de mon point de vue c'est ici exactement la même technique à base d'incrémentation d'IP ID qui existe effectivement depuis des lustres grâce au travail d'antirez sur hping. Tu parles d'Idle Host Scan, et l'article aussi...
ensuite pour ce qui est de l'article de phrack présenté. Il est très verbeux et sans fond. Sa méthode suppose qu'on puisse décrire des scénarios complet d'attaque ce qui s'avère assez complexe et de plus il parle d'utiliser des IA alors que les tests à base de réseaux de neurone se montrer exceptionnellement lent et surtout trop strict (pas assez d'approximation dû aux méthodes d'apprentissage). Ca pourrait facilement être implémenté dans des IDS network-based/knowledge-based classique en ayant un meta-langage de description d'attaque permettant de chaîner ces attaques pour donner un scénario (avec des alertes de plus en plus fortes selon l'avancement dans le scénario ou dans le réseau).
Je recommande aussi de lire le travail effectué pour NIDES/EMERALD, un IDS experimental efficace et behavior-based (detection statistique, profiling...).
En terme d'IDS les articles de phrack sont malheureusement peut intéressant. Chercher sur le projet IDS de l'université de colombia (/me se touche sur les papers de lee et stolfo ;).
A noter qu'utiliser des proxies c'est bien gentil mais ça ne change strictement rien à la détection des scans par les IDS. Ce qui va changer c'est qu'on ne remontera pas jusqu'à l'attaquant. C'est certes embêtant en forensic mais aussi trivial qu'inutile en détection (signatures ou scénarios resteront les mêmes, seule l'adresse change).
Sinon moa j'ai une petite question : Reverse Path Forwarding est il disponible ou prévu sous FreeBSD (ou autre *BSD/Linux) ? Le RPF peut s'avérer très utile pour contrer le spoofing mais je ne le vois que sur des routeurs Cisco/Juniper.
[^] # Re: Idle Spoof Scanning
Posté par vjm . En réponse à la dépêche Scan par témoin. Évalué à 3.
ensuite pour ce qui est de l'article de phrack présenté. Il est très verbeux et sans fond. Sa méthode suppose qu'on puisse décrire des scénarios complet d'attaque ce qui s'avère assez complexe et de plus il parle d'utiliser des IA alors que les tests à base de réseaux de neurone se montrer exceptionnellement lent et surtout trop strict (pas assez d'approximation dû aux méthodes d'apprentissage). Ca pourrait facilement être implémenté dans des IDS network-based/knowledge-based classique en ayant un meta-langage de description d'attaque permettant de chaîner ces attaques pour donner un scénario (avec des alertes de plus en plus fortes selon l'avancement dans le scénario ou dans le réseau).
Je recommande aussi de lire le travail effectué pour NIDES/EMERALD, un IDS experimental efficace et behavior-based (detection statistique, profiling...).
En terme d'IDS les articles de phrack sont malheureusement peut intéressant. Chercher sur le projet IDS de l'université de colombia (/me se touche sur les papers de lee et stolfo ;).
http://www.sdl.sri.com/projects/nides/(...(...))
http://prelude.sourceforge.net/(...(...))
http://www.cs.columbia.edu/ids/(...(...))
A noter qu'utiliser des proxies c'est bien gentil mais ça ne change strictement rien à la détection des scans par les IDS. Ce qui va changer c'est qu'on ne remontera pas jusqu'à l'attaquant. C'est certes embêtant en forensic mais aussi trivial qu'inutile en détection (signatures ou scénarios resteront les mêmes, seule l'adresse change).
Sinon moa j'ai une petite question : Reverse Path Forwarding est il disponible ou prévu sous FreeBSD (ou autre *BSD/Linux) ? Le RPF peut s'avérer très utile pour contrer le spoofing mais je ne le vois que sur des routeurs Cisco/Juniper.