Catégories
conférences

Hack.lu 2011 – Sniffjoke project

Sniffjoke project
par
Claudio Agosti

L’évasion de NIDS n’est pas toute jeune, les premieres réfèrences datent de 1998, et un ensemble de softs et de techniques furent misent au point pour maltraiter les NIDS (fragrouter, libdnet, innova, FTester, stonesoft).
Le problème des NIDS? C’est qu’ils doivent reconstituer les paquets, les sessions pour pouvoir effectuer leur travail de détection. Le problème c’est que tout ça coute en mémoire, et que l’attaquant peut profiter des défauts des piles et parsers implémentés dans le NIDS pour faire de l’évasion, lui faire « oublier » des paquets, rendant la signature inefficace.

Il n’y a pas suffisamment d’informations dans les paquets transmits pour pouvoir reconstituer correctement le flux d’information. Plusieurs patchs furent appliqués pour améliorer les capacités de re-assemblage, mais les fonctions demandés aux NIDS sont plus complexes que celles demandés à un simple Sniffer.

Coté Sniffing de masse, il y a quelques années, les machines n’avaient pas la capacité de calcul nécessaire pour traiter 10gbps de données réseau brutes, mais maintenant c’est le cas !

L’objectif de sniffjoke est de prouver qu’on ne peut rien obtenir en terme de sécurité par l’analyse réseau et le sniffing. Sniffjoke implémente donc plusieurs techniques pour dégrader et malmener ces outils d’interception massive. Du fait du débit, les outils de sniffing et d’analyse réseau doivent faire des estimations et « ratent » volontairement certaines informations pour alléger le traitement. Sniffjoke joue sur ces défauts pour dégrader leur performances et finalement échapper à leur capacités d’interception.

l’attaque se fait en deux étapes, le brouillage qui viens désynchroniser le sniffer dans son travail de suivis des paquets, puis une injection des paquets souhaités. l’auteur rentre dans les détails des implémentations de TCP, ce qui fait penser aux travaux de gomor sur SinFP, qui se base sur ces particularités. L’idée pour l’auteur, c’est de faire passer un OS pour un autre aux yeux d’un fingerprinter passif (à la façon d’un IP Morph).

http://www.delirandom.net/sniffjoke

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *