Re: iptables et cible TTL

To: DUF <debian-user-french@lists.debian.org>
Subject: Re: iptables et cible TTL
From: JB - DUF <jean-b.favre-no-spam@wanadoo.fr>
Date: Fri, 27 May 2005 18:12:03 +0200
Message-id: <[🔎] 429746D3.7020904@wanadoo.fr>
Reply-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 4296CD1A.6040204@juliana-multimedia.com>
References: <[🔎] 4294B7D8.6050107@wanadoo.fr> <[🔎] 4294F831.5050308@plouf.fr.eu.org> <[🔎] 4295ABE7.9090205@plouf.fr.eu.org> <[🔎] 429606DC.3070506@wanadoo.fr> <[🔎] 4296CD1A.6040204@juliana-multimedia.com>

Frédéric Massot a écrit :

JB - DUF wrote:
L'idée de montrer la cible TTL est de prouver que l'on peut faire undébut de normalisation de paquet (ne pas montrer le nombre de 'hop' duréseau interne par exemple).
Bonjour,
Je profite de ce fil pour poser quelques questions sur Netfilter et lanormalisation de paquet :o)
- Qu'entend t'on par normalisation de paquet ?

La normalisation de paquet, très rapidement, est l'opération quiconsiste à modifier les paquets afin de les rendre les plus "anonymes"possible. Par exemple, en ce qui concerne le TTL qui est le point qui mepréoccupe, lorsque ton paquet sort de ton réseauinterne_super_bien_protégé_avec_plein_de_routeur, le TTL est décrementéd'autant de hop. L'idée est alors de modifier le TTL du paquet à lavolée pour le faire sortir "comme neuf", c-a-d comme s'il n'y avaitqu'une seule machine (le firewall) sur la connexion.Une autre application, mais là je ne crois pas qu'il y ait quoi que cesoit d'opérationnel, pourrait être de revoir les numéros de séquencesTCP afin de masquer la présence d'un OS dnas les numéros de séquence TCPsont particulièrement prévisible (non, non, je ne donnerai aucun nom :-D )

Ca c'est pour le sens sortant.

Mais cela peut avoir un intérêt pour le sens entrant car cela permet dedéfinir un format de paquet précis (pas de fragmentation par exemple) enentrée, d'adapter au besoin les paquets, et d'avoir un réseau "pluspropre"... en tout cas au contenu plus prévisible (mais pas forcémentmoins dangereux, cf. couche 7)

Enfin, dans les 2 sens, cela peut permettre de remettre à des valeurspar défaut des champs dont on sait qu'ils ne servent à rien... sauf decanal caché (payload d'icmp echo-request / reply par exemple) et donc,limiter la fuite d'information (cf. un des derniers MISC sur le sujet etje n'ai pas d'action chez eux ;-) )

Bref, le champ d'application est assez vaste et comme on s'y intéressepas mal au boulot, je m'entraîne ;-)

- Est-ce que Netfilter peut normaliser les paquets, je crois que IPFilter le peut ?

Tout dépend ce qu'on sous-entend par normaliser, le champ d'applicationest très vaste (les champs des paquets aussi ;), cf. ci-dessus


@+
JB

Reply to:

References:
- iptables et cible TTL
  - From: JB - DUF <jbfavre-no-spam@wanadoo.fr>
- Re: iptables et cible TTL
  - From: "Pascal@plouf" <pascal.mail@plouf.fr.eu.org>
- Re: iptables et cible TTL
  - From: "Pascal@plouf" <pascal.mail@plouf.fr.eu.org>
- Re: iptables et cible TTL
  - From: JB - DUF <jean-b.favre-no-spam@wanadoo.fr>
- Re: iptables et cible TTL
  - From: Frédéric Massot <frederic@juliana-multimedia.com>

Prev by Date: Re: Exploitation d'un calendrier Exchange... [+ Evolution]
Next by Date: Re: [HS] Europe et Libre : quelle relation ?
Previous by thread: Re: iptables et cible TTL
Next by thread: [Curiosité] iptables et cible TTL
Index(es):
- Date
- Thread