> Sylvain Vallerot a écrit: > Non vous avez mal lu l'idée de Michel:
Oui, par contre toi tu as très bien compris :P Vérité dans la pub, ce n'est pas "l'idée de Michel". Je ne suis pas le seul ni le premier à y avoir pensé. > un trafic bidon entre 2 PC qui passe par le routeur, avec un payload qui > contient du bourrage. En temps normal le routeur est "passif" et route > normalement le trafic vers la destination. Quand le PC source envoie le bon > pattern dans le payload, le routeur est activé et remplace le bourrage par > de vraies info, refait le checksum et fait suivre au PC collecteur comme > si de rien n'était. Exactement. > Le trafic semble n'avoir pas changé, ni vu ni connu. Mouais, Voir plus bas. > Suffit de mettre plus de bourrage en entrée pour faire > sortir plus de données tout aussi discrètement. Ca c'est la partie facile du machin, protocole dynamique d'allocation de bande passante, faut pas réinventer la roue, juste adapter l'existant. Le routeur de cœur de réseau qui vient de recevoir l'ordre d'espionner le flux 'xyz' et qui commence à voir sa mémoire tampon grossir n'a qu'à, en même temps que les données du flux 'xyz', insérer la commande '#plus_de_patate' dans le flux. Même si le routeur en question ne voit pas le retour de trafic (cas possible si ce n'est typique de BGP asymétrique entre 2 AS), çà ne coute que quelques centaines de ms pour que la destination renvoie le paquet à la source qui augmente le bourrage. En plus, dans un système bien conçu, il y a une multitude de sources et destinations qui changent plus vite que tu changes de slip. Gaspiller de la bande passante pour être sûr que le trafic espionné passe, ça ne coûte pas si cher. > Le trafic semble n'avoir pas changé, ni vu ni connu. Mouais c'est là ou ça commence à se compliquer. Malheureusement pour "l'idée de Michel", ce n'est ni plus ni moins que MITM. Ca permet de traverser les access-list qui protègent le routeur et l'infra, et ca ne génère pas de flux "sorti de nulle part" qui serait suspect sur les outils d'analyse de trafic, mais ça se voir sur les outils qui détectent MITM. L'avantage de mettre ça dans le cœur, c'est que tu noies ta goutte d'eau dans la mer. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
