# Un attaquant sur le réseau ### Contexte Un attaquant connecté au réseau local, a réussi à prendre le contrôle d’un commutateur. Avant d’arriver à ses fins, l’attaquant a réalisé plusieurs opérations de reconnaissance du réseau, qui, par chance ont été enregistrées. À partir de cet enregistrement, vous devez retrouver sur quel port physique (numéro / identifiant) du commutateur l’attaquant était connecté lors de cette attaque. {% file src="" %} ### Découverte de la capture de trames On peut déjà imaginer une timeline grâce à l'énoncé : 1. Attaquant connecté au réseau local 2. Reconnaissance réseau : 1. ARP ? 2. NMAP ? 3. Connexion à un équipement Quelques statistiques sur le fichier pcap : ![+35000 pkts capturés](https://2107662175-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MiRb_VTw-Cu3cwSNhHj%2Fuploads%2FZFjQ9m1xbQ4Y51MHShnb%2Fimage.png?alt=media\&token=070669fd-6d46-45df-b3ff-797819b6e371) ![2 adresses ip en communication](https://2107662175-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MiRb_VTw-Cu3cwSNhHj%2Fuploads%2FbxsCCRcOTVjPZ99rvqVf%2Fimage.png?alt=media\&token=84dcc8f6-52a0-4bf4-9543-3034fa8cb6da) On découvre aussi plusieurs protocoles : ![](https://2107662175-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MiRb_VTw-Cu3cwSNhHj%2Fuploads%2FAFBe9Nr3epGCRqvTSUAK%2Fimage.png?alt=media\&token=ebc8367a-2fd9-45ee-bfac-535fffa5284e) {% tabs %} {% tab title="LLC" %} De la couche basse avec LLC et LLDP ![](https://2107662175-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MiRb_VTw-Cu3cwSNhHj%2Fuploads%2FwYDSP3Y34g3TJaxsVJdz%2Fimage.png?alt=media\&token=e93acb47-25de-4962-9e84-0f8d2189f3c4) Link Layer Discovery Protocol est un protocole normé dans les publications IEEE 802.1AB et IEEE 802.3 section 6 clause 79. Il sert à la découverte des topologies réseau de proche en proche, mais aussi à apporter des mécanismes d'échanges d'informations entre équipements réseaux, et utilisateurs finaux. {% endtab %} {% tab title="Appli" %} Des protocoles de connexion sur TCP avec telnet et SSH {% endtab %} {% endtabs %} ### Qui attaque qui ? Qui est l'attaquant ? Les connexions telnet et ssh ont forcément été initié par l'attaquant, donc il suffit de chercher l'adresse ip qui a initié ces connexions. Le SYN vient de **10.0.0.153**, cette machine est donc celle de l'attaquant. ![](https://2107662175-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MiRb_VTw-Cu3cwSNhHj%2Fuploads%2FzoZAieI5lfogTuSaPNaE%2Fimage.png?alt=media\&token=2fae87fd-18e6-4d5b-a6be-5b2f41e2fd34) On confirme l'hypothèse avec le SSH : ![](https://2107662175-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MiRb_VTw-Cu3cwSNhHj%2Fuploads%2F2buGh3qiC2xl9HSegBRE%2Fimage.png?alt=media\&token=f817ba25-6ce8-475f-b118-ac6a134e4048) Qui est la victime ? Le commutateur est 10.0.0.10. ### Recherche du port Comme vu ci-dessus, le protocole LLDP est intéressant pour l'information que nous recherchons : le numéro de port sur lequel l'attaquant s'est connecté. ![](https://2107662175-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MiRb_VTw-Cu3cwSNhHj%2Fuploads%2FeUIlcGcPG9A1nMkyWO2f%2Fimage.png?alt=media\&token=c1bc2c80-7e70-40d7-8f7b-ab447869dfbc) Le numéro de port est affiché : 19 ![](https://2107662175-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MiRb_VTw-Cu3cwSNhHj%2Fuploads%2FIIfeHw1l2Q42mtI2k8pC%2Fimage.png?alt=media\&token=ebd65189-cede-4d3c-9d0e-a2d7d024f0b6)