Etude de quelques outils de SDI

1- SNORT
Prsentation Gnrale
SNORT est NIDS crit par Martin Roesch, son code source est accessible et
modifiable partir de lURL : http://www.snort.org
SNORT permet danalyser le trafic rseau de type IP, il peut tre configur pour
fonctionner en trois modes :
le mode sniffer : dans ce mode, SNORT lit les paquets circulant sur le
rseau et les affiche dune faon continue sur lcran ;
Le mode packet logger : dans ce mode SNORT journalise le trafic
rseau dans des rpertoires sur le disque le mode dtecteur dintrusion
rseau (NIDS) : dans ce mode, SNORT analyse le trafic du rseau, compare
ce trafic des rgles dj dfinies par lutilisateur et
tabli des actions excuter ;
le mode Prvention des intrusion rseau (IPS), cest SNORT-inline.
Positionnement de SNORT dans le rseau
Architecture de SNORT
Larchitecture de SNORT est modulaire et est compose de :
-un noyau de base :au dmarrage, ce noyau charge un ensemble de rgles
,compile, optimise et classe celles-ci. Durant lexcution, le rle principal du
noyau est la capture de paquets.
-Une srie de pr processeurs, ceux-ci amliorent les possibilits de SNORT en
matire danalyse et de recomposition du trafic captur. Ils reoivent les paquets
directement capturs, ventuellement les retravaillent puis les fournissent au
moteur de recherche de signatures.
-Une srie danalyses est ensuite applique aux paquets. Ces analyses se
composent principalement de comparaisons de diffrents champs des headers
des protocoles (IP, ICMP, TCP et UDP) par rapport des valeurs prcises.
-Aprs la dtection dintrusion, une srie de output plugins permet de traiter
cette intrusion de plusieurs manires : envoie vers un fichier log, envoie dun
message dalerte vers un serveur syslog, stocker cette intrusion dans une base
de donnes SQL.
les rgles de SNORT
Les rgles de SNORT sont composes de deux parties distinctes : le header et les
options.
Le header permet de spcifier le type dalerte gnrer (alert, log et pass) et
dindiquer les champs de base ncessaires au filtrage : le protocole ainsi que les
adresses IP et ports sources et destination.
Les options, spcifies entre parenthses, permettent daffiner lanalyse, en
dcomposant la signature en diffrentes valeurs observer parmi certains
champs du header ou parmi les donnes.
Exemple de rgle :
Alert tcp any any -> 192.168.1.0/24 80 (flags :A ;\content : passwd; msg:
detection
de `passwd ;)
Cette rgle permet de gnrer un message dalerte detection de passwd
lorsque le trafic
destination dune machine du rseau local 192.168.1.0/24 vers le port 80,
contient la
chane passwd (spcifi par lutilisation du mot-cl content ), et que le flag
ACK du
header TCP est activ (flags : A).

2- Wireshark
Cest un outil puissant qui permet de capture les paquets passant par une
interface (sniff) et danalyser les captures la recherche doccurrence ou pour
effectuer des statistiques.
WireShark peut donc tre utilis pour analyser le rseau ou ventuellement
dterminer si une machine est infecte en analysant les connexions effectues
par les malwares.
Le principe et prsentation de WireShark
Le principe fonctionne comme tout autre outil danalyse qui existe, on capture les
paquets dune interface et on applique des filtres pour capture et trouver ce qui
nous interresse.
WireShark permet dappliquer des filtres directement la capture ou sur les
rsultats de la capture.
Linterface de WireShark est assez simple, nous avons :

1/ Le filtre qui permet de filtrer les rsultats qui se trouvent en 2

2/ Les paquets capturs

3/ Les informations sur les paquets capturs avec les diffrentes couches
de transport

Le menu Capture permet de dmarrer une capture (ou la premire irone de barre
dicne), le menu Analyse permet deffectuer quelques filtres et ouvrir des
compltement dinformations sur des paquets.
Enfin le menu Statistics offre des statistiques allant jusqu la possibilit
deffectuer des graphiques.
Les lignes ont des couleurs diffrentes selon le type de connexion, par exemple:

En vert les connexions HTTP.

En gris, les connexion SYN.

En jaune, les requetes netbios.

Les requtes DNS sont en bleus.

En cyant, les connexions TCP classiques

Quelques filtres
Voici quelques filtres sur les IP :

ip.addr == 192.168.1.27 : pour avoir que les paquets de cette ip

ip.addr != 38.101.166.24 : pour NE PAS avoir les paquets de cette ip

ip.src == 38.101.166.24 : pour filtrer sur les ip sources

ip.dst == 38.101.166.24 : pour filtrer sur les ip distantes

Pour filtrer sur les paquets de votre choix , vous devez regarder lindex dans les
Transmission Control Protocol => tcp.stream eq index

Capture et Malwares
On peut ensuite utiliser WireSharck pour dterminer si une machine est infecte.
Par exemple les Datas ci-dessous montre une connexion IRC dun botnet, on y
voir les ordres de tlchargement via les commandes .asc et .http

Statistiques

WireSharck offre aussi la possibilit deffectuer des statistiques partir du menu

Statistics
Cela peut des statistiques gnrals (protocoles utilis, paquets envoys etc)
aller de la longueur des paquets ou des statistiques sur les IP de
destination/source.
Les statistiques prennent en compte les filtres, il est alors tout fait possible
deffectuer les statistiques sur une machine.
Menu Statistics / Conversation / TCP montre les communications par IP et
protocoles et le volume chang.
Notez le bouton Follow Stream qui permet de filtrer ensuite sur la ligne
slectionne.

Le menu Statistics / Protocol Hierarchy donne une liste des protocoles utiliss
avec le pourcentage du volume chang.

Enfin il est aussi possible de crer des graphiques (Menu Statistics / IO Graphs).
La capture ci-dessous montre le volume chang de la machine 192.16.1.27 par
rapport lactivit globale captur.

Le graphique ci-dessous lui montre lactivit SMTP de la mme machine par

rapport son activit globale.
Le graphique montre bien la mise en route du Spambot.