Fr�d�ric Massot a �crit :
JB - DUF wrote:
L'id�e de montrer la cible TTL est de prouver que l'on peut faire un
d�but de normalisation de paquet (ne pas montrer le nombre de 'hop' du
r�seau interne par exemple).
Bonjour,
Je profite de ce fil pour poser quelques questions sur Netfilter et la
normalisation de paquet :o)
- Qu'entend t'on par normalisation de paquet ?
La normalisation de paquet, tr�s rapidement, est l'op�ration qui
consiste � modifier les paquets afin de les rendre les plus "anonymes"
possible. Par exemple, en ce qui concerne le TTL qui est le point qui me
pr�occupe, lorsque ton paquet sort de ton r�seau
interne_super_bien_prot�g�_avec_plein_de_routeur, le TTL est d�crement�
d'autant de hop. L'id�e est alors de modifier le TTL du paquet � la
vol�e pour le faire sortir "comme neuf", c-a-d comme s'il n'y avait
qu'une seule machine (le firewall) sur la connexion.
Une autre application, mais l� je ne crois pas qu'il y ait quoi que ce
soit d'op�rationnel, pourrait �tre de revoir les num�ros de s�quences
TCP afin de masquer la pr�sence d'un OS dnas les num�ros de s�quence TCP
sont particuli�rement pr�visible (non, non, je ne donnerai aucun nom :-D )
Ca c'est pour le sens sortant.
Mais cela peut avoir un int�r�t pour le sens entrant car cela permet de
d�finir un format de paquet pr�cis (pas de fragmentation par exemple) en
entr�e, d'adapter au besoin les paquets, et d'avoir un r�seau "plus
propre"... en tout cas au contenu plus pr�visible (mais pas forc�ment
moins dangereux, cf. couche 7)
Enfin, dans les 2 sens, cela peut permettre de remettre � des valeurs
par d�faut des champs dont on sait qu'ils ne servent � rien... sauf de
canal cach� (payload d'icmp echo-request / reply par exemple) et donc,
limiter la fuite d'information (cf. un des derniers MISC sur le sujet et
je n'ai pas d'action chez eux ;-) )
Bref, le champ d'application est assez vaste et comme on s'y int�resse
pas mal au boulot, je m'entra�ne ;-)
- Est-ce que Netfilter peut normaliser les paquets, je crois que IP
Filter le peut ?
Tout d�pend ce qu'on sous-entend par normaliser, le champ d'application
est tr�s vaste (les champs des paquets aussi ;), cf. ci-dessus
@+
JB
--
Pensez � lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
