Un attaquant sur le réseau
Un attaquant connecté au réseau local, a réussi à prendre le contrôle d’un commutateur. Avant d’arriver à ses fins, l’attaquant a réalisé plusieurs opérations de reconnaissance du réseau, qui, par chance ont été enregistrées. À partir de cet enregistrement, vous devez retrouver sur quel port physique (numéro / identifiant) du commutateur l’attaquant était connecté lors de cette attaque.
challenge_local_network_attack.pcap
4MB
Binary
On peut déjà imaginer une timeline grâce à l'énoncé :
- 1.Attaquant connecté au réseau local
- 2.Reconnaissance réseau :
- 1.ARP ?
- 2.NMAP ?
- 3.Connexion à un équipement
Quelques statistiques sur le fichier pcap :
+35000 pkts capturés
2 adresses ip en communication
On découvre aussi plusieurs protocoles :
LLC
Appli
De la couche basse avec LLC et LLDP
Link Layer Discovery Protocol est un protocole normé dans les publications IEEE 802.1AB et IEEE 802.3 section 6 clause 79. Il sert à la découverte des topologies réseau de proche en proche, mais aussi à apporter des mécanismes d'échanges d'informations entre équipements réseaux, et utilisateurs finaux.
Des protocoles de connexion sur TCP avec telnet et SSH
Qui est l'attaquant ?
Les connexions telnet et ssh ont forcément été initié par l'attaquant, donc il suffit de chercher l'adresse ip qui a initié ces connexions.
Le SYN vient de 10.0.0.153, cette machine est donc celle de l'attaquant.
On confirme l'hypothèse avec le SSH :
Qui est la victime ?
Le commutateur est 10.0.0.10.
Comme vu ci-dessus, le protocole LLDP est intéressant pour l'information que nous recherchons : le numéro de port sur lequel l'attaquant s'est connecté.
Le numéro de port est affiché : 19
Dernière mise à jour 11mo ago