# Un attaquant sur le réseau

### Contexte

Un attaquant connecté au réseau local, a réussi à prendre le contrôle d’un commutateur. Avant d’arriver à ses fins, l’attaquant a réalisé plusieurs opérations de reconnaissance du réseau, qui, par chance ont été enregistrées. À partir de cet enregistrement, vous devez retrouver sur quel port physique (numéro / identifiant) du commutateur l’attaquant était connecté lors de cette attaque.

{% file src="/files/hTSQbejJ677cj5qGkYtw" %}

### Découverte de la capture de trames

On peut déjà imaginer une timeline grâce à l'énoncé :&#x20;

1. Attaquant connecté au réseau local
2. Reconnaissance réseau :
   1. ARP ?
   2. NMAP ?
3. Connexion à un équipement

Quelques statistiques sur le fichier pcap :&#x20;

![+35000 pkts capturés](/files/fmwua6vYaD0fpdnhI3MJ)

![2 adresses ip en communication](/files/3U9AbHXvRZ7YKVjGnun8)

On découvre aussi plusieurs protocoles :&#x20;

![](/files/SKhuIkhhI7uHfQ70mGiQ)

{% tabs %}
{% tab title="LLC" %}
De la couche basse avec LLC et LLDP

![](/files/fIcWdy9mTXIfXQ9nZStp)

Link Layer Discovery Protocol est un protocole normé dans les publications IEEE 802.1AB et IEEE 802.3 section 6 clause 79. Il sert à la découverte des topologies réseau de proche en proche, mais aussi à apporter des mécanismes d'échanges d'informations entre équipements réseaux, et utilisateurs finaux.
{% endtab %}

{% tab title="Appli" %}
Des protocoles de connexion sur TCP avec telnet et SSH
{% endtab %}
{% endtabs %}

### Qui attaque qui ?

Qui est l'attaquant ?

Les connexions telnet et ssh ont forcément été initié par l'attaquant, donc il suffit de chercher l'adresse ip qui a initié ces connexions.

Le SYN vient de **10.0.0.153**, cette machine est donc celle de l'attaquant.

![](/files/zedqjCwBNpGLICrSQycT)

On confirme l'hypothèse avec le SSH :&#x20;

![](/files/R9AugHm49YJw4X7z5Bzw)

Qui est la victime ?

Le commutateur est 10.0.0.10.

### Recherche du port

Comme vu ci-dessus, le protocole LLDP est intéressant pour l'information que nous recherchons : le numéro de port sur lequel l'attaquant s'est connecté.

![](/files/xczw0ErUQ5WNRYBDAwDz)

Le numéro de port est affiché : 19

![](/files/1NO3lffpxADimUL10RS7)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://book.onosh.ovh/ctf/cnssis2022/un-attaquant-sur-le-reseau.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.