. un peu comme le php). Les SSI sont utilisée – par exemple – par apache pour inclure les headers/footers des pages qu’il génère avec l’option « Indexes« .

Nous allons donc essayer d’insérer le code suivant (exec de la commande linux ls) dans le fichier généré par le script de Stéphanie:

Et voilà le travail:

Hi, au12ha39vc.php index.php level8.php tmp!
Your name contains 39 characters.

Il ne vous reste plus qu’a consulter au12ha39vc.php pour passer au niveau suivant :)

Basic 9: « The password is again hidden in an unknown file. However, the script that was previously used to find it has some limitations. Requirements: Knowledge of SSI, Unix directory structure. »

Liée a la mission précédente, celle ci s’avère très simple si on prend un peu de recul… Tout d’abord nous n’avons ici que le champ texte d’entrée du mot de passe, il va donc falloir chercher ailleurs. Si nous lisons les instructions de notre ami Sam nous aprenons qu’il sagit ici encore de SSI – nous avions utilisé:

1	<!--#exec cmd="ls .."-->

Donc il suffit de se rendre une mission plus tôt – retourner sur la 8, oui – et changer le path du ls pour lister ce répertoire ci.. rien de plus simple. Nous étions ici:

1	/missions/basic/8/tmp/

et nous voulons aller là:

1	/missions/basic/9/

, il suffira donc d’executer cette intruction ci:

1	<!--#exec cmd="ls ../../9"-->

Encore une victoire pour nous.. plus que deux missions, voyons ce que Sam va nous servir.

Basic 10: « This time Sam used a more temporary and « hidden » approach to authenticating users, but he didn’t think about whether or not those users knew their way around javascript… »

Comme dans les missions précédentes nous sommes relativement bien guidés, il nous est dit que Sam a utilisé une méthode d’authentification cachée: de quoi penser « Cookies » ! En étudiant le code nous nous rendons compte que cette fois ci le mot de passe a été codé en dur et n’est pas accessible.

Nous allons donc analyser les cookies pour voir ce qu’il en est. Nous allons avoir besoin de « FireCookies » une extension pour Firefox qui permet de gérer les cookies (ajout/suppression/edition). Pour être le plus clair possible voici une capture d’ecran:

Vous pouvez voir une ligne “level11_authorized” changez sa valeur de “no” a “yes”, validez. BRAVO.

Serveur X distant sur Mac (FreeNX)

Crashdump — Tue, 11 Nov 2008 16:25:33 +0000

Suite au retours sur le tutoriel XDMCP, J’ai donc publié sa suite logique.. l’autre façon, plus adaptée au grand réseau Internet d’avoir accès à une session X distante. J’ai nommé NXFree. Le but de FreeNX est d’exporter un bureau graphique complet sur un poste distant en utilisant une bande passante minimum. FreeNX reposant entièrement sur un serveur SSH, il faut également qu’un serveur SSH soit opérationnel sur le serveur. Ceci n’est une solution complètement libre.. mais simple.

Ce dont vous avez besoin

Serveur Linux

Les paquets ne sont pas fourni pour Debian, mais vous pouvez les télécharger sur plusieurs adresses. L’adresse officielle est la suivante:

1
2
3

wget http://64.34.161.181/download/2.1.0/Linux-NoXft/nxclient_2.1.0-17_i386.deb
wget http://64.34.161.181/download/2.1.0/Linux/nxnode_2.1.0-22_i386.deb
wget http://64.34.161.181/download/2.1.0/Linux/FE/nxserver_2.1.0-22_i386.deb

On aura aussi besoin de cette libraire:

1	wget http://ftp.fr.debian.org/debian/pool/main/g/gcc-2.95/libstdc++2.10-glibc2.2_2.95.4-27_i386.deb

Il est aussi possible – et conseillé d’utiliser la version des dépôts de Ubuntu via APT (Merci coagul) !

Il faut donc ajouter la ligne suivante au fichier « /etc/apt/sources.list » :

1	deb http://mirror2.ubuntulinux.nl/ dapper-seveas all

Installer la clé gpg :

1 2	# gpg --keyserver subkeys.pgp.net --recv-keys 1135D466 # gpg --export --armor 1135D466 \| apt-key add -

Mettre à jour la liste des paquets

1	# aptitude update

Client Mac: Le client NX Free.

Installation

Si vous avez retenu le choix numéro 1, les paquets « officiels », placez vous dans le répertoire ou vous avez téléchargé les fichiers ci dessus, puis:

1
2
3
4

dpkg -i libstdc++2.10-glibc2.2_2.95.4-27_i386.deb
dpkg -i nxclient_2.1.0-17_i386.deb
dpkg -i nxnode_2.1.0-22_i386.deb
dpkg -i nxserver_2.1.0-22_i386.deb

Si vous avez retenu les choix des dépôts Ubuntu:

1	# aptitude install freenx

A la question des clés, sélectionnez: « NoMachine Keys ».

Gestion des clés

Editez le fichier sshd_config:

1	# vim /etc/ssh/sshd_config

Et assurez vous que l’utilisateur « nx » ai bien le droit de se connecter via ssh. Si vous avez défini un « AllowUser ».. sinon passez directement à la suite.

1	AllowUser nx utilisateur1 utilisateurX ...

1	/etc/init.d/sshd reload

1	nxsetup nxsetup --install --setup-nomachine-key

Ici, si vous rencontrez une erreur du type: « ssh_exchange_identification: Connection closed by remote host », Au lieu de chercher pendant une heure d’où viens le problème.. regardez tout d’abord votre /etc/hosts.deny.. pour voir si le loopback (127.0.0.1) n’y est pas interdit.. ça vous évitera une prise de tête sans noms..

Utilisation

Je ne vais pas vous la détailler tellement elle est simple.. amusez vous bien ;)

Serveur X Debian distant sur Mac (XDMCP)

Crashdump — Tue, 11 Nov 2008 14:37:59 +0000

Autant vous le dire tout de suite, je ne n’aime pas les interfaces graphiques sur les serveurs.. d’ailleurs j’ai déjà emm** pas mal de monde avec mes idéos, ça bouffe de la mémoire et du réseau pour rien. Mais bon.. Je me trouve aujourd’hui confronté à un problème sur un de mes projets difficilement resolvable sinon en installant un serveur X sur mon serveur. Put** de capcha.
Je vais donc essayer de vous expliquer, ici, comment mettre en place une liaison Serveur X linux déportée sur un mac.

ATTENTION, Suite à certain retours, je tiens a préciser que ce n’est pas la meilleure solution pour administrer un serveur hebergé sur le net. c’est une très bonne option en LOCAL, pour du DISTANT, ce n’est à utiliser que très ponctuellement. Pour ceux qui aurais besoin d’avoir accès aux application x d’une machine distante il existe NX. (avec son client Mac, ici). J’essayerais de vous publier un tutoriel sur le sujet, bientôt. Sur ce, amusez vous bien ;)

Ce dont vous aurez besoin

Sur le serveur: xdm et un environnement graphique (j’ai choisi icewm pur sa légèreté, mais n’importe lequel fera l’affaire)

1	aptitude install xdm icewm

Sur votre mac: il vous faudra installer X11, vous le trouverez sur le CD1 d’installation du système Tiger ou Léopard (avant, je ne sais pas.. Quelqu’un saurait me le dire ?). Cherchez « Optional Installs.mpkg » et sélectionnez X11 dans le menu.

Configuration de Ssh:

Editez le fichier de configuration:

1	vim /etc/ssh/sshd_config

Modifiez ces deux ligne:

1 2	X11Forwarding yes X11DisplayOffset 10

Puis relancez le tout:

1	/etc/init.d/ssh reload

Configuration de xdm

Editez le fichier de configuration:

1	vim /etc/X11/xdm/xdm-config

Modifiez cette ligne (pour définir le port 177 en écoute)

1	DisplayManager.requestPort: 177

Editez le fichier d’autorisation d’accès:

1	vim /etc/X11/xdm/Xaccess

Décommentez la ligne suivante:

1	#* #any host can get a login window

On sécurisera via iptables.

Configuration de IPTables:

Ici on va ouvrir les ports nécessaires:

1 2	iptables -A input -p udp -s x.x.x.x --dport 177 -j ACCEPT iptables -A input -p tcp -s x.x.x.x --dport 6000:6015 -j ACCEPT

Ici j’ai remplacé mon Ip par x.x.x.x, mettez la votre. (celle du Mac)

Pensez a ouvrir ces ports sur votre routeur local.. su vous en avez un !
- Port 177/UDP (XDMCP)
- Port 6000 à 6015 (X11)

Utilisation:

Sur le Mac, ouvrez un terminal et tapez ceci (remplacez l’ip de mon serveur par celle du votre, ici c’est celle de crashdump.fr ;)):

1	xhost +88.191.68.9

X11 devrait se lancer.. en attente d’un connexion.

Connectez vous ensuite sur votre Box linux en ssh, puis:

1	export DISPLAY=x.x.x.x:0.0

Replacez le x.x.x.x par l’adresse Ip de votre Mac.

Il ne vous reste plus qu’a lancer l’application en question.. pour la voir apparaître sur votre mac ! Exemple:

xterm

Et la magie opère ! ;)

Activer Apache2/Php5 sous Mac Os X 10.5

Crashdump — Wed, 10 Sep 2008 13:23:18 +0000

Léopard intègre « d’usine » Apache 2.2.6 et Php 5, mais ils ne sont pas activés par défaut, je vais essayer de vous expliquer comment faire pour en profiter.

Installer apache

Si vous ne l’avez pas déjà, récupérez TexteMate ici (la version d’évaluation de 30 jours fera largement l’affaire) puis dans le menu « Fichier » choisissez « Ouvrir ». Dans la fenêtre qui vous est présentée sélectionnez « Affichez les fichiers cachés / Show hidden files » et ouvrez le fichier: « /HD/private/etc/apache2/httpd.conf ».

Voilà, nous avons ouvert le fichier de configuration de apache. Notez que – si vous faites une bêtise – il existe une copie de ce fichier dans le sous-dossier nommé « original ».
Rendez-vous a la ligne 113 ( Menu « Navigation / Go to line… » ou menu « View / Gutter / Line numbers » ) et retirez le commentaire en début de ligne (#) comme dans les captures suivantes:

Ce qui peut se traduire par « Charger le module php5 pour apache ». Maintenant nous allons configurer apache pour qu’il accepte les index.php en plus des traditionnels .html. Pour cela allons à la ligne 224 et faites comme indiqué sur cette capture:

Ok, maintenant sauvegardez – Il vous sera sûrement demandé un mot de passe, c’est normal, c’est un fichier dont le propriétaire est le « root » – vous pouvez maintenant quitter TextMate.
Nous avons fait la configuration de « base ». Si vous êtes pressé allez dans les Préférences systèmes / Partage: Désactiver et réactiver le partage web pour relancer apache avec php5.. Félicitations.

Configuration de php

Maintenant si vous avez un peu de temps devant vous, nous allons nous pencher sur la configuration de ce dernier: le php.ini qui n’est pas utilisé pour le moment et dans lequel nous pourrons spécifier pas mal d’options.

Ouvrez un Terminal (Applications/Utilitaires) et entrez cette ligne (ce qui aura pour but de copier le fichier php.ini.default en php.ini) – Une fois encore il vous sera demandé votre mot de passe:

1	$ sudo cp /private/etc/php.ini.default /private/etc/php.ini

Ouvrez maintenant le php.ini avec TextEdit (de la même manière qu’avec le httpd.conf, show hidden files). Vous le trouverez dans « HD/private/etc/ ».

Le fichier est plutôt bien commenté (toutes les lignes commençant par un ; est un commentaire). Mais en anglais, pour les anglophobes vous trouverez de la documentation sur fr.php.net.

La première chose que je conseillerais de modifier est la gestion des erreurs: error_reporting.
Le réglage par défaut (ligne 305) est:

1	error_reporting = E_ALL & ~E_NOTICE

Ce qui aura pour effet d’afficher seulement les erreurs Php les plus graves, si ce serveur vous sert uniquement pour la « production » il est judicieux de le laisser ainsi. Mais si vous en avez un usage développement vous devriez la modifier comme ça (pour éliminer toutes les erreurs de votre code):

1	error_reporting = E_ALL

Quand vous aurez fini vos modifications, sauvegardez et allez dans vos préférences système pour relancer apache en cliquant sur « Partage web ». Important: si la case est déjà cochée veillez à la décocher puis à la sélectionner à nouveau pour relancer Apache sinon vos modification de ne serais pas prises en compte..

Cliquez sur le lien « Votre site web personnel » ce qui lancera votre navigateur préféré qui affichera la page contenue dans le dossier « Sites » de votre répertoire Personnel. ex: /Users/~crashdump/Sites/ pour moi.

Rendez vous dans ce répertoire supprimez les fichiers qu’il contient (index.html..) et créez y un fichier index.php avec le code suivant à l’intérieur:

1	<?php phpinfo(); ?>

Sauvegardez et actualisez le navigateur.. Félicitions (oui, encore) ça fonctionne.

Problèmes recontrés

Si vous avez fait une mise à jour de Léopard depuis une version précédente 1.x.x vous pouvez rencontrer un problème avec l’accès a vos pages personnelles (par exemple: « Forbiden, You don’t have permission to access /~user on this server. ») pour régler cela une petite manipulation est nécessaire, car des fichiers indispensables au bon fonctionnement de la chose sont manquants.

Ouvrez un Terminal:

1 2	$ cd /private/etc/httpd/users $ ls

Vous devriez voir un fichier de la forme: votreLogin.conf, par exemple chez moi il s’appelle crashdump.conf, nous allons donc les copier dans le répertoire aproprié:

1	$ sudo cp *.conf /private/etc/apache2/users

Redémarrez apache à nouveau, (Préférences système, partage..) tout devrait fonctionner maintenant. Vous pouvez aussi avoir des informations sur les erreurs potentielles en tapant:

1	$ tail -n 30 /var/log/apache2/error_log

Remplacer le firmware de la fonera avec dd-wrt (sous Mac)

Crashdump — Mon, 08 Sep 2008 14:28:05 +0000

Attention, ce tutoriel ne concerne que les versions de firmware 0.7.1r2 ou plus récent.

Dans ce tutoriel je vais ~~essayer~~ vous expliquer comment flasher sa Fonera avec le firmware DD-WRT avec votre Mac préféré. DD-WRT, C’est quoi ? Tout simplement firmware alternatif qui vous apporte pleins de fonctions: un mode client en wifi, système de hotspot (Chilli) et encore pleins d’autres choses.. en plus il est gratuit. Pourquoi s’en priver ?

Ce dont vous aurez besoin

Un câble ethernet (RJ45, Droit): pour connecter la Fonera à votre machine,

Final version

Release Candidate

openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma

out.hex

~~Un serveur http~~

~~Un serveur tftp~~

~~Un client SSH, Telnet~~

Attention, il est important de télécharger ces fichiers avant de commencer ce tutoriel car vous n’aurez plus de connexion a internet pendant la procédure… Sauf si vous avez plusieurs machines.. ;)

Vérifier la version de la fonera

1. Procédure de reset:
- Maintenez le bouton reset 30s,
- Débranchez/retranchez l’alimentation tout en maintenant le reset,
- Continuez a appuyer dessus jusqu’à ce que la led wifi s’allume puis s’éteigne (2-3 minutes),
- Relâchez (enfin) le reset puis attendez (encore) 2-3 minutes que la led wifi s’allume de nouveau.

2. Connecter: Pour cela on va brancher la Fonera directement à l’ordinateur en RJ45 puis configurer l’adresse Ip de la carte Ethernet en: 169.254.255.2/255.255.0.0 (la fonera ayant l’adresse: 169.254.255.1).
3. Récupérer la version: Ouvrez votre navigateur et tapez dans la barre d’adresse « http://169.254.255.1″
4. Si un login/mdp vous est demandé entrez:
- login: root
- pass: admin

Exploiter RADIUS pour obtenir un accès SSH

A chaque démarrage de la fonera elle se connecte a un serveur RADIUS (/usr/sbin/chilli_radconfig) pour télécharger la configuration la plus récente (/etc/chilli.conf).
FON a pris des précautions pour sécuriser l’utilisation du serveur SSH mais n’a pas fait de même pour leur serveur RADIUS, nous allons exploiter cette faille en se connectant à un serveur spoofé qui va nous permettre d’avoir la main sur cette petite bête..
Pour cela nous allons devoir faire pointer la Fonera sur un serveur DNS qui redirigera l’adresse « radius01.fon.com » vers un serveur RADIUS « Non-officiel » sur lequel elle récupérera un fichier config a notre sauce.

En résumé. Donc tout ce que l’on a à faire c’est configurer la Fonera pour qu’elle pointe sur le DNS: « 88.198.165.155″ ce qui redirigera « radius01.fon.com » sur « kolofonium.datenbruch.de » (qui est un serveur Radius « pirate »).

1. Ouvrez votre navigateur et tapez dans la barre d’adresse « http://169.254.255.1″
2. Allez dans « advanced » et entrez les paramètres réseau avec:
- Ip: une Ip valide derrière votre Box internet (ex: 192.168.3.20, chez moi)
- Network Mask: 255.255.255.0
- Gateway: L’Ip de votre Box Internet. (ex: 192.168.3.242, chez moi)
- DNS: 88.198.165.155

3. Connectez la Fonera directement a un des ports ethernet de votre box internet,
4. Redémarrez enfin la Fonera puis attendez quelques minutes pour la redémarrer à nouveau.

La modification touche le fichier « /etc/raddb/users », le nouveau contient:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

chillispot Auth-Type = External
Exec-Program-Wait = "/etc/raddb/fonera.sh",
CHILLICONF = "radiusserver1 radius01.fon.com",
CHILLICONF = "radiusserver2 radius02.fon.com",
CHILLICONF = "radiussecret garrafon",
CHILLICONF = "dhcpif eth1",
CHILLICONF = "uamsecret garrafon",
CHILLICONF = "uamanydns",
CHILLICONF = "uamallowed www.martinvarsavsky.net,www.google.com,www.flickr.com,static.flickr.com,video.google.com,216.239.51.0/24,66.249.81.0/24",
CHILLICONF = "uamallowed www.fon.com,www.paypal.com,www.paypalobjects.com,www.skype.com,66.249.93.0/24,72.14.207.0/24,72.14.209.0/24,84.96.67.0/24,213.91.9.0/24,80.118.99.0/24",
CHILLICONF = "uamallowed shop.fon.co.kr,secure.nuguya.com,inilite.inicis.com,fon-en.custhelp.com,maps.fon.com,c20.statcounter.com",
CHILLICONF = "uamserver https://login.fon.com/cp/index.php",
CHILLICONF = "# Greetings from Michael and Stefan",
CHILLICONF = "# http://mrmuh.blogspot.com/ & http://stefans.datenbruch.de/lafonera/",
CHILLICONF = "uamallowed stefans.datenbruch.de",
CHILLICONF = "ipup /etc/init.d/dropbear",
Fall-Through = 0

On notera la ligne « ipup /etc/init.d/dropbear »: C’est elle qui lance le serveur SSH des que l’interface « publique » est démarrée.

Se connecter a notre joli serveur SSH

1. Reconnectez la Fonera a votre machine par l’interface Ethernet (rappel ip: 169.254.255.1)

2. Ouvrez un Terminal (Applications > Terminal) et tapez:

1	# ssh root@169.254.255.1

3. On accepte la clé et on entre le mot de passe « admin »

4. Yeepee, on est dedans :)

5. Activer le SSH en permanence:

1	# mv /etc/init.d/dropbear /etc/init.d/S50dropbear

Configurer notre serveur HTTP

1. Rendez-vous dans vos « Préférences systèmes » puis dans « Partage », Activez le « Partage web ». Notez l’url du bas, (ici: http://mac.local/~rzo ou http://169.254.5.199/~rzo) Vous trouverez votre Ip dans les préférences réseau de OSX, la mienne est « 169.254.5.199″

2. Puis mettez les 2 fichiers téléchargé plus tôt dans le répertoire de partage web de votre utilisateur (/Users/’nomUtilisateur’/Sites/)
- openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma
- out.hex

Accès à la mtd

1. On récupère nos fichiers sur la Fonera:

1 2	# cd /tmp # wget http://169.254.5.199/~username/openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma

2. On flashe avec le firmware modifié, ce qui nous permet un accès à la mtd:

1 2	# mtd -e vmlinux.bin.l7 write openwrt-ar531x-2.4-vmlinux-CAMICIA.lzma vmlinux.bin.l7 # reboot

Soyez patients, cela peut prendre du temps…

3. on se reconnecte en SSH et on lui applique le out.hex (fichier config redboot)

1
2
3
4

# cd /tmp
# wget http://169.254.5.199/~username/out.hex
# mtd -e "RedBoot config" write out.hex "RedBoot config"
# reboot

Attention, si vous avez l’erreur: « Could not open mtd device » assurez vous d’avoir tapé la commande en respectant les majuscules, c’est case sensitive.

Configurer le serveur tftp

1. Entrez dans un Terminal: (dans mon cas il existait déjà.. vérifiez quand même..)

1	sudo mkdir /private/tftpboot

2. Copiez le firmware de dd-wrt à la racine du serveur tftp (linux.bin):
- Déplacez le fichier sur le bureau.
- Tapez:

1	sudo cp ~/Desktop/linux.bin /private/tftpboot/

3. On démarre le serveur tfp, tapez:

1	sudo /sbin/service tftp start

Quand on touche au but..

NOTA: A ce stade la Fonera ne peux pas démarrer correctement, c’est normal – et indispensable – le répertoire FIS est complètement effacé. Par contre nous pouvons toujours nous connecter au RedBoot, pour cela:

1. Configurez votre carte Ethernet pour avoir l’Ip: 192.168.1.10

2. Préparez un Terminal avec la ligne suivante: Ne tapez pas entrée tout de suite !

1	$ telnet 192.168.1.254 9000

3. Débranchez et rebranchez l’alimentation de la Fonera, puis validez la commande ci-dessus dans les 10 secondes qui suivent le branchement.
NOTE: Le pre-boot de la Fonera peut prendre du temps, n’hésitez pas à retaper la commande plusieurs fois.. (Tips: Flèche haut).

4. On a le shell, on configure le réseau. qui va pointer sur notre serveur tftp:

1	> ip_address -l 192.168.1.254/24 -h 192.168.1.10

5. Puis on flashe ! Répondez « y » quand on vous pose des questions.

1
2
3

> fis init
> load -r -b 0x80041000 linux.bin
> fis create linux

Ces commandes sont très longues a exécuter, ne vous affolez pas ! (« fis create linux » a pris 30 minutes chez moi…).
Ne pas rebooter ensuite, il va falloir modifier le script de démarrage !

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

RedBoot> fconfig
Run script at boot: true
Boot script:
.. fis load -l vmlinux.bin.l7
.. exec
Enter script, terminate with empty line
>> fis load -l linux
>> exec
>>
Boot script timeout (1000ms resolution): 10
Use BOOTP for network configuration: false
Gateway IP address:
Local IP address: 192.168.1.254
Local IP address mask: 255.255.255.0
Default server IP address:
Console baud rate: 9600
GDB connection port: 9000
Force console for special debug messages: false
Network debug at boot time: false
Update RedBoot non-volatile configuration - continue (y/n)? y
... Erase from 0xa87e0000-0xa87f0000: .
... Program from 0x80ff0000-0x81000000 at 0xa87e0000: .
RedBoot>reset

Voilà, vous y êtes, redémarrez la Fonera, configurez votre réseau ethernet (ou wifi) en DHCP puis lancez un navigateur sur l’url: http://192.168.1.1. Félicitation.

NOTE: l’utilisateur/mot de passe est le même. login: root, mdp: admin

Protocole BGP, l’Internet en danger ?

Crashdump — Fri, 29 Aug 2008 14:50:50 +0000

Introduction

Le BGP (Border gateway protocol) est un protocole d’échange de route utilisée – entre autres – sur Internet. Son objectif est d’échanger des réseaux avec les routeurs voisins pour établir des tables de routage dynamiques : Les routeurs s’échangent des informations sur les réseaux qu’ils connaissent et sur le moyen de les atteindre.

Petit rappel sur le routage

Pour communiquer avec une autre machine, le système suis la table de routage. (On peut l’afficher sur quasiment tous les Unix avec « netstat -rn », avec « route -n » sur Linux ou encore « route -n show » sur NetBSD. Prenons un exemple :

Imaginons un routeur ayant la table de routage suivante :

1
2
3

192.168.10.0 192.168.10.254 255.255.255.0 UG 0 0 0 eth0
192.168.20.0 192.168.20.254 255.255.255.0 UG 0 0 0 eth0
192.168.30.0 192.168.30.254 255.255.255.0 UG 0 0 0 eth0

Et dont les paquets doivent être envoyés à la destination de 192.168.20.37 : Ils seront envoyés tout d’abord à 192.168.20.254 qui les fera suivre. Faisons un traceroute pour le vérifier:

1
2
3

traceroute to 192.168.20.37 (192.168.20.37), 64 hops max, 40 byte packets
1 192.168.20.254 1 ms 0 ms 0 ms
2 192.168.20.37 1 ms 1 ms 1 ms

On voit bien dans cet exemple la manière dont les paquets arrivent à destination. Seulement ici nous sommes dans le cadre d’un petit réseau, imaginez la même chose à la hauteur d’un réseau comme internet…

Introduction à BGP

La plupart des connexions vers Internet à partir d’une résidence ou au bureau sont réalisées par un routing statique, c’est-à-dire qu’il n’existe qu’une seule route, celle vers votre FAI (Fournisseur d’accès a Internet). Mais après cela, Internet est un maillage de réseaux. Cela signifie que plusieurs chemins existent entre deux réseaux d’extrémité. Et ceux-ci ne sont pas tous équivalents…

En se servant du protocole de routing BGP et à condition de disposer de deux connexions ou plus vers Internet, on peut décider de façon dynamique d’envoyer un certain type de traffic par une connexion et un autre type de trafic par une autre connexion. En effet, imaginez votre connexion à crashdump.fr circulant dans cette univers cruel et barbare qu’est Internet. Vous préférerez peut être qu’ils transitent par tel AS, car l’admin est un pote ou que vous avez négocié un tarif avantageux. Vous refuserez peut-être qu’ils transitent par un autre AS, car vos flux sont incompatibles avec la législation en vigueur dans le pays ou pour toute autre considération politique (nldr: Chine), économique ou de sécurité que l’on peut imaginer. Dans ce cas, vous aurez besoin de définir une politique de routage sur Internet. BGP sert a cela.

Le problème…

Le 24 février 2008, YouTube a été indisponible pendant deux heures environs. Ce n’était pas une panne, mais le résultat d’une action (délibérée ?) en provenance du Pakistan. Le gouvernement (du Pakistan) a annoncé ce jour là, un blocage de YouTube. Pakistan Telecom à donc exécuté l’ordre. Ce qui est rigolo (ou pas..) c’est que par incompétence ou bien par volonté de tester, ils ont réussi à couper YouTube sur l’ensemble de la planète.

La technique est très banale (ou du moins, connue) et des tas de gens l’ont déjà exploité. On appelle ça l’IP hijacking (détournement d’adresse) et ça consiste à annoncer une route plus spécifique, pour les adresses IP de la victime comme je vous l’ai expliqué plus haut, grâce au BGP. Oui, très peu d’entre eux limitent ce qu’on peut annoncer. N’importe quel routeur BGP de l’Internet peut tout à coup se mettre à dire « Envoyez tous les paquets IP à destination de x.x.x.0/24 – vers moi ». Cette annonce aura même la priorité sur celle du propriétaire légitime, car elle est plus spécifique (la longueur du préfixe est de 24 bits, contre par exemple 22 pour l’annonce légitime. Ici vous me dites : « Il n’y a qu’à authentifier le pair BGP en face ! ». Non, cela ne sert à rien puisque ça ne garantit pas qu’il aura, lui-même, authentifié ses propres pairs.

Ce problème est connu et ce depuis longtemps et devrait, logiquement, susciter plus d’inquiétudes pour la sécurité et la stabilité de l’Internet. Ce n’est pas facile à résoudre, le problème n’étant pas technique mais politique et organisationnel. Ce ne sont donc pas les solutions techniques qui manquent (Ex : Secure BGP, soBGP). Rien ne sert d’installer une alarme ultra sophistiquée sur votre voiture si vous prêtez les clés a tout le monde.

La nouvelle découverte:

Alex Pilosov et Anton Kapela ont dit, lors du DefCon 16 (2008):

- Everyone … has assumed until now that you have to break something for a hijack to be useful.
- But what we showed here is that you don’t have to break anything. And if nothing breaks, who notices?

Entendez par là :

- Tout le monde est d’accord sur le fait que, jusqu’à présent, vous étiez obligé de casser quelque chose pour faire un détournement d’adresse efficace. (Et donc faire du « bruit »).
- Mais ce que nous avons montré ici est différent : Si rien n’est cassé, qui le remarquera ?

Le type d’attaque qu’ils ont démontré est d’un type nouveau, car elle permet d’écouter les flux d’autrui sans être propriétaire du réseau normalement emprunté et surtout sans être repérable !
Pourquoi rien n’a été fait avant ? Deux raisons : Personne n’avais jamais démontré qu’il était possible de faire ce que ces deux jeunes pirates on fait ce jour-là. L’autre, pire encore : l’argent. Comme je vous l’ai expliqué tout à l’heure, en théorie le problème est bien connu des gouvernements et des agences de sécurité gouvernementales, mais cela coûterait très cher – en temps et en argent – de mettre en place une solution plus sûre… du moins pour le moment !

On pourrait même penser que la situation n’évolue pas, car elle pourrait permettre aux agences comme la NSA (Big B, Echellon) ou les équivalents d’autres pays, d’écouter le trafic mondial très facilement… Pire, là où un hacker avec peu de moyens ne pourrait pas traiter toutes ces informations, un pays devrait être moins limité.

Comment obtenir l’ancien numéro de ligne FT (pour un dégroupage)?

Crashdump — Mon, 25 Aug 2008 10:53:10 +0000

Voilà, j’ai déménagé. Enfin. La première question qui s’est posé à moi – en bon Geek – était : « Mince, quel était l’ancien numéro de ligne ? Sachant que je suis maintenant en zone dégroupée, il aurait été inopportun de payer 55€ d’ouverture de ligne ! Alors, après quelques recherches, j’ai trouvé comment récupérer – facilement – le numéro de votre ligne (si elle n’a pas été fermée il y a plus de 6 mois). Voici les étapes:

1) Branchez un téléphone sur votre prise murale.

2) Composez un n° (par exemple celui de votre portable, mais cela importe peu).

3) Un serveur vocal vous expliquera que votre ligne est fermée et qu’il vous faut payer la réouverture.. etc. Appuyez alors sur * (étoile).

4) Notez le numéro à 9 chiffres qui vous est communiqué, rajoutez un 0 devant.. Vous avez votre numéro !

5) Connectez vous sur le site de votre FAI préféré pour pouvoir vous inscrire.

Si cela ne marche pas c’est que la ligne a été résiliée depuis plus de 6 mois (et donc détruite). Il est donc impossible de récupérer le numéro. Vous devrez malheureusement procéder à l’ouverture d’une nouvelle ligne par Orange/FT.. 55€.

Note: Ce système s’appelle REX: « Raccordement Express ».

LDAP: « bdb_db_open: unclean shutdown detected »

Crashdump — Mon, 18 Aug 2008 10:07:41 +0000

Lundi matin, une journée qui commence bien. Le service « slapd » étant arrêté, je me jette dans les logs et voilà ce que j’y trouve:

1 2	bdb_db_open: unclean shutdown detected; attempting recovery. bdb_db_open: Recovery skipped in read-only mode. Run manual recovery if errors are encountered.

Après quelques recherches sur « db_recover » et après avoir essayé de lire les pages man introuvables… je me lance à la sauvage:

1	/etc/init.d/ldap stop

1	db_recover -v -h /var/lib/ldap

1	/etc/init.d/ldap start

Le service repart, puis s’écroule quelques minutes plus tard en m’insultant de la même façon. Seule option restante: Récupérer les .bdb stocké sur la bande de sauvegarde de la veille:

1	/etc/init.d/ldap stop

A la recherche de mes fichiers:

1	tar tvf /dev/st0 \| grep *.bdb

Ouf, tout est là: On restaure.

1	tar xvf /dev/st0 var/lib/ldap

Si, comme moi, vos fichiers font plus de 2Go, allez donc boire une cafetière de café.. ou prendre un Xanax..

1	slapd -d 256

Je vous passe le tas de logs qu’il m’a vomi à ce moment précis -c’est plutôt bon signe- il est enfin lancé… et à l’air de s’y plaire. Attention à ne pas le stopper à l’aide d’un CTRL+C, ce qui pourrais causer une nouvelle corruption ! Pour cela on va lui demander plus poliment:

1	kill -INT ‛cat /var/run/ldap/slapd.pid‛

Puis on relance, proprement:

1	/etc/init.d/ldap start

Note: n’oubliez pas de vérifier que les fichiers contenus dans le répertoire /var/lib/ldap appartiennent bien à ldap:ldap après la restauration, c’est du vécu..

Redirection de courrier sous Postfix

Crashdump — Wed, 13 Aug 2008 10:00:08 +0000

Aujourd’hui je me suis confronté a une demande, dans mon travail, que je ne savais pas du tout comment résoudre, alors je vous fait partager mon expérience:

Problème: « Envoyer une copie du courrier reçu sur un compte mail vers une autre adresse. »

Sachant que le serveur mail est Postfix.

Réponse: « Simple, les aliases ! »

En quelques lignes cela pourrais se répondre: man aliases, RTFM, mais je ne suis pas un salop, alors je vais vous décrire la solution que j’ai trouvé.. ;)

Le fichier aliases de Postfix permet, comme son nom l’indique, de créer des alias et donc de ridiriger tout les mails pour les comptes locaux. Ce fichier est un bête fichier texte qui, une fois modifié servira a postalias pour créer un .db. Il faudra donc le modifier en respectant une syntaxe particulière, le sauvegarder, puis l’exporter avec la commande « newaliases ». Mais rentrons directement dans le vif du sujet:

Editer le /etc/postifx/aliases

1	vim /etc/postfix/aliases

Le fichier accepte un format bien précis, de la forme suivante:

1	nom: destinataire1, destinataire2, ...

Exemple: Mettons une adresse grouik@crashdump.fr dont j’aimerais envoyer une copie de tout les messages à patate@crashdump.fr et à dindon@crashdump.fr (ça fait moins serieux, du coup!) mon fichier aliases ressemblera donc à ça:

1	grouik: grouik, patate, dindon

Notez que j’ai répété grouik dans les destinataires, sinon il ne recevra plus les message qui lui sont destiné.

Créer le aliases.db et informer Postfix du changement

Un petit programme se charge de tout:

1	newaliases

astuce: si vous avez beaucoup de destinataires, vous pouvez les écrire sur plusieurs lignes en commençant les lignes suivantes par un espace.

Merci de votre lecture, et n’hésitez pas a poser vos questions dans les commentaires. J’y répondrais le plus vite possible.

Faille SSL Debian (RGN)

Crashdump — Mon, 26 May 2008 18:51:35 +0000

Le 13 Mai 2008, Le projet Debian annonçais ce que Luciano Bello avais trouvé: Une vulnérabilité dans le package « OpenSSL ». Le bug en question est causé par la suppression pure et simple du code suivant dans md_rand.c:

1
2
3

MD_Update(&m,buf,j);
[ .. ]
MD_Update(&m,buf,j); /* purify complains */

Ces lignes ont été retirée parce qu’elle produisait des erreurs avec certains outils (Utilisation d’une donnée non initialisée dans la plupart des projets liés a OpenSSL). Mais la suppression de des lignes en question à eu des effets collatéraux sur OpenSSL PRNG. En fait au lieux de mélanger différentes variables aléatoire pour la génération initiale, la seule variable « aléatoire » qui a été utilisée étais le PID du générateur -et quand on sais que le nombre maximal par défaut sous linux est de 32,768- le résultat est que PRNG utilise une très petite fourchette de valeurs initiales.

Impact:

Toutes les clés SSL et SSH générées sur des systèmes basé sur Debian (Ubuntu, Debina, Mint…) entre Septembre 2006 et le 13 Mai 2008 sont affectée par la vulnérabilité. Dans le cas des clé SSL, tout les certificats doivent être révoqué et a nouveau généré. Tous les administrateurs système doivent auditer leurs clés pour être sur qu’ils ne sont pas touché par la vulnérabilité ! D’ailleurs tout les outils liés de près ou de loin a OpenSSL PRNG peut être vulnérable, attention.

Tout flux d’un serveur SSH qui utilise une clé générée par un système vulnérable peut être sujet a une interception (man in the middle) sans que l’administrateur ne se rende compte de rien. Je vous rassure, les projets Debian et Ubuntu on développé des outils pour identifier les clé vulnérables, vous trouverez plus d’information a leurs propos en fin de page.

Q: Combien de temps cela prendrais de générer toutes les clés touchées ?
A: Avec 31 Xeon @ 2.33Ghz. Cela prend deux heures pour les clés DSA 1024-bit et RSA 2048-bit pour x86. Les clés RSA 4096-bit sont générés en 6 heures. En ce qui concerne les clés RSA 8192-bit cela prendrais environs 100 heures.

Q: Combien de temps cela prendrait il de cracker un SSH avec ces clés ?
A: Tout dépend de la vitesse du réseau et de la configuration du serveur SSH. Il devrait être possible d’essayer toutes les clés (32,767 DSA 1024 et RSA 2048) en quelques heures. Attentions aux scripts tels que Fail2Ban (anti-bruteforce).. etc.

Q: J’utilise une clé RSA 16384 bit, suis-je vulnérable ?
A: Oui, c’est juste une question de temps (processeur et réseau). Pour le RSA 8192 bit, cela prend environ 3100 heures pour générer toutes les clés. J’imagine que pour le 16384 bit, nous serions dans les 100,000 heures (en temps CPU). Mais gardez en tête que la « fourchette » réele est bien plus mince, basée sur PID du processus qui a servit a générer le tout. Donc, inutile de générer toutes les clé pour en couvrir la majorité ! (La plupart de ces clés sont dans les premiers 3,000 PID)..

http://www.debian.org/security/key-rollover/
http://wiki.debian.org/SSLkeys

Récupérer le mot de passe d’un Cisco Catalyst 2950

Crashdump — Sun, 04 May 2008 16:18:47 +0000

Vous avez un de ces switchs qui traine dans un coin de votre bureau depuis plusieurs mois, tellement qu’il est couvert d’une couche de poussière de plusieurs millimètres. Vous en avez besoin, vous le nettoyez… mais voila, au moment de le configurer, impossible de se souvenir du mot de passe!

Je vais donc mettre à votre disposition, ici, une technique pour le récupérer (ou le changer). Pour celà, on va passer le switch en mode single-user (oui, comme sur votre distribution linux préférée !) et on va lire le mot de passe dans le fichier de configuration …si il n’est pas crypté… dans ce cas précis on le changera directement.

Mettons les mains dans le cambouis (ou du moins dans la poussière..):

1. On connecte un PC sur le port console du switch puis a l’aide de « HyperTerminal » si votre OS est windows ou avec « tip » si vous utilisez Linux. Les réglages sont les suivants:
Vitesse: 9600 baud,
Parité: No parity,
Données: 8 data bits,
Bit de stop: 1 stop bit,
Contrôle du flux: No flow control.

2. Redémarrez l’engin. Pendant le redémarrage, appuyez environs 15 secondes sur le bouton qui se trouve souvent sur la façade avant du matériel.

3. A la fin du chargement, vous aurez accès au terminal en mode single. on est dedans.

4.Tapez:

1	flash_init

5. Puis:

1	load_helper

6. Et:

1	dir flash:

7. Ici, on déplace le fichier config qui contient l’ancien mot de passe vers un fichier backup

1	rename flash:config.text flash:config.text.bak

8. Redémarrage du switch..

boot

9. Répondez « no » à la 1ère question qui vous est posée.

10. On a donc a nouveau la main sur le terminal. Passez en mode enable:

11. On remet en place le ficher de config initial.

1	rename flash:config.text.bak flash:config.text

12. Et on charge le tout en mémoire:

1	copy flash:config.text system:running-config

12b. Si votre mot de passe n’est pas crypté, c’est maintenant que vous pouvez le lire en faisant « sh ru », sinon il va falloir continuer…

13. On change le mot de passe:

1
2
3
4
5

conf t # mode configuration
no enable secret # désactiver le mot de passe avant de le changer..
enable password
exit
wr # écrire le tout sur la rom

14. Redémarrez le tout.. c’est gagné ! Il ne vous reste plus qu’a nettoyer toute la poussière..

Supprimer un « host reject » sur route ?

Crashdump — Wed, 27 Feb 2008 17:13:38 +0000

Si, comme moi vous avez ajouté un host deny sur route (!H) :

1	#/sbin/route add -host aa.bb.cc.dd reject

Et que vous êtes dans l’impossibilité de la supprimer, voila la solution:

1	route del -host aa.bb.cc.dd reject

..et dire que c’est même pas écris dans les man pages.. Voila qui m’a donné envie d’écrire un tutoriel sur route ! a bientôt ;)

IfTop, Utilisation de la BP d’un serveur en temp réel

Crashdump — Mon, 27 Aug 2007 12:35:59 +0000

Vous souhaitez voir le trafic de votre serveur en temps réel ? iftop est là pour vous !

iftop

Connectez vous en ssh sur votre serveur
Installez un paquet supplémentaire ( iftop )

1	apt-get install iftop

Ensuite listez vos interfaces réseau:

ifconfig

Vous renvoie: eth0, eth1, etc…
Ensuite pour monitorer votre interface comme ceci:

1	iftop -i eth0

Les options de iftop:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

iftop: display bandwidth usage on an interface by host
Synopsis: iftop -h | -npbBP -i interface -f filter code -N net/mask
-h display this message
-n don't do hostname lookups
-N don't convert port numbers to services
-p run in promiscuous mode (show traffic between other
hosts on the same network segment)
-b don't display a bar graph of traffic
-B Display bandwidth in bytes
-i interface listen on named interface
-f filter code use filter code to select packets to count
(default: none, but only IP packets are counted)
-F net/mask show traffic flows in/out of network
-P show ports as well as hosts
-m limit sets the upper limit for the bandwidth scale
-c config file specifies an alternative configuration file
iftop, copyright (c) 2002 Paul Warren and contributors

Traceroute

Crashdump — Wed, 09 May 2007 10:39:11 +0000

Le principe

Avant toute chose, il faut savoir qu’un paquet de données envoyé sur un réseau contient toujours un compteur appelé TTL (Time To Life, durée de vie). Ce compteur peut contenir une valeur entière positive inférieure ou égale à 255. C’est l’émetteur du paquet qui décide de sa valeur initiale.
Ce compteur est décrémenté à chaque entrée dans un routeur. Lorsqu’il arrive à zéro, le routeur détruit ce paquet et envoie à l’émetteur dudit paquet un signal ICMP lui indiquant que son envoi a été détruit parce qu’il a épuisé son temps de vie.

Partant de là, la stratégie de traceroute est simple. Il lui suffit d’envoyer sur la cible un paquet avec un TTL commençant à 1, puis d’incrémenter ce TTL jusqu’à ce que la cible soit atteinte.

Identification des routeurs

Pratiquement, le premier paquet sera envoyé avec un TTL de 1. Il sera détruit par le premier routeur, qui signalera la situation au moyen d’un message ICMP à la source du paquet. En réalité, nous enverrons trois paquets identiques, qui correspondent aux trois temps de réponse annoncés à chaque ligne.
Puis, la source enverra trois paquets avec un TTL de 2, qui passera à 1 au premier routeur et à 0 au second, générant la seconde ligne de la route. Et ainsi de suite jusqu’à atteindre la cible.

Simple non ?

Les paquets envoyés par la cible pourront être des signaux ICMP de type Echo Request, identiques au ping ou des paquets de type UDP. La commande traceroute de Linux génère par défaut des paquets UDP, mais il est possible de lui faire générer des paquets ICMP avec l’option -I. La commande tracert de Windows ne sait générer que des paquets ICMP.
Pratiquement, les mesures faites suivant l’une ou l’autre méthode sont quasiment identiques:

1
2
3
4
5
6
7
8
9
10
11

# traceroute www.grenouille.com
traceroute to grenouille.com (213.186.35.33), 30 hops max, 38 byte packets
1 193.253.160.3 (193.253.160.3) 49.020 ms 53.429 ms 48.136 ms
2 ge0-1-289.ncmar302.marseille.francetelecom.net (80.10.209.226) 45.530 ms 45.420 ms 48.410 ms
3 pos3-2.nrlyo202.lyon.francetelecom.net (193.252.101.150) 70.188 ms 53.748 ms 56.003 ms
4 pos12-0.ntsta302.paris.francetelecom.net (193.252.103.110) 194.985 ms 66.390 ms 235.187 ms
5 pos0-0-0-0.nosta102.paris.francetelecom.net (193.252.103.117) 61.999 ms 61.445 ms 61.826 ms
6 193.252.103.245 (193.252.103.245) 61.093 ms 70.241 ms 62.656 ms
7 th2-6k-2-a6.routers.proxad.net (213.228.3.9) 61.242 ms 61.923 ms 60.810 ms
8 th2-1-6k.routers.ovh.net (213.186.32.250) 61.784 ms 61.637 ms 61.480 ms
ns351.ovh.net (213.186.35.33) 62.476 ms 62.410 ms 62.801 ms

1
2
3
4
5
6
7
8
9
10
11

# traceroute -I www.grenouille.com
traceroute to grenouille.com (213.186.35.33), 30 hops max, 38 byte packets
1 193.253.160.3 (193.253.160.3) 48.212 ms 49.381 ms 49.246 ms
2 ge0-1-289.ncmar302.marseille.francetelecom.net (80.10.209.226) 51.695 ms 46.860 ms 45.703 ms
> 3 pos3-2.nrlyo202.lyon.francetelecom.net (193.252.101.150) 52.818 ms 53.768 ms 58.622 ms
4 pos12-0.ntsta302.paris.francetelecom.net (193.252.103.110) 58.817 ms 61.432 ms 59.348 ms
5 pos0-0-0-0.nosta102.paris.francetelecom.net (193.252.103.117) 80.819 ms 59.674 ms 59.750 ms
6 193.252.103.245 (193.252.103.245) 96.838 ms 60.856 ms 64.975 ms
7 th2-6k-2-a6.routers.proxad.net (213.228.3.9) 62.070 ms 59.626 ms 60.428 ms
8 th2-1-6k.routers.ovh.net (213.186.32.250) 61.727 ms 61.684 ms 60.788 ms
9 ns351.ovh.net (213.186.35.33) 59.345 ms 61.533 ms 60.000 ms

Les noms des routeurs

Les routeurs rencontrés sont identifiés par leur adresse IP. Les noms sont déduits par la commande traceroute en effectuant une résolution DNS inverse. Ceci explique que parfois, des routeurs restent sans nom. Le réseau n’a pas besoin de noms pour fonctionner, les IP suffisent. Les noms ne sont qu’une commodité humaine et certains routeurs n’ont pas de nom, ou ne sont pas enregistrés dans les DNS.

Il est possible d’utiliser traceroute en inhibant cette résolution inverse, avec l’option -n pour Linux et -d pour Windows :

1
2
3
4
5
6
7
8
9
10
11

# traceroute -n www.grenouille.com
traceroute to grenouille.com (213.186.35.33), 30 hops max, 38 byte packets
1 193.253.160.3 48.040 ms 56.429 ms 54.340 ms
2 80.10.209.226 44.764 ms 46.971 ms 45.490 ms
3 193.252.101.150 55.754 ms 55.560 ms 54.310 ms
4 193.252.103.110 62.424 ms 59.711 ms 59.073 ms
5 193.252.103.117 59.350 ms 60.026 ms 59.832 ms
6 193.252.103.245 59.268 ms 59.748 ms 59.659 ms
7 213.228.3.9 60.713 ms 59.398 ms 59.407 ms
8 213.186.32.250 59.671 ms 60.100 ms 60.012 ms
9 213.186.35.33 62.022 ms 61.125 ms 59.784 ms

Les effets pervers

Firewalls

Certains administrateurs de réseau choisissent de bloquer, au niveau de leurs firewalls, le protocole ICMP, voire UDP dans certaines conditions. Dans ces cas là, la commande s’arrêtera au firewall et l’on n’aura pas de moyen d’atteindre la cible.
Exemple :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

# traceroute www.ac-aix-marseille.fr
traceroute to www.ac-aix-marseille.fr (195.83.252.48), 30 hops max, 38 byte packets
1 193.253.160.3 (193.253.160.3) 49.984 ms 49.992 ms 47.760 ms
2 ge0-1-288.ncmar302.marseille.francetelecom.net (80.10.209.162) 44.552 ms 46.421 ms 48.032 ms
3 pos3-2.nrlyo202.lyon.francetelecom.net (193.252.101.150) 55.334 ms 55.368 ms 52.935 ms
4 pos12-0.ntsta302.paris.francetelecom.net (193.252.103.110) 62.087 ms 60.211 ms 59.782 ms
5 pos9-0.ntsta202.Paris.francetelecom.net (193.252.161.57) 72.558 ms 61.913 ms 58.383 ms
6 193.251.126.58 (193.251.126.58) 78.910 ms 132.230 ms 210.691 ms
7 P12-0.PASCR2.Pastourelle.opentransit.net (193.251.241.98) 61.748 ms 61.500 ms 59.772 ms
8 P4-0.BAGCR3.Bagnolet.opentransit.net (193.251.241.118) 59.706 ms 59.872 ms 60.783 ms
9 P1-0.BAGBB1.Bagnolet.opentransit.net (193.251.241.145) 59.702 ms 81.062 ms 59.816 ms
10 193.51.185.30 (193.51.185.30) 64.816 ms 64.783 ms 65.959 ms
11 marseille-pos1-0.cssi.renater.fr (193.51.179.222) 71.381 ms 71.092 ms 74.772 ms
12 rrthd-marseille.cssi.renater.fr (193.51.181.21) 71.464 ms 72.916 ms 70.732 ms
13 194.214.68.1 (194.214.68.1) 124.046 ms 72.166 ms 71.821 ms
14 194.214.68.14 (194.214.68.14) 71.751 ms 73.916 ms 72.813 ms
15 194.214.68.58 (194.214.68.58) 71.386 ms 74.283 ms 73.203 ms
16 * * *
* * *

A partir de la ligne 16, la commande n’est plus opérationnelle, à cause d’un firewall, parce que le site de l’académie (www.ac-aix-marseille.fr) est bien en service, on y accède sans problème avec son navigateur.

Notez sur cet exemple un autre effet pervers, qui vient de l’architecture centralisée de l’internet français. Un client marseillais abonné chez wanadoo (réseau France Telecom), pour joindre un serveur marseillais situé sur le réseau Renater (réseau des facultés et centres de recherche) devra passer par Paris, parce que FT et Renater sont inter connectés à Paris.

Ce que l’on voit

Un routeur, ça a au moins deux adresses IP, puisqu’un routeur a, pour ainsi dire, un pied dans chaque réseau qu’il interconnecte. L’adresse IP que l’on observe est celle par laquelle on arrive sur le routeur et non celle par laquelle on sort.
Si l’on peut faire un traceroute inverse (retour), même si la route inverse est rigoureusement la même que la route prise à l’aller, c’est à dire que l’on passe par les mêmes routeurs, mais dans l’autre sens (ce qui n’est pas une obligation), on ne les verra pas avec la même IP, et peut-être même pas avec le même nom…

Exemple d’un traceroute entre abonnés internet, l’un chez Wanadoo et l’autre chez Free :

De Free vers Wanadoo :

1
2
3
4
5
6
7
8
9
10

traceroute to 82.254.100.210 (82.254.100.210), 30 hops max, 38 byte packets
1 193.253.160.3 (193.253.160.3) 49.092 ms 48.815 ms 48.445 ms
2 GE1-2-278.ncmar302.Marseille.francetelecom.net (80.10.209.130) 48.027 ms 46.218 ms 57.819 ms
3 pos3-1.nrlyo202.Lyon.francetelecom.net (193.252.101.78) 55.369 ms 54.066 ms 55.977 ms
4 pos12-0.ntsta302.paris.francetelecom.net (193.252.103.110) 61.408 ms 80.927 ms 62.094 ms
5 pos0-0-0-0.nosta102.paris.francetelecom.net (193.252.103.117) 60.625 ms 60.402 ms 60.799 ms
6 193.252.103.245 (193.252.103.245) 96.092 ms 206.448 ms 204.356 ms
7 vlq-6k-2-a6.routers.proxad.net (213.228.3.2) 59.570 ms 59.125 ms 59.854 ms
8 lns-vlq-34.routers.proxad.net (212.27.37.135) 60.596 ms 61.595 ms 61.764 ms
9 * * *

De Wanadoo vers Free :

1
2
3
4
5
6
7
8
9
10

traceroute to 81.248.157.2 (81.248.157.2), 30 hops max, 38 byte packets
1 192.168.254.254 (192.168.254.254) 77.602 ms 75.361 ms 72.546 ms
2 vlq-6k-2-a11.routers.proxad.net (212.27.37.190) 81.982 ms 80.366 ms 75.324 ms
3 th1-6k-2-a6.routers.proxad.net (213.228.3.6) 80.724 ms 76.804 ms 72.377 ms
4 GE1-27.nosta102.Paris.francetelecom.net (193.252.103.246) 80.681 ms 67.788 ms 65.691 ms
5 pos5-0.ntsta302.Paris.francetelecom.net (193.252.103.118) 65.108 ms 69.131 ms 65.011 ms
6 pos9-0.nrlyo202.Lyon.francetelecom.net (193.252.103.109) 75.432 ms 76.656 ms 73.272 ms
7 pos9-0.ncmar302.Marseille.francetelecom.net (193.252.101.149) 79.524 ms 83.071 ms 75.993 ms
8 bsmar207-NET2GE9-0.279.francetelecom.net (80.10.209.201) 84.398 ms 80.792 ms 82.218 ms
9 * * *

Les deux clients ont un firewall qui bloque le fonctionnement de la commande (ligne 9 dans les deux cas)

Bien qu’ici les routes aller et retour semblent être les mêmes, du moins au niveau des réseaux traversés, rien ne peut certifier que l’on passe par les mêmes routeurs physiques. L’important est que les deux routes existent.

Il peut parfaitement se faire que les deux routes ne soient pas du tout les mêmes, ce qui pose un problème philosophique de taille :
Nous visualisons toujours la route aller (source vers cible) et jamais la route retour. Hors, de part le fonctionnement même de traceroute, les paquets ICMP « durée de vie dépassée » qu’envoient chaque routeur à la source, empruntent chacun une route qui peut être différente et que l’on ne peut visualiser…
Le temps de réponse affiché tient compte des temps aller et retour, le temps retour peut être (beaucoup) plus long que le temps aller, suivant la route empruntée au retour…
Bref, on ne sait plus très bien ce que l’on mesure.

Pour aller plus loin

* la RFC 792 qui décrit le protocole ICMP (en français) ;
* L’internet rapide et permanent pour comprendre comment sont inter-connectés les réseaux des opérateurs ;
* toujours L’internet rapide et permanent pour comprendre le principe du routage (des connaissances approfondies de IP sont nécessaires) ;
* et encore L’internet rapide et permanent si vous voulez raffraîchir vos connaissances sur IP ;
* n’oubliez pas le site CCM fort utile ;
* ni le très bon site frameip.