[quote=“usinagaz”]bonsoir,
je me pose la question de comment surveiller efficacement les échanges de paquets, les intrusions, les connections sur mon pc …
J’ai du mal à réunir les principes de bases et les outils appropriés … et surtout interpréter les résultats ; prenons l’exemple suivant :
Avec EtherApe, je vois une connection à une ip qui me parait louche : 194.158.114.105.
[/quote]
C’est la connexion qui est louche ou l’ip qui est louche?
frameip.com/whois/whois.php
=>
netnum: 194.158.114.0 - 194.158.116.255
netname: T-ONLINEFRANCE
descr: Servers at La Villette
country: FR
admin-c: NOCT1-RIPE
tech-c: NOCT1-RIPE
status: ASSIGNED PA
mnt-by: T-ONLINEFRANCE
source: RIPE # Filtered
[quote]
Je lance Ethereal, qui me donne une ligne, entre autre :
Plus haut, j’ai un truc du genre :
Ben FIN ton PC veut mettre fin (de maniere propre) à la connexion.
ACK ca fait partie d’une connexion deja existante, c’est un Acquitement (une reponse)
TCP Retransmission je dirai que c’est parceque le paquet précedent que tu as envoyé (probablement FIN,ACK) n’a pas été acquité par 194… dc ta pile TCP réessaye après un certain timeout.
[quote]
Voilà, ben je comprend pas grand chose …
on pourrait pas faire un petit manuel de traçage et de démasquage ici svp ?[/quote]
Si tu veux bien comprendre comment tcp/ip marche, tu peux lire soit TCP/IP illustrated soit aller sur
abcdrfc.free.fr/rfc-vf/rfc793.html
Ca t’expliquera TCP un protocole censé assurer un echange de haute fiabilité .Reprise en cas d’erreur, allocation des ports TCP pour adresser plusieurs applis pour une meme IP. La couche sous jacente IP est supposée non s^ure, c’est l’hypothese. De plus les paquets peuvent prendre plusieurs chemins, ces chemins peuvent etre plus ou moins rapides donc il va falloir réordonner les paquets à l’arrivée (Sequence numbers). TCP gère aussi une fenetre d’emission, ex il envoit 100 paquets et ne va attendre qu’un acquitement, pour accelerer le traffic.
Le diagramme d’etat à la fin du 3.2 est assez important, il explique pas mal de choses. C’est ptet un peu indigeste mais bon… c’est TCP/IP après tout, c’est pas un petit truc!
Donc IP c’est par là :
abcdrfc.free.fr/rfc-vf/rfc791.html

IP, c’est les adresse IP, le routage…
Je crois pas qu’il y ait de méthode parfaite pr deceller une tentative de piratage… sinon ce serait intégré dans linux…
Par contre si tu veux tenter de comprendre ce qui s’est passé , post mortem; il te faudra tous les paquets loggués ainsi que leur contenu… un gros disque dur et tres rapide aussi…
Parceque TCP/IP a des failles de conception c’est clair (spoofing, coupure de connexion,…) et aussi des failles d’implémentation (reouverture de port deja ouverts sur les windows 2000,XP;…). Donc quand tu lis tes logs, peut-etre que quelqu’un essaye de te faire croire qu’il s’est passé une chose, alors qu’en fait une autre chose s’est passé. Il faut alors regarder TOUS les champs des entetes pour esperer voir qqchose.
Tu peux mitiger les risques en installant certaines protections…
La protection locale est tres importante AMA : A.I.D.E. (utilisé par l’equipe debian en 2003 pr localiser un piratage) , Samhain, tripwire. Le controle d’integrité, qui prouve que tes fichiers n’ont pas été modifiés et que tu n’as pas un rootkit au c*l… A partir du moment ou tu as un rootkit d’installer, ce que voient tes yeux ne correspond plus à la réalité
Formatage, reinstalle.