Post sur la mailing liste bugtraq (20 Nov 1999) :

---
Salut,

quelques petites nouvelles ides  propos des problmes du champ IP ID :

Le premier est  propos du filtrage IP Linux : puisqu'il augmente le
compteur global du champ IP ID mme si un paquet sortant sera filtr nous
sommes capables, par exemple, de scanner des ports UDP mme si la sortie de
paquets ICMP de type 3 (ndt : port non accessible) est DENY, et en gnral
il est possible de savoir quand la pile TCP/IP rpond  un paquet mme si la
rponse est jete.
Je pense (mais non test) que ceci est vrai pour la plupart des firewalls.

Le second problme concerne la capacit  dcouvrir les rgles de filtrage.
Par exemple il est trivial de connatre si un systme A filtre les paquets
depuis l'adresse IP X.Y.Z.W en contrlant l'augmentation du champ IP ID du
systme A ou du systme avec l'adresse X.Y.Z.W (ceci change si nous sommes
intresss par la connaissance des rgles d'entre ou de sortie) et en
envoyant les paquets qui supposent une rponse. galement ceci est apparent
avec la capacit de scanner les ports d'un systme qui jette tous les
paquets avec une source diffrente de systeme.de-confiance.com. Il y a
d'autres choses comme ceci mais elles sont seulement diffrentes facettes du
mme concept.

Quelques personnes pensent que ce type d'attaques ne sont pas des attaques
du "monde rel", je suis fortement intress de savoir quelle est l'opinion
des lecteurs de bugtraq ( mon opinion ce type d'attaques est faisable et
utile pour un attaquant. Par exemple la capacit de scanner les ports avec
seulement des paquets spoofs (ndt : avec l'adresse source usurpe) et la
capacit de deviner le trafic du systme distant sont grandement rels).

ciao,
antirez
