Détecter une IP derrière un proxy

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Publier une réponse

Détecter une IP derrière un proxy

Messagepar Nello » 07 Oct 2006 13:38

Bonjour,

depuis un moment des petits malins s'amusent à tenter de pirater mon serveur. Je ne peux malheureusement rien faire car ils naviguent via des proxies anonymes. Vu les logs, je pense qu'ils tentent d'exploiter des milliers de failles possibles à partir de dictionnaires car j'ai vu passer des tentatives du style ...\cmd.exe alors que je suis sous Linux ! Malheureusement il se peut que ce bruteforce aboutisse un jour sad.gif

Je me suis un peu renseigné quant au réel anonymat procuré par les proxies et il semblerait qu'il existe un moyen de trouver l'adresse ip réelle des indélicats : comme il est démontré sur le site www.stayinvisible.com, le chargement d'une applet Java court-circuite l'utilisation du proxy et établit une relation directe avec l'utilisateur. Cela permet donc de découvrir la véritable adresse IP.

Malheureusement mes connaissances (absolument inexistantes en Java) ne me permettent pas de mettre en place un tel système. Je ne cherche pas à créer une page qui affiche l'adresse IP (inutile) mais simplement à ce que l'adresse IP soit prise en compte dans le access.log ou le error.log.

Merci par avance de votre aide :)
Avatar de l’utilisateur
Nello
Aspirant
Aspirant
 
Messages: 113
Inscrit le: 27 Déc 2004 19:15
Haut

Messagepar vanvan » 09 Oct 2006 11:05

Bonjour.

Une simple idée, il me semble que le scan de ports d'une machine distante est déjà considéré dans certains pays comme une tentative de hack. Dans ton cas, l'utilisation d'un outil te permettant de choper l'ip d'un utilisateur derrière un proxy pourrais se retourner contre toi.
Au passage, techniquement je vois pas encore comment c'est possible. Maintenant t'as un truc simple. Tu portes plainte et dans le cadre d'une commission rogatoire, la police peut saisir les logs du proxy qui sert de passerelle pour choper l'ip du gars.
Par contre, il faut absolument que tu concerves tes logs avec les tentatives d'intrusions.
ça les logs ça pardonne pas.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes
Haut

Messagepar fred-info » 10 Oct 2006 14:26

Salut,

regarde déjà le champ XFF

A+
fred-info
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Oct 2006 14:57
Haut

Messagepar Nello » 13 Oct 2006 19:39

vanvan a écrit:Bonjour.

Une simple idée, il me semble que le scan de ports d'une machine distante est déjà considéré dans certains pays comme une tentative de hack. Dans ton cas, l'utilisation d'un outil te permettant de choper l'ip d'un utilisateur derrière un proxy pourrais se retourner contre toi.

Salut,

Je ne vois pas en quoi la lecture des logs de mon serveur peut être considéré comme un scan. Et même en admettant que je "scanne" mon serveur en quoi scanner mon réseau interne est-il illégal ? Mais bon, je n'ai aucune raison de scanner quoi que ce soit :)
Au passage, techniquement je vois pas encore comment c'est possible.

C'est possible techniquement car le chargement d'une applet Java ou d'un activeX initie une connexion directe avec le client en passant outre n'importe quel proxy (cf. mon premier post). Mais seul un navigateur est en mesure de charger l'applet. Voilà mon problème.

Maintenant t'as un truc simple. Tu portes plainte et dans le cadre d'une commission rogatoire, la police peut saisir les logs du proxy qui sert de passerelle pour choper l'ip du gars. Par contre, il faut absolument que tu concerves tes logs avec les tentatives d'intrusions.
ça les logs ça pardonne pas.

Hum... je fais une vidéo de ma visite avec mon paquet de logs plein de proxies étrangers pour Vidéo-Gag ? ;)
Pour la conservation des logs, t'inquiètes pas, j'ai un mirroir de mon réseau qui reçoit un backup des sites et des logs toutes les 4 heures ainsi que des sauvegardes auto sur DVD. Ce ne sont donc pas les backups qui me manquent.

Sinon j'ai découvert que les proxies utilisés appartiennent au réseau TOR. Je vais créer une blacklist sur ces proxies. Une fois les routines d'attaque bloquées, je parie que les petits malins vont vouloir s'assurer de la présence du serveur avec leur navigateur. Là, ils ne pourrant pas éviter le chargement de l'applet et leur adresse réelle s'affichera dans les logs. A partir de ce moment, je verrai bien quelle attitude adopter.

A+ :)
Avatar de l’utilisateur
Nello
Aspirant
Aspirant
 
Messages: 113
Inscrit le: 27 Déc 2004 19:15
Haut

Messagepar vanvan » 16 Oct 2006 11:53

Bonjour.

Nello a écrit:depuis un moment des petits malins s'amusent à tenter de pirater mon serveur.


J'ai dû mal m'exprimer car je ne parlais pas de "ton" proxy, mais de celui derrière lequel le gars qui fait des tentatives de hack passe. Alors forcément quand on prend mon message précédent par rapport à ce point de vue, ça a déjà plus de sens.

Détecter une IP derrière un proxy : voilà le titre de ton post, alors forcément je suis parti sur l'idée que je viens d'énoncée précédemment.

Le principale étant que tu ais ta solution avec les blacklists, qui est le plus adéquat c'est clair.

Vive la communication.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes
Haut
Publier une réponse

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 2 invité(s)

Powered by boolaz
cron