#tcpdump parses filter expressions into bytecode called BPF.
Some people code into BPF directly...
▻http://blog.cloudflare.com/bpf-the-forgotten-bytecode #networking
#tcpdump parses filter expressions into bytecode called BPF.
Some people code into BPF directly...
▻http://blog.cloudflare.com/bpf-the-forgotten-bytecode #networking
Amusant clip de pub pour une boîte de sécurité informatique, montrant de méchants zackers pirater une gentille boîte. Avec pas mal de clichés mais c’est bien fichu, et les outils utilisés sont des vrais.
▻https://www.youtube.com/watch?v=l_XOrcBxy-E
#tcpdump #nmap #metasploit #LOIC
“A collaboration between a Stanford ant biologist and a computer scientist has revealed that the behavior of harvester ants as they forage for food mirrors the protocols that control traffic on the Internet.”
▻http://news.stanford.edu/news/2012/august/ants-mimic-internet-082312.html
RFC 1323 : TCP Extensions for High Performance
L’algorithme originel de #TCP rendait ce protocole de transport trop prudent et n’utilisant pas assez les réseaux, notamment ceux à forte latence. Après quelques essais, ce #RFC, publié en 1992, a permis à TCP de fonctionner correctement sur une bien plus grande variété de réseaux, et jusqu’à aujourd’hui. Ce RFC est ancien mais toujours d’actualité et représente une lecture indispensable pour les fans de TCP ou tout simplement pour ceux qui veulent comprendre en détail ce protocole.
La crypto n’a pas que des avantages
Suite aux révélations du héros Edward Snowden, bien des gens ont pris conscience de ce que tous les experts en sécurité annonçaient depuis longtemps : les services d’espionnage espionnent et ne respectent aucune limite. Notamment, tout le trafic envoyé sur l’Internet peut être écouté, si on ne prend pas de précautions particulières. La solution technique la plus souvent citée est l’usage systématique de la #cryptographie. Ce choix est tout à fait justifié. Mais il ne faut pas s’imaginer qu’il va être gratuit : tout chiffrer va faire perdre certaines possibilités, notamment en matière de déboguage.
Petit retour d’expérience de ces dernières semaines qui va dans ton sens.
1) Un serveur web mutualisé. Je souhaite le rendre « conforme », c’est à dire pas de FTP en clair. J’implémente un FTP/S explicite, pensant qu’avec la disponibilité de FileZilla, tout va fonctionner tout seul chez les clients. Erreur... Les firewall, aléatoirement, refusent de laisser passer le flux... là où pour le FTP en clair, ils laissent passer normalement le flux. C’est tout récent, pas encore réussi à comprendre les raisons de ces disparités.
2) Accès à un serveur RDP. Le prospect trouve qu’un accès direct, port 3389, ce n’est pas sécurisé. Je lui dis qu’il a raison, lui propose un client IPSEC pour se connecter à l’infra. Il répond que ça ne marche pas, son réseau d’entreprise ne lui permet pas. Je lui propose un client RDP en mode web, sur du https, authentification préliminaire HTTP. Il trouve que la double authentification, c’est pénible, et surtout, il ne parvient pas à se connecter, car en effet, son réseau d’entreprise prévoit que les sites https, c’est sur liste blanche uniquement... Bien... Ce n’est qu’un prospect, son service info ne met pas en liste blanche n’importe quel prospect... Alors je passe tout en port 80, sans authentification. Youpie. (ça crépite dans les logs...).
Et je peux aussi évoquer la gestion des mots de passe... Où l’attribution d’un mot de passe fort peut conduire à des heures de support avec certains clients, qui préfèrent se passer du service plutôt que de devoir taper un mot de passe convenablement.
Conclusion : pour permettre aux utilisateurs de bosser, j’en reviens à des solutions sans cryptage et à mot de passe faible. C’est consternant.
Parce que les firewalls interprètent le protocole FTP pour définir les ports « aleatoire » a ouvrir pour les transferts... Si c’est chiffré, ça marche moins bien.
Il faut alors définir une plage de port dédié au FTP que le firewall va naté directement.
Exemple avec la conf de « proftpd » :
PassivePorts 50000 59999
Dans le firewall avec netfilter :
iptables -t filter -A INPUT —in-interface eth0 —protocol tcp —dport 50000:59999 —jump ACCEPT
Voila.
Frustrated that #Ethernet bonding using 802.3ad link aggregation doesn’t balance a single #TCP connection across multiple interfaces ? Then you’ll be as excited as I am with #Multipath TCP... A single 52 Gb/s stream accross just six 10 Gb/s links ? Yes !
▻http://multipath-tcp.org/pmwiki.php?n=Main.50Gbps
While I had this on my mind, I created the #Wikipedia article for Multipath TCP: ▻https://en.wikipedia.org/wiki/Multipath_TCP
« OSI : The Internet That Wasn’t - How TCP/IP eclipsed the Open Systems Interconnection standards to become the global protocol for computer networking »
▻http://spectrum.ieee.org/computing/networks/osi-the-internet-that-wasnt
Très intéressant article sur le conflit qui a opposé les créateurs de l’Internet à une coalition de telcos, de gouvernements, et de très grandes entreprises, tous à fond derrière OSI.
Il est amusant de regarder l’évolution des articles sur l’OSI. Lorsque j’ai commencé à toucher aux réseaux (fin des années 80), TCP/IP était tabou en France et ne pouvait se faire que « sous le radar ». Tous les experts et tous les messieurs sérieux répétaient qu’OSI était l’avenir. Puis, avec la victoire de l’Internet dans la deuxième moitié des années 90, OSI a été présenté comme un délire bureaucratique de costards-cravates incompétents et il était impossible de trouver quelqu’un qui admettait avoir soutenu OSI. Aujourd’hui, on en arrive à des articles plus nuancés, comme cet excellent texte.
#net_history #TCP/IP #OSI #telcos #Cyclades
euh... TCP/IP entre toujours dans la couche « Transport » d’OSI, où on m’aurait mentit ?
@dizanv TCP est traditionnellement considéré comme couche Transport (mais l’Internet n’utilise pas le modèle OSI) et IP couche Réseau. Le modèle en couches est un outil utile à condition de ne pas le prendre trop au sérieux.
@stephane je retombe là-dessus et suis très perturbé par le saut à la ligne du titre / #seenthis_police
@tbn J’ai rectifié le titre. #titre_droit
MinimaLT, un remplaçant réaliste pour TCP, TLS et IPsec ?
Il y a des chercheurs ambitieux. En voici qui proposent un protocole qui veut remplacer à la fois #TCP et #TLS et #IPsec. Ils exagèrent ? Pas complètement. Le projet est prometteur (mais encore à ses touts débuts) mais il y a quelques points noirs qu’ils « oublient » de mentionner.
Un lien direct vers le projet, pas enterré au 3/4 de ton excellente analyse, serait souhaitable :) J’ai triché et utilisé Google.
Tu trolles : les liens (deux, au cas où l’un casse) sont dans le deuxième paragraphe de mon article. ▻http://www.ethos-os.org/~solworth/minimalt-20130522.pdf
Le DNS va t-il utiliser de plus en plus souvent TCP ?
▻http://www.bortzmeyer.org/dns-over-tcp.html
Le #DNS utilise traditionnellement surtout UDP comme protocole de transport. #TCP est parfaitement légal mais, en pratique, il a été cantonné aux transferts de zone et à quelques requêtes où la réponse était trop grosse pour passer en UDP. La montée des attaques utilisant le DNS avec réflexion et amplification a changé les choses et de plus en plus de gens se demandent si le DNS ne va pas utiliser TCP plus fréquemment.
RFC 6928 : Increasing TCP’s Initial Window
Sur l’Internet, il y a des choses qu’on hésite à toucher. Depuis quelques épisodes fameux de « catastrophes congestives », où tout l’Internet s’est arrêté en raison de l’encombrement des tuyaux, la mémoire collective du réseau, incarnée notamment par l’#IETF, voit avec une extrême méfiance toute modification des algorithmes de #TCP, qui sont la principale ligne de défense de l’Internet face à la congestion. Néanmoins, le réseau évolue, les choses changent et il y a des gens qui insistent pour essayer des changements. Cela fait un certain temps que #Google réclame une modification connue sous le doux nom de #IW10 (pour Initial Window 10 segments) et ce #RFC est le premier à la documenter officiellement, après trois ans de discussion dans le groupe de travail. Pour l’instant, c’est encore étiqueté comme « expérimental ».
php-reverse-shell | pentestmonkey
▻http://pentestmonkey.net/tools/web-shells/php-reverse-shell
The script will open an outbound #TCP connection from the webserver to a host and port of your choice. Bound to this TCP connection will be a #shell.
This will be a proper interactive shell in which you can run interective programs like telnet, ssh and su. It differs from web form-based shell which allow you to send a single command, then return you the output.
Very good paper (and very detailed) on the optimizations of the computation of #TCP #checksum.
Chasse au #bufferbloat dans le noyau #Linux, les « TCP small queues »
Le diplomate de la Terre - La Vie des idées
►http://www.laviedesidees.fr/Le-diplomate-de-la-Terre.html
Quelle place sur Terre pour les Modernes ? À l’occasion de la sortie de son Enquête sur les modes d’existence. Une anthropologie des Modernes, Bruno Latour s’entretient avec Arnaud Esquerre et Jeanne Lazarus sur la genèse et le dispositif de son ouvrage magistral qui, à partir de l’ensemble de ses précédents travaux, enquête sur quinze modes d’existence possibles qui permettraient aux Modernes de repenser leur place sur la Terre.
Ensuite j’ai été poussé par le fait stupéfiant du peu de pensées qui se sont développées sur les techniques, ce qui est quand même quelque chose d’incroyable quand on pense à la place des techniques dans l’histoire occidentale et l’importance que ça a maintenant dans les questions écologiques. Le peu de pensée sur l’activité technique, les auteurs qu’on cite sur les doigts d’une main, ça m’a beaucoup troublé . Et pourtant, il y a un type de véridiction technique qui est vraiment très différente des sciences. Alors quand je suis arrivé dans le droit, j’y ai détecté le même type de clef d’interprétation différente encore des trois autres, et ainsi de suite...
Ma question est de savoir si l’on peut entretenir un pluralisme ontologique — c’est le grand sujet de Souriau aussi — qui permette de compter au-delà de 3 ?
#data
La deuxième partie, celle à laquelle vous faites allusion, c’est d’avoir suffisamment intéressé de gens à la lecture pour qu’ils aient envie d’aller mettre le nez cette fois-ci dans les données. Soit pour ajouter des données quand moi je pose une question en disant : « Là, il y a vraiment un croisement passionnant, je n’ai pas d’enquête, je n’ai pas de terrain ou j’ai un mauvais terrain et des mauvais exemples, est-ce que vous, vous en avez des meilleurs ? » Et que certains puissent dire : « Oui, oui, moi j’ai un excellent film, une excellente vidéo, une alternative et je vais la mettre dans le site ». [...] Ça, c’est la deuxième couche, celle de la contribution critique, avec le problème d’éviter la blogosphère et toutes les mauvaises habitudes du commentaire idiot, anonyme et sans exigence de justification ou de preuve, ce qui suppose un système de monitoring assez sérieux, parce qu’on veut que les gens ne commentent pas librement mais commentent en fonction des questions qu’ils ont posées.
Notre but, c’est plutôt aller chercher dans le multimédia la capacité de faire des mouvements de pensée et pas simplement de l’illustration ou d’ajouter du bruit au bruit infini du web. Donc c’est en fait retourner complètement les méthodes du numérique . Celles-ci sont très bonnes pour établir des connexions indéfinies mais où il n’y a pas de pensée particulière, sauf le fait que ça fait clic clic clic. Mais nous nous voulons l’utiliser pour créer une atmosphère de méditation . C’est un site protégé, on rentre dedans en s’inscrivant . Nous voulons par le design utiliser le numérique pour reconstituer des techniques d’écriture et de pensée, pas seulement de navigation. Seulement en nous rappelant que tout ce que nous appelons « techniques de pensée », nous l’avons appris d’une technique particulière qui est le livre papier mais que ces techniques ne sont pas attachées définitivement à cette technique. Le livre est une technique particulière. C’est plutôt le montage de la comparaison entre les deux qui nous intéresse vraiment.
Mais évidemment c’est un projet à très haut risque, on va le rater 9 fois sur 10. C’est comme de faire une exposition, j’ai l’expérience, c’est affreusement difficile et ça rate souvent, c’est très difficile à faire. C’est vraiment l’enjeu du point de vue des « #humanités_numériques ». C’est d’ aller chercher dans le numérique la capacité de retrouver des équivalents de ce qu’on appelle un paragraphe, un argument, une idée, une contradiction, un accord. Le web n’est pas fait pour argumenter, il est fait pour naviguer. On ne sait pas ce que ça veut dire un web qui argumente, contre-argumente . On doit pouvoir sortir du commentaire anonyme et sans argumentation qui détériore considérablement — comme tout le monde en est d’accord —, les habitudes de pensée et de parole. Là il y a un enjeu qui nous intéresse beaucoup pour l’avenir des humanités mais je reconnais qu’il est très difficile.
Il faudrait surtout qu’il connaisse du Web autre chose que YouTube et hardware.fr... Même si Sa Suffisance ne l’a pas encore remarqué, des espaces sur le Web où il y a discussion, argumentation et production de contenu, il y en a des tas.
Ouais. Je sais pas quoi penser de lui @stephane, j’ai pas lu assez encore ;
►http://www.lemonde.fr/livres/article/2012/09/21/qui-a-peur-de-bruno-latour_1763066_3260.html
Lexique
Symétrie Principe exigeant d’abord de traiter de la même manière les succès scientifiques (les vérités établies) et les échecs (les théories réfutées), puis de traiter identiquement les humains et les non-humains.
Acteur-réseau Au lieu de sujets (humains) et d’objets (non-humains), imaginer des acteurs qui peuvent être également humains ou non humains et qui coopèrent pour se faire exister réciproquement. Le concept de réseau désigne une liaison entre des choses hétérogènes et permet de traiter de la même manière la relation que j’ai avec la chaise et celle que j’ai avec l’ami assis en face de moi.
Modernes Sont modernes ceux qui croient à la différence entre d’un côté le social, exclusivement humain, et la nature, forcément non humaine. Les modernes croient à la fois inventer entièrement le monde humain et découvrir un monde non humain intouché. La crise écologique les oblige à reconnaître qu’ils produisent effectivement la réalité dans laquelle ils vivent...
En fait ce qui est étrange, c’est que tout en se justifiant d’une démarche non académique, non dialectique ternaire etc. la personnalisation du projet reproduit les mêmes effets de concentration/déperdition de l’institution ; et semble ainsi ignorer ce qui se fait/se pratique/se réfléchit déjà en d’autres lieux ; son projet est autoritaire si j’en crois la définition par les liens du #tcp2012
Une autorité est un noeud avec bcp de liens entrants. Un hub est un noeud avec bcp de liens sortants.
►https://twitter.com/piotrr70/status/250177018099007488
RFC 6691 : TCP Options and MSS
Le protocole #TCP a une option nommée #MSS (Maximum Segment Size) qui indique la taille maximale des segments (les paquets, au niveau TCP) qu’on peut recevoir. Quelle valeur y indiquer ? Faut-il tenir compte des options IP et TCP, dont la taille est variable ? Ce #RFC définit une nouvelle règle.
De plus en plus de données passent sur l’Internet donc le travail sur l’optimisation des protocoles, pour que les octets passent plus vite, continue. Quelques articles récents sur le protocole #TCP :
« TCP sucks » de Bram Cohen (celui de BitTorrent) ►http://bramcohen.com/2012/05/07/tcp-sucks La tonalité « règlement de comptes » est désagréable mais, techniquement, c’est bien argumenté. Il faut lire les commentaires qui, à part quelques trolls arrogants (comme celui qui parle des « comical limitations » de TCP), sont bien écrits (et mettent sérieusement en cause la vision de l’auteur). Bien se rappeler que Cohen est du côté des applications, il n’écrit pas de programmes pour les routeurs (pour lesquels l’approche dite #RED est actuellement proposée) ou pour le noyau du système d’exploitation, donc il voit tous les problèmes comme relevant des applications. Sa solution est là : ►http://en.wikipedia.org/wiki/Micro_Transport_Protocol
À noter que le problème de #BitTorrent n’est pas uniquement d’aller vite mais aussi de céder rapidement devant des transferts plus importants, d’où les allusions de Cohen au projet #LEDBAT ►http://www.bortzmeyer.org/6297.html
Cohen fait souvent allusion au « bufferbloat ». Pour s’instruire sur ce concept, voir ►http://en.wikipedia.org/wiki/Bufferbloat et ►http://queue.acm.org/detail.cfm?id=2076798 Pour s’instruire sur le RED ►http://en.wikipedia.org/wiki/Random_early_detection
Une bonne réponse à Cohen et à ses théories, « TCP doesn’t suck, and all the proposed bufferbloat fixes are identical » d’Avery Pennarun ►http://apenwarr.ca/log/?m=201205#08
Un des inconvénients d’inventer son propre protocole, comme l’a fait Cohen, est qu’on ouvre de nouvelles failles de sécurité (TCP a été testé depuis longtemps et sa sécurité est bien meilleure) : ►http://www.cert.pl/news/5365/langswitch_lang/en
Le #bufferbloat serait (partiellement) résolu par un nouvel algorithme miracle : CoDel.
Simple et déjà présent dans les versions récentes de Linux, il implémente une gestion active de file de transmission de messages.
Publié au printemps 2012, mieux que RED.
Comment on dit « returnability » ?
Un concept important est présent dans beaucoup de protocoles de la famille #TCP/IP, mais pas toujours sous un nom explicite : le concept de « returnability » ou « existence d’une voie de retour » (je cherche d’ailleurs une meilleure traduction).
Merci pour toutes les bonnes suggestions. J’ai finalement choisi Réversibilité (qui avait aussi été proposé sur un réseau social concurrent dont le nom évoque les oiseaux qui chantent).
J’arrive après la bataille (publication du billet sur le blog), mais je viens mettre mon grain de sel en proposant : réflexivité.
Ma justification : « returnability » évoque pour moi le « return to sender », le retour à l’envoyeur, donc la réflexion, au sens du miroir, d’où réflexivité.
Inconvénient : terme déjà beaucoup employé (en math, en philo), avec d’autres sens.
RFC 6582 : The NewReno Modification to TCP’s Fast Recovery Algorithm
Même les plus vieux protocoles, comme #TCP, continuent à évoluer, dans l’environnement toujours changeant qu’est l’Internet. Pour lutter contre le principal ennemi d’un protocole de transport, la congestion, de nouveaux algorithmes sont régulièrement mis au point. Même des années après leur spécification, on trouve des choses à corriger ou améliorer. Ainsi, l’algorithme #NewReno, originellement proposé par le RFC 2582 en 1999, puis normalisé par le RFC 3782 en 2004, voit avec ce nouveau #RFC sa description évoluer très légèrement, pour répondre aux problèmes rencontrés.
RFC 6528 : Defending Against Sequence Number Attacks
Ce court #RFC spécifie les précautions que doit prendre une mise en oeuvre de #TCP pour éviter qu’un attaquant ne puisse deviner le numéro de séquence initial. Rien de nouveau, les précautions en question étant programmées dans TCP depuis de nombreuses années, juste un rappel et une mise à jour du précédent RFC sur ce sujet, le RFC 1948.
Let’s make #TCP faster
►http://googlecode.blogspot.com/2012/01/lets-make-tcp-faster.html
Les plans de #Google pour accélérer le principal protocole de transport de l’Internet, TCP. Intéressants commentaires. Le tout est maheureusement très biaisé vers les besoins du Web.
À propos d’une des propositions Google, « TCP Fast Open » : ►http://www.bortzmeyer.org/tcp-ouverture-rapide.html
Le FAI allemand #T-mobile pris la main dans le sac : #DPI + faux paquets #TCP de type RST pour empêcher ses clients d’utiliser d’autres services que le sien. En outre, ils mentent à leurs clients qui se plaignent (ou bien leur support est incompétent, et pas informé, ce qui est également possible), il faut donc être assez technique pour regarder ce qui se passe vraiment.
J’avais déjà vu cette configuration (DPI + faux paquets RST) pour stopper le SSH-sur-port-443 ou équivalent. Mais c’était uniquement sur des réseaux fermés (genre le Wifi des bureaux de poste en Italie). Je crois que c’est la première fois que je la vois documentée pour un opérateur public d’un pays démocratique.
►https://grepular.com/Punching_through_The_Great_Firewall_of_TMobile
A #tcpdump Tutorial and Primer
►http://danielmiessler.com/study/tcpdump
Bon tutoriel sur un outil indispensable à l’admin’ réseaux.