Traces sur le reseau Flashcards
Quel trace sont laisse sur les protocols comme hyper text transfer protocol?
-log files (Sur les serveurs)
- fichiers des navigateurs (cookies, cache, historique, mdp)
Avec qui le client communique?
Envoie des request sous forme de URL a un serveur
Recoit du serveur des responses sous forme de HTML File
Avec quoi communique le Serveur
le client (browser)
et avec les files
et avec les resources
Numero de port et type de transport pour http?
connexion tcp sur le port 80
Que contient une requete? une reponse? dun http
requete:
*Requete d’une page (en donnant son URL)
* Requete pour une image ou un fichier quelconque
* Peut aussi contenir les donnees entrees dans un formulaire
* Contient aussi des informations sur le browser
▶ Reponse
* Contient le fichier retourne (html, gif, jpg, js, css, …)
* Contient des informations sur le serveur
* Contient des informations sur le document (type, longueur, . . )
* Peut ne pas contenir le document: Redirection vers une autre ressource; Cache encore valide; . .
Que peut on retrouver dans les entetes de la requete?
-descrption du client
–> user-agent: browser et syst. d’explo
–> accept: quel types de doc sont accepte
–> accept-language: langue qui sont accpetes
-description de la requete:
-host: quel est le nom du serveur
-referer: quelle page contenait la referance qui nous a fait generer cette requete
que veut dire get et post?
GET pour les paramètres d’un site Web (filtres, tri, saisies de recherche, etc.).
-genere lorsquon tape l’url direct ou un lien
-ne doit pas obligatoirement atteindre le serveur
-resultat peut venir d’un cache
-pas de body –> valeur encode dans l’URL (important)
-absence de protection de donnes
-peu de capacite
-pas de photo ou video
POST pour la transmission des informations et des données de l’utilisateur
-info large
-doit arriver jusqu’au serveur
-ne peut pas venir d’un cache
-ecrit les paramètres URL dans la requête HTTP
Ou se situe les requetes GET ?
les liens dans une page
Que contient une reponse?
-reponse a la question contenue dans la requete
-contient un statue (erreur, doc ok etc)
-contient de l’info (doc demande (html, gif) et les meta-donnes (Date de prod, validite etc)
Definir status-code?
entier a 3 chiffres –> indique comment le serveur a satisfait aux demandes de la requete
1xx–> INFO: requete recu, process continue
2xx–> SUCCES: action recu et traite avec succes, le contenu attendu est envoye
3xx –> REDIRECTION: autre action est attendu pour pouvoir completer la requete
4xx –> ERREUR CLIENT: requete contient une erreur de syntaxe ou refere une resource qui n’existe pas
5xx: Erreur Serveur - Le serveur n’arrive pas a r´epondre a
une requˆete qui semble valide
Pourquoi les reponses peuvent etre interressante d’un pdv forensique?
attaquants generent des erreurs
–> testent au hasard, generent des erreurs pour apprendre les mess d’erreur, buger le syst expres
la securite reagit –> syst. alarme (Apres 3 faux mdp–> bloque)
–> ANALYSE DES FICHIERS LOGS
Quel est le principe des cookies? Quel usage?
-tout petite info
-envoye une fois par le serveur au client (envoye en reponse apres une requete (en premier))
-ajoutee ensuite a chq requete par le client vers le serveur (cookies renvoye lors de la 2eme requete)
usage:
-pour stocker de l’info sur l’utilisateur
-stocker des sessions ID’s
A quoi sert les fichiers de log?
Pour faire des stats.
-cb de client
-quel ressource etc
Le serveur note toutes les requetes
-date et heure
-adresse IP
-ressource (parametre get)
-user agent (Browser)
-url -referer (connect to site from)
UTILE POUR FAIRE DES RECHERCHES (qui a fait quoi, quand)
Comment utiliser un log-file pour faire de la recherche forensique?
- selectionner els actions ligiteuse –> avec “grep” pour trouver els lignes
- reconstruire les sessions (ensemble de requetes allant ensemble) –> “grep” pour regrouper les adresse IP
- Analyser les actions
- Ecrire son propre script d’analyse
Donner d’autre type de log file?
-ISP logs
–> Internet Service Providers (doivent stocker un mapping (heure adresse Ip du client)
-DNS log
–> si le nom de l’hote est tres specifique
–> session stocke dans le nom de l’hote
–> requete DNS vient de ce client
–> on peut demander aux serveurs DNS dou vient al requete
