Documente Academic
Documente Profesional
Documente Cultură
tcpip_appareil
5/08/03, 16:10
security scanner
ACK, RST, SYN
SEQ, ICMP, FIN
URG, PUSH
Syslog
Objectifs
Savoir utiliser quelques outils daudit rseaux tels que nmap et SAINT.
Contenu
Laudit
nmap
SAINT
snort
References
Livres
Network Troubleshooting Tools, par J.D. Sloan.
Halte aux hackers, par S. McClure.
21-1
Module 21 : Laudit
L audit
n
Introduction
Comment tre sr que son rseau ne peut tre attaqu ?
Une des meilleures techniques pour le savoir est de se mettre la place du pirate et de
lattaquer soi-mme.
Une autre technique est dessayer de dtecter si on est attaqu ou si on a t attaqu.
21-2
Module 21 : Laudit
Les outils commerciaux
CyberCop Ce logiciel est produit par Network Associates.
ISS
Scanner
ippl
Gnre des messages pour Syslog concernant les messages ICMP reus,
les connexions TCP et les paquets UDP.
La suite du module
Le module se poursuit par ltude de nmap, de SAINT et snort. On a choisi ces
outils pour leur puissance mais galement pour leur simplicit demploi.
Rfrences
Internet
http://www.nessus.org
Le site officiel du logiciel Nessus.
http://pltplp.net/ippl/
Le logiciel ippl.
http://www.snort.org
Le site du logiciel snort.
http://www.iss.net
Le site de la socit ISS.
http://www.pgp.com/products/cybercop-scanner/default.asp
Le logiciel CyberCop.
http://www.wwdsi.com/saint/ Le site officiel du logiciel SAINT.
http://www.insecure.org/nmap/ Le logiciel nmap.
Livres
Network Troubleshooting Tools, par J.D. Sloan.
Building Secure Servers with Linux, par M.D. Bauer.
Dcrit notamment les techniques dintrusion et la commande snort.
Halte aux hackers, par S. McClure.
Prsente les techniques utilises par les pirates pour pirater un rseau. Donne
brivement les parades.
21-3
Module 21 : Laudit
nmap
n
Balayer un rseau
nmap -sP 192.168.0.0/24
nmap -sP 192.168.*.*
nmap -sP 192.168.218.1,4,5,11-20
Dterminer lOS
nmap -O 192.168.218.15
Introduction
Lapplication nmap, disponible sous licence GPL, est un outil qui possde plusieurs
fonctionnalits. Il sert principalement de scanner de ports, en franais un outil qui
balaye les ports rseaux et dtermine les applications rseaux actives. On peut
galement utiliser nmap pour dcouvrir les machines actives dun rseau (scanner IP)
et leur systme dexploitation.
Loutil nmap est trs puissant, on ne prsente ici que quelques options. Il faut tre
conscient quil peut tre utilis galement comme une arme par un pirate pour trouver
les failles dun systme ou dun pare-feu.
Syntaxe
nmap [type_d_analyse] [option ...] (hte | rseau)...
Balaye les ports TPC en utilisant la connexion TCP (le programme ralise une
dconnexion aussitt la connexion tablie). Cest le type danalyse par dfaut.
-sS
Balaye les ports TCP en utilisant lenvoi de paquets SYN (le programme
attend simplement le paquet ACK accusant rception du paquet SYN).
21-4
Utilise un paquet FIN. Normalement un hte qui reoit un paquet FIN pour un
port TCP ferm doit rpondre par un paquet RST. Si le port est ouvert, le
paquet est ignor (RFC 793). Microsoft, sur ses systmes 95/NT, ne respecte
pas les RFCs.
Module 21 : Laudit
-sX
-sN
-sP
Dtermine les htes actifs dun rseau. Par dfaut, en utilisant loption -PB.
Voir les options -PT, -PS, -PI, -PB un peu plus loin.
-sU
-s0
-sA
Balaye les ports TCP en utilisant des paquets ACK (avec des SEQ et ACK
alatoires). Le programme attend un paquet RST. Si le programme ne reoit
rien ou un message ICMP destination unreachable, les paquets
passent sans doute par lintermdiaire dun pare-feu.
-sR
Balaye les programmes RPC. Cette mthode est utilise en combinaison avec
une autre mthode danalyse (par exemple -sU ou -sT).
-PT[<port>]
-PS
-PI
-PB
-O
-p <domaine>
-F
-n
-R
-v
Mode bavard.
-vv
-oN,-oX,-oG fic
-D <leure[, ...]>
-S <adresse>
21-5
Module 21 : Laudit
-T <temps>
-R
-h
Exemples
Lusage par dfaut : balayer les ports TCP
- On balaye les principaux ports TCP, ici dun hte.
# nmap pikachu
Starting nmap V. 2.54BETA34 ( www.insecure.org/nmap/ )
Interesting ports on pikachu.pokemon (192.168.218.1):
(The 1555 ports scanned but not shown below are in state: closed)
Port
State
Service
139/tcp
open
netbios-ssn
Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
On balaye un rseau
- On balaye un rseau en utilisant les messages du ping et des paquets TCP ACK. Le
rseau est spcifi par un couple adresse_IP/netmask.
21-6
Module 21 : Laudit
# nmap -sP 192.168.218.0/24
Starting nmap V. 2.54BETA34 ( www.insecure.org/nmap/ )
Host pikachu.pokemon (192.168.218.1) appears to be up.
Host bulbizarre.pokemon (192.168.218.10) appears to be up.
Host (192.168.218.14) appears to be up.
Nmap run completed -- 256 IP addresses (3 hosts up) scanned in 4
seconds
- On balaye le rseau, mais on utilise uniquement des paquets TCP ACK sur le port
80 sans utiliser le ping .
# nmap -sP -PT 192.168.218.1-20
Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Host pikachu.pokemon (192.168.218.1) appears to be up.
Host bulbizarre.pokemon (192.168.218.10) appears to be up.
Host salameche.pokemon (192.168.218.12) appears to be up.
Host psykokwak.pokemon (192.168.218.14) appears to be up.
Host dracaufeu.pokemon (192.168.218.15) appears to be up.
Host miaous.pokemon (192.168.218.16) appears to be up.
Host raichu.pokemon (192.168.218.17) appears to be up.
Host nidoran.pokemon (192.168.218.18) appears to be up.
192.168.218.1
21-7
Module 21 : Laudit
37/udp
open
time
53/udp
open
domain
111/udp
open
sunrpc
137/udp
open
netbios-ns
138/udp
open
netbios-dgm
517/udp
open
talk
518/udp
open
ntalk
855/udp
open
unknown
858/udp
open
unknown
863/udp
open
unknown
1024/udp
open
unknown
1026/udp
open
unknown
2049/udp
open
nfs
Nmap run completed -- 1 IP address (1 host up) scanned in 12 seconds
21-8
Module 21 : Laudit
137/udp
138/udp
517/udp
518/udp
855/udp
858/udp
863/udp
1024/udp
1026/udp
2049/udp
open
open
open
open
open
open
open
open
open
open
netbios-ns
netbios-dgm
talk
ntalk
(status V1)
(mountd V1-2)
(mountd V1-2)
(nlockmgr V1-3)
unknown
nfs (RPC (Unknown Prog #))
Rfrences
Man
nmap(1)
Internet
http://www.insecure.org/nmap
Le site officiel de nmap.
http://www.insecure.org/nmap/nmap_documentation.html
La documentation de nmap.
Magazine
Linux Magazine Hors-Srie N13 : Nmap par la pratique
Livre
Network Troubleshooting, par J.D. Sloan.
21-9
Module 21 : Laudit
Saint
n
La vision client/serveur
On active le serveur. On y accde ensuite grce un navigateur pour
configurer lanalyse et tudier les rsultats.
La configuration de lanalyse
l
Niveau danalyse
Introduction
Le logiciel SAINT (Security Administrators Integrated Network Tool) est un
simulateur dintrusion, on utilise galement le terme de scanner de scurit. Ce
type dapplication essaye danalyser un rseau et den trouver les failles. SAINT a t
cr par la socit World Wide Digital Security. Il constitue en fait une version
amliore du logiciel SATAN de Dan Farmer.
SAINT fonctionne comme un systme expert. On lui indique un ordinateur ou un
rseau cible. SAINT recherche les ports actifs du premier systme quil doit analyser
et effectue des tests sur ces ports (SAINT est donc, en autres, un scanner rseau et un
scanner de ports comme nmap). Les informations recueillies alimentent sa base de
connaissances. SAINT ralise alors de nouveaux tests qui eux-mmes grossissent la
base. SAINT examine ensuite les autres ordinateurs du rseau ainsi que les systmes
ajouts dans la base. Ainsi, de proche en proche, SAINT peut analyser tout le rseau et
trouver toutes ses failles.
SAINT fonctionne en mode texte ou avec linterface Web. Il est possible de lutiliser
distance.
Un des points trs intressants de SAINT est quil est extensible. En effet, on peut lui
ajouter un programme danalyse, le plus souvent en PERL, pour dtecter un nouveau
type de faille.
Utilisation lmentaire
Il y a plusieurs manires dutiliser Saint. La plus simple est dactiver un serveur sur le
systme Linux et ensuite de piloter le logiciel distance partir dun navigateur Web.
Cest la technique qui est dcrite dans ce paragraphe. On peut aussi donner les
instructions au logiciel par lintermdiaire des arguments de la ligne de commande ou
bien via un fichier de configuration.
21-10
Module 21 : Laudit
Activation de SAINT
1er exemple : utilisation locale
Dans lenvironnement graphique, partir dune fentre terminal, on active la
commande saint. Le logiciel active son tour dans une fentre graphique le
navigateur par dfaut. La page daccueil saffiche. Lutilisateur na pas besoin de
sauthentifier.
bulbizarre:~ #
saint
21-11
Module 21 : Laudit
Password:
Starting SAINT server on port 1414
bulbizarre:~/saint-3.4.10 #
Configuration de lanalyse
Dans les pages Web de Saint, un menu sur le ct contient les principales actions
possibles. Le bouton Target Selection provoque laffichage du formulaire qui
donne accs la configuration de lanalyse.
21-12
Module 21 : Laudit
.
Figure N3 : La collecte des donnes.
21-13
Module 21 : Laudit
Vulnerabilities . Les rsultats sont prsents en fonction du type de faille de
scurit.
Information . Les informations concernant les systmes et leurs failles de
scurit sont affiches en fonction du rseau ou de lhte que lon choisit.
Trust . Les htes sont classs en fonction du nombre de systmes quils ont en
relations de confiance.
Module 21 : Laudit
Les failles de scurit sont prsentes sous forme de lien hypertexte. Si on active un de
ces liens, on affiche une page dcrivant dans le dtail la faille et les mesures prendre
pour la corriger. Frquemment cette page rfrence dautres pages Internet pour un
complment dinformation.
Larborescence de logiciel
bin/
config/
html/
results/
rules/
status_file
saint
La commande saint.
La configuration de SAINT
La configuration du logiciel SAINT est mmorise par dfaut dans le fichier
saint.cf, prsent dans le sous-rpertoire config du rpertoire dinstallation. Lors de
la configuration de lanalyse ou via la ligne de commande, on peut indiquer un fichier
diffrent de saint.cf.
On peut modifier directement le fichier de configuration, mais un minimum de
connaissances du langage Perl est ncessaire pour lexploiter compltement. Il est
Tsoft/Eyrolles TCP/IP sous Linux
21-15
Module 21 : Laudit
galement possible dutiliser linterface Web, via le bouton Config. Mgmt. qui
affiche un formulaire de mise jour du fichier de configuration. Les arguments de la
ligne de commande sont prioritaires sur le fichier de configuration et autorisent aussi
changer la configuration (cf. man saint(1)).
Le niveau dattaque
La premire section spcifie le niveau dattaque. Il prsente les niveaux suivants :
- Light : Lger
- Normal : Normal
- Heavy : Fort
- Heavy + : Trs fort
- Top 20 : Les failles les plus importantes (cf http://www.sans.org/top20.htm)
- Custom : Niveau cr par ladministrateur
Ce paramtre est trs important car il dcide des tests (probes) qui seront dclenchs
durant la phase de recueil des donnes.
Si lon veut modifier un niveau ou en crer un nouveau, on est oblig dditer le
fichier de configuration. Voici par exemple la section qui dcrit le niveau Light .
@light = (
dns.saint,
ostype.saint,
rpc.saint,
showmount.saint,
);
Les spcialistes Perl constateront que le niveau Light est en fait un tableau qui contient
le nom des tests (Probe) effectuer. Ces tests se trouvent dans le sous-rpertoire bin
de SAINT.
Le multitche
Si lon dsire augmenter la vitesse danalyse dun rseau, il est possible deffectuer
plusieurs tests simultanment. Le paramtre Maximum Threads prcise ce nombre.
21-16
Module 21 : Laudit
Effectuer des tests dangereux
Certains tests sont dangereux pour les machines explores. Lutilisateur de SAINT
peut dcider de les activer ou non.
La proximit dexploration
Le paramtre Maximal proximity est un paramtre trs dangereux. Il faut tout
fait comprendre ses implications.
- La valeur 0 indique que lon analyse uniquement les machines que lon a
spcifies explicitement. Cest la valeur par dfaut. Cest galement la valeur
conseille !
- La valeur 1 indique que lon analyse galement les machines qui sont rfrences
par les machines analyses. Par exemple le serveur DNS du rseau.
- La valeur 2 indique que lon analyse aussi les machines rfrences par les
machines rfrences par les machines analyses (deux niveaux dindirection). Et
ainsi de suite.
Le paramtre Proximity descent essaye de diminuer la dangerosit du paramtre
prcdent. Il diminue le niveau de lattaque pour les machines analyses en
indirection.
Il est possible galement dindiquer si on tend lanalyse tout le rseau ou si lon se
limite uniquement aux cibles spcifies.
21-17
Module 21 : Laudit
Attaque derrire un pare-feu
Si les postes analyss sont derrire un pare-feu (vis--vis du poste attaquant), il faut le
prciser.
Rfrences
Man
saint(1)
La documentation en ligne
Quand on accde Saint en mode Web, le bouton Documentation donne
accs la documentation en ligne. Elle est trs complte.
Internet
http://www.saintcorporation.com/saint/
Le site officiel de Saint.
http://www.cve.mitre.org
CVE (les failles les plus courantes).
http://www.sans.org/top20/
Les vingt failles rseaux les plus importantes.
Livre
Protecting Networks with SATAN, par M. Freiss.
21-18
Module 21 : Laudit
Snort
n
Capture de paquets
l
Dtection dintrusion
snort -d -h 192.168.218.10/24 -c snort.conf
Description
Le logiciel snort est un dtecteur dintrusion en Open Source. On peut lutiliser pour
dtecter une grande varit dattaques (scan de ports, buffer overflow, ...).
La dtection est paramtrable par des rgles qui prcisent le type de contenu attendu
dans les paquets dintrusion.
Ladministrateur est averti de plusieurs manires : grce un fichier alert, via le
service Syslog, ou via le service WinPopup.
snort est dabord un dtecteur dintrusion. On peut aussi lutiliser comme un
analyseur de protocoles similaire tcpdump.
Syntaxe
snort
[option...] [expression]
-c fichier
-s
-M hte
21-19
Module 21 : Laudit
-D
-A mode
-l rpertoire
-b
-L fichier
-N
-d
-C
-e
-a
-r fic
-i carte
-h rseau
-n nb
-q
Exemples
Capture de paquets
On capture tous les paquets provenant ou destins au poste 192.168.218.10. On
redirige la sortie dans le fichier capture. On arrte snort par CTRL-C.
# snort -v host 192.168.218.10 > capture 2>&1
^C
# more capture
-*> Snort! <*Version 1.8.1-RELEASE (Build 74)
By Martin Roesch (roesch@sourcefire.com, www.snort.org)
====================================================================
Snort analyzed 2 out of 2 packets, dropping 0(0.000%) packets
Breakdown by protocol:
Action Stats:
TCP: 0
(0.000%)
ALERTS: 0
UDP: 0
(0.000%)
LOGGED: 0
ICMP: 2
(100.000%)
PASSED: 0
ARP: 0
(0.000%)
IPv6: 0
(0.000%)
IPX: 0
(0.000%)
OTHER: 0
(0.000%)
DISCARD: 0
(0.000%)
====================================================================
21-20
Module 21 : Laudit
Fragmentation Stats:
Fragmented IP Packets: 0
(0.000%)
Fragment Trackers: 0
Rebuilt IP Packets: 0
Frag elements used: 0
Discarded(incomplete): 0
Discarded(timeout): 0
Frag2 memory faults: 0
====================================================================
TCP Stream Reassembly Stats:
TCP Packets Used: 0
(0.000%)
Stream Trackers: 0
Stream flushes: 0
Segments used: 0
Stream4 Memory Faults: 0
====================================================================
Log directory =
--== Initializing Snort ==-Initializing Network Interface eth0
Decoding Ethernet on interface eth0
--== Initialization Complete ==-01/19-13:27:12.567657 192.168.218.1 -> 192.168.218.10
ICMP TTL:32 TOS:0x0 ID:27532 IpLen:20 DgmLen:60
Type:8 Code:0 ID:1
Seq:7 ECHO
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/19-13:27:12.567852 192.168.218.10 -> 192.168.218.1
ICMP TTL:255 TOS:0x0 ID:64782 IpLen:20 DgmLen:60
Type:0 Code:0 ID:1 Seq:7 ECHO REPLY
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
Snort received signal 2, exiting
Autres exemples
- On capture des paquets, on affiche les donnes de la couche liaison et de la couche
application.
# snort -v -d -e > capture 2>&1
# more capture
...
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
01/19-13:41:06.321304 0:40:5:49:FA:67 -> 0:50:BA:31:C9:EC type:0x800
len:0x3F
192.168.218.1:1244 -> 192.168.218.10:21 TCP TTL:32 TOS:0x0 ID:13967
IpLen:20 DgmLen:49 DF
***AP*** Seq: 0x9B83BA6 Ack: 0x2A625958 Win: 0x21E8 TcpLen: 20
55 53 45 52 20 6A 66 0D 0A
USER jf..
...
21-21
Module 21 : Laudit
Dtection dintrusion
- On active le mode Dtection dintrusion . On utilise le fichier de rgles contenu
dans le paquetage (/etc/snort/snort.conf). Les alertes sont mmorises
dans le fichier /var/log/alert. La commande tail -f
/var/log/alert permet de voir en temps rel le fichier. Le fichier
portscan.log donne le dtail du scanning de ports. Dans lexemple, on a
utilis le logiciel Saint pour simuler une intrusion.
# snort -d -h 192.168.218.0/24 -c /etc/snort/snort.conf
^C
# more /var/log/alert
[**] [100:1:1] spp_portscan: PORTSCAN DETECTED from 192.168.218.10
(THRESHOLD 4 connections exceeded in 1 seconds) [**]
01/19-13:59:31.095606
[**] [111:12:1] spp_stream4: NMAP FINGERPRINT (stateful) detection [**]
01/19-14:09:34.440780 192.168.218.10:51543 -> 192.168.218.12:22
TCP TTL:41 TOS:0x0 ID:22429 IpLen:20 DgmLen:60
***A**** Seq: 0x4B3C1C55 Ack: 0x0 Win: 0x800 TcpLen: 40
TCP Options (5) => WS: 10 NOP MSS: 265 TS: 1061109567 0 EOL
[**] [1:628:1] SCAN nmap TCP [**]
[Classification: Attempted Information Leak] [Priority: 3]
01/19-14:09:34.440944 192.168.218.10:51545 -> 192.168.218.12:25
TCP TTL:41 TOS:0x0 ID:27582 IpLen:20 DgmLen:60
***A**** Seq: 0x4B3C1C55 Ack: 0x0 Win: 0x800 TcpLen: 40
TCP Options (5) => WS: 10 NOP MSS: 265 TS: 1061109567 0 EOL
[Xref => http://www.whitehats.com/info/IDS28]
[**] [1:239:1] DDOS shaft handler to agent [**]
[Classification: Attempted Denial of Service] [Priority: 6]
01/19-13:59:31.090771 192.168.218.10:1406 -> 192.168.218.12:18753
UDP TTL:64 TOS:0x0 ID:51 IpLen:20 DgmLen:49
Len: 29
[Xref => http://www.whitehats.com/info/IDS255]
[**] [1:245:1] DDOS mstream handler ping to agent [**]
[Classification: Attempted Denial of Service] [Priority: 6]
01/19-13:59:31.090982 192.168.218.10:1406 -> 192.168.218.12:10498
UDP TTL:64 TOS:0x0 ID:53 IpLen:20 DgmLen:32
Len: 12
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2000-0138]
[**] [1:220:1] BACKDOOR HideSource backdoor attempt [**]
21-22
Module 21 : Laudit
01/19-14:10:37.186320 192.168.218.10:4431 -> 192.168.218.12:23
TCP TTL:64 TOS:0x0 ID:24359 IpLen:20 DgmLen:58 DF
***AP*** Seq: 0x99C975A3 Ack: 0x9F1CB791 Win: 0x7D78 TcpLen: 32
TCP Options (3) => NOP NOP TS: 334785546 43974158
[**] [1:358:1] FTP saint scan [**]
[Classification: Attempted Information Leak] [Priority: 3]
01/19-14:10:42.324375 192.168.218.10:4456 -> 192.168.218.12:21
TCP TTL:64 TOS:0x10 ID:24749 IpLen:20 DgmLen:66 DF
***AP*** Seq: 0x99ADE4FB Ack: 0xA0349FCD Win: 0xFE88 TcpLen: 32
TCP Options (3) => NOP NOP TS: 334786060 43974672
[Xref => http://www.whitehats.com/info/IDS330]
...
# more
Jan 19
Jan 19
Jan 19
Jan 19
Jan 19
Jan 19
Jan 19
Jan 19
Jan 19
Jan 19
Jan 19
Jan 19
...
portscan.log
13:59:30 192.168.218.10:3775 -> 192.168.218.12:65535 SYN ******S*
13:59:30 192.168.218.10:899 -> 192.168.218.12:111 SYN ******S*
13:59:31 192.168.218.10:1406 -> 192.168.218.12:27444 UDP
13:59:31 192.168.218.10:1406 -> 192.168.218.12:34555 UDP
13:59:31 192.168.218.10:1406 -> 192.168.218.12:18753 UDP
13:59:31 192.168.218.10:1406 -> 192.168.218.12:7983 UDP
13:59:31 192.168.218.10:1406 -> 192.168.218.12:10498 UDP
13:59:32 192.168.218.10:1406 -> 192.168.218.12:1 UDP
13:59:31 192.168.218.10:3776 -> 192.168.218.12:10008 SYN ******S*
13:59:31 192.168.218.10:3777 -> 192.168.218.12:12754 SYN ******S*
13:59:31 192.168.218.10:3778 -> 192.168.218.12:15104 SYN ******S*
13:59:31 192.168.218.10:3779 -> 192.168.218.12:16660 SYN ******S*
Rfrences
Man
snort(8), tcpdump(1)
Paquetage
La documentation du paquetage est trs complte. Le fichier README donne
une bonne vision densemble du produit et contient comme le man, la syntaxe. Le
fichier SnortUsersManual.pdf est le guide dutilisation du produit, il donne de
nombreux exemples.
Internet
http://www.snort.org
Le site officiel du logiciel Snort.
http://www.snort.org/snort_rules.html
Comment tablir de nouvelles rgles de dtection dintrusion.
21-23
Module 21 : Laudit
Atelier 1 : Introduction
Objectifs :
n
Dure : 15 minutes.
Exercice n1
Balayez les ports TCP dun hte avec nmap.
Exercice n2
Balayez les ports TCP dun hte avec nmap, mais en prcisant la plage de ports 1000
3000.
Exercice n3
Balayez les ports UDP dun hte dans la plage 500 550 avec nmap.
Exercice n4
Dcouvrez les htes prsents sur le rseau (192.168.218.0/24 par exemple) avec
nmap
Exercice n5
Dcouvrez les protocoles IP dun hte avec nmap.
Exercice n6
Dcouvrez avec nmap les imprimantes rseaux prsentes sur le rseau
(192.168.218.0/24 par exemple).
21-24
Module 21 : Laudit
Exercice n7
En suivant lexemple du support, utilisez le logiciel SAINT pour analyser un hte.
Exercice n8
Durant lanalyse effectue par le logiciel SAINT dclenche dans lexercice
prcdent, dtectez cette attaque via le logiciel snort.
21-25