Un attaquant sur le réseau
Dernière mise à jour
Dernière mise à jour
Un attaquant connecté au réseau local, a réussi à prendre le contrôle d’un commutateur. Avant d’arriver à ses fins, l’attaquant a réalisé plusieurs opérations de reconnaissance du réseau, qui, par chance ont été enregistrées. À partir de cet enregistrement, vous devez retrouver sur quel port physique (numéro / identifiant) du commutateur l’attaquant était connecté lors de cette attaque.
On peut déjà imaginer une timeline grâce à l'énoncé :
Attaquant connecté au réseau local
Reconnaissance réseau :
ARP ?
NMAP ?
Connexion à un équipement
Quelques statistiques sur le fichier pcap :
On découvre aussi plusieurs protocoles :
De la couche basse avec LLC et LLDP
Link Layer Discovery Protocol est un protocole normé dans les publications IEEE 802.1AB et IEEE 802.3 section 6 clause 79. Il sert à la découverte des topologies réseau de proche en proche, mais aussi à apporter des mécanismes d'échanges d'informations entre équipements réseaux, et utilisateurs finaux.
Qui est l'attaquant ?
Les connexions telnet et ssh ont forcément été initié par l'attaquant, donc il suffit de chercher l'adresse ip qui a initié ces connexions.
Le SYN vient de 10.0.0.153, cette machine est donc celle de l'attaquant.
On confirme l'hypothèse avec le SSH :
Qui est la victime ?
Le commutateur est 10.0.0.10.
Comme vu ci-dessus, le protocole LLDP est intéressant pour l'information que nous recherchons : le numéro de port sur lequel l'attaquant s'est connecté.
Le numéro de port est affiché : 19
