N.B. : ce HOWTO n'est pas termin, et par endroits trs bte. Je laisse cela
      ici seulement parce que peut tre que c'est mieux que rien.

HPING2 HOWTO

Changes Log
-----------
Aug 7 1999		vi HPING2-HOWTO.txt
Aug 8 1999		__0000, __0001, __0002, __0003
Aug 10 1999		__0004

Index
-----
[cherchez __XXXX afin de sauter au point que vous souhaitez]

	__0000: Avis de copyright
	__0001: Qu'est ce que hping ?
        __0002: Qu'est ce que j'ai besoin de connatre de TCP/IP pour
                utiliser hping ?
	__0003: Premiers pas avec hping
	__0004: Le champ IP id et comment scanner des ports TCP en utilisant
                de l'usurpation d'adresse.
	__0005: Comment tester des rgles de filtrage. (A faire)
	__0006: Comment transfrer des fichier au travers de firewalls. (A
                faire)

	__000A: Exemple d'utilisation de hping (A faire)

__0000: Avis de copyright, Licence, et tout ce genre de choses

  Copyright (C) Salvatore Sanfilippo, 1999.

  La permission est accorde de faire et distribuer des copies de ce manuel
   condition que l'avis de copyright et cet avis de permission soient
  prservs sur toutes les copies.

  Permission est accorde de copier et distribuer des versions modifies de
  ce manuel sous les conditions de copie verbatim,  condition que le
  travail driv soit distribu sous les termes d'un avis de permission
  identique  celui-ci. Les traductions tombent dans la catgorie des
  ''versions modifies.''

  Garantie : Aucune.

  Recommandations : les redistributions commerciales sont autorises et
  encourages; cependant, il est fortement recommand que le redistributeur
  contacte l'auteur avant redistribution, dans l'intrt de garder les
  choses  jour (vous pouvez m'envoyer une copie de ce que vous faites
  pendant que vous y tes). Les traducteurs sont galement encourags 
  contacter l'auteur avant traduction. Le version imprime aura plus
  d'allure.
  Recyclez.

__0001 : Qu'est ce que hping ?

  Hping est un logiciel pour tester des piles TCP/IP, pour dcouvrir des
  politiques de firewalls, pour scanner les ports TCP de nombreuses manires
  diffrentes, pour transfrer les fichiers au travers de firewalls et
  beaucoup d'autres choses. En utilisant hping vous pouvez mme faire
  beaucoup de choses qui ne concernent pas la scurit. Par exemples vous
  pouvez tester les performances rseau, vrifier si un systme tourne,
  vrifier si le champ TOS est gr, etc.

__0002 : Qu'est ce que j'ai besoin de connatre de TCP/IP pour utiliser
         hping ?

  Si vous connaissez TCP/IP vous trouverez hping trs utile, sinon vous
  pouvez utiliser hping seulement pour faire des tests connus. Voir __000A
  pour quelques exemples.

__0003 : Premiers pas avec hping

  La plus simple utilisation de hping est la suivante :

	#hping host

  Cette commande envoie un paquet TCP sans drapeau au port 0 du systme
  cible chaque seconde et montre les rponses du systme. Par exemple :

# hping www.debian.org
ppp0 default routing interface selected (according to /proc)
HPING www.debian.org (ppp0 209.81.8.242): NO FLAGS are set, 40 headers + 0 data bytes
40 bytes from 209.81.8.242: flags=RA seq=0 ttl=243 id=63667 win=0 time=369.4 ms
40 bytes from 209.81.8.242: flags=RA seq=1 ttl=243 id=63719 win=0 time=420.0 ms
40 bytes from 209.81.8.242: flags=RA seq=2 ttl=243 id=63763 win=0 time=350.0 ms
[Ctrl+C]
--- www.debian.org hping statistic ---
3 packets tramitted, 3 packets received, 0% packet loss

  Comme vous pouvez le voir le systme rpond avec un paquet TCP avec les
  drapeaux RST et ACK positionns. Ainsi vous tes capable d'effectuer un
  'ping TCP', utile quand ICMP est filtr. Par dfaut le port 0 est utilis
  parce qu'il serait trange qu'il soit  l'tat LISTEN (ndt : en coute). 
  Si nous envoyons un paquet TCP sans drapeau  un port  l'tat LISTEN, de
  nombreuses piles TCP/IP ne renverront pas de rponse. Ainsi nous sommes
  capables de savoir si un port est dans l'tat LISTEN. Par exemple :

# hping www.debian.org -p 80
ppp0 default routing interface selected (according to /proc)
HPING www.debian.org (ppp0 209.81.8.242): NO FLAGS are set, 40 headers + 0 data bytes
[Ctrl+C]
--- www.debian.org hping statistic ---
5 packets trasmitted, 0 packets received, 100% packet loss

  Puisque le port 80 de www.debian.org est en mode LISTEN nous n'obtenons
  aucune rponse.

  Mais qu'arrive-t-il si nous essayons de 'hpinger' un port bloqu par un
  firewall ? Cela dpend de la politique / configuration du firewall. 
  Habituellement nous obtenons un paquet ICMP ou rien. Par exemple :

# hping www.yahoo.com -p 79
ppp0 default routing interface selected (according to /proc)
HPING www.yahoo.com (ppp0 204.71.200.67): NO FLAGS are set, 40 headers + 0 data bytes
ICMP Packet filtered from 206.132.254.41  (pos1-0-2488M.hr8.SNV.globalcenter.net)

--- www.yahoo.com hping statistic ---
14 packets tramitted, 0 packets received, 100% packet loss

  Le firewall de yahoo ne permet pas de connexion sur le port 79, donc il
  rpond avec un paquet ICMP Packet filtered (ICMP unreachable code 13). 
  Cependant il y a beaucoup de firewalls qui ignorent simplement le paquet. 
  Par exemple :

# hping www.microsoft.com -p 79
ppp0 default routing interface selected (according to /proc)
HPING www.microsoft.com (ppp0 207.46.130.150): NO FLAGS are set, 40 headers + 0 data bytes

--- www.microsoft.com hping statistic ---
4 packets tramitted, 0 packets received, 100% packet loss

  Aucune rponse de microsoft. Est-ce que le port est bloqu ou en mode
  LISTEN ? Dcouvrir cela est trs simple. Nous essayons juste de mettre le
  drapeau ACK au lieu d'envoyer un paquet TCP sans drapeau. Si le systme
  rpond, peut-tre que ce port est en mode LISTEN (mais il est possible
  qu'il y ait une rgle qui refuse les paquets TCP sans drapeau mais
  autorise les paquets ACK).

# hping www.microsoft.com -A -p 79
ppp0 default routing interface selected (according to /proc)
HPING www.microsoft.com (ppp0 207.46.130.149): A set, 40 headers + 0 data bytes

--- www.microsoft.com hping statistic ---
3 packets tramitted, 0 packets received, 100% packet loss

  Toujours pas de rponse, ainsi ce port semble tre filtr. Quoi qu'il en
  soit, il est possible que microsoft utilise un firewall 'intelligent' qui
  sait que pour me connecter je dois d'abord envoyer un paquet SYN.

# hping www.microsoft.com -S -p 79
ppp0 default routing interface selected (according to /proc)
HPING www.microsoft.com (ppp0 207.46.130.149): S set, 40 headers + 0 data bytes

--- www.microsoft.com hping statistic ---
3 packets tramitted, 0 packets received, 100% packet loss

  Ok.. il semble que le port 79 de microsoft est rellement filtr.
  Pour clarification nous envoyons quelques paquets ACK au port 80 de
  www.debian.org :

# hping www.debian.org -p 80 -A
ppp0 default routing interface selected (according to /proc)
HPING www.debian.org (ppp0 209.81.8.242): A set, 40 headers + 0 data bytes
40 bytes from 209.81.8.242: flags=R seq=0 ttl=243 id=5590 win=0 time=379.5 ms
40 bytes from 209.81.8.242: flags=R seq=1 ttl=243 id=5638 win=0 time=370.0 ms
40 bytes from 209.81.8.242: flags=R seq=2 ttl=243 id=5667 win=0 time=360.0 ms

--- www.debian.org hping statistic ---
3 packets tramitted, 3 packets received, 0% packet loss

  Nous pouvons voir les rponses mme si le port 80 est en mode LISTEN parce
  qu'un port en mode LISTEN ne devrait pas rpondre  des paquets TCP avec
  seulement un drapeau NULL, FIN, Xmas, ou Ymas. ACK et RST sont deux
  drapeaux TCP importants qui permettent de tester des ACL (ndt : listes de
  contrle d'accs) et de deviner le champ ip->id en ne laissant pas de
  trace dans les journaux (gnralement).

__0004 : Le champ IP id et comment scanner des ports TCP en utilisant de
         l'usurpation d'adresse.

  Chaque paquet IP est identifi par un champ id de 16 bits. Grce  ce
  champ id les piles IP sont capables de grer la fragmentation. De nombreux
  OS traitent ip->id trivialement : incrmenter ce champ de 1 champ pour
  chaque paquet envoy. En utilisant ce champ id vous tes au minimum
  capable d'estimer le trafic et de scanner en usurpant l'adresse source.
  OpenBSD >= 2.5 et beaucoup d'autres mettent en oeuvre un champ id
  alatoire non rptitif ainsi vous ne pouvez pas jouer avec le champ
  ip->id. Le champ ip->id des systmes Windows n'est pas positionn dans le
  mme ordre (ndt : dans le bon ordre), donc vous devez spcifier l'option
  --winid ou -W si vous utilisez hping2 contre un systme Windows.

  N.B. : Vous tes capable de scanner un systme avec un champ ip->id
         sre/alatoire parce que pour spoofer vos paquets vous avez besoin
         d'un systme tiers avec un champ id incrmental, mais vous n'avez
         pas besoin que la cible de votre scan ait un champ id incrmental.

  Comment estimer le trafic d'un systme en utilisant le champ ip->id ?
  C'est vraiment trs simple :

# hping www.yahoo.com -p 80 -A
ppp0 default routing interface selected (according to /proc)
HPING www.yahoo.com (ppp0 204.71.200.74): A set, 40 headers + 0 data bytes
40 bytes from 204.71.200.74: flags=R seq=0 ttl=53 id=29607 win=0 rtt=329.4 ms
40 bytes from 204.71.200.74: flags=R seq=1 ttl=53 id=31549 win=0 rtt=390.0 ms
40 bytes from 204.71.200.74: flags=R seq=2 ttl=53 id=33432 win=0 rtt=390.0 ms
40 bytes from 204.71.200.74: flags=R seq=3 ttl=53 id=35368 win=0 rtt=380.0 ms
40 bytes from 204.71.200.74: flags=R seq=4 ttl=53 id=37335 win=0 rtt=390.0 ms
40 bytes from 204.71.200.74: flags=R seq=5 ttl=53 id=39157 win=0 rtt=380.0 ms
40 bytes from 204.71.200.74: flags=R seq=6 ttl=53 id=41118 win=0 rtt=370.0 ms
40 bytes from 204.71.200.74: flags=R seq=7 ttl=53 id=43330 win=0 rtt=390.0 ms

--- www.yahoo.com hping statistic ---
8 packets tramitted, 8 packets received, 0% packet loss
round-trip min/avg/max = 329.4/377.4/390.0 ms

  Comme vous pouvez le voir le champ id augmente. Le paquet avec le numro
  de squence 0 possde un champ id gal  29607, le numro 1  31549, ainsi
  le systme www.yahoo.com a envoy 31549-29607 = 1942 paquets en environ
  une seconde. En utilisant l'option -r ou --relid, hping affiche le delta
  entre les champs id des deux derniers paquets reus.

# hping www.yahoo.com -P 80 -A -r
ppp0 default routing interface selected (according to /proc)
HPING www.yahoo.com (ppp0 204.71.200.68): A set, 40 headers + 0 data bytes
40 bytes from 204.71.200.68: flags=R seq=0 ttl=53 id=65179 win=0 rtt=327.1 ms
40 bytes from 204.71.200.68: flags=R seq=1 ttl=53 id=+1936 win=0 rtt=360.0 ms
40 bytes from 204.71.200.68: flags=R seq=2 ttl=53 id=+1880 win=0 rtt=340.0 ms
40 bytes from 204.71.200.68: flags=R seq=3 ttl=53 id=+1993 win=0 rtt=330.0 ms
40 bytes from 204.71.200.68: flags=R seq=4 ttl=53 id=+1871 win=0 rtt=350.0 ms
40 bytes from 204.71.200.68: flags=R seq=5 ttl=53 id=+1932 win=0 rtt=340.0 ms
40 bytes from 204.71.200.68: flags=R seq=6 ttl=53 id=+1776 win=0 rtt=330.0 ms
40 bytes from 204.71.200.68: flags=R seq=7 ttl=53 id=+1749 win=0 rtt=320.0 ms
40 bytes from 204.71.200.68: flags=R seq=8 ttl=53 id=+1888 win=0 rtt=340.0 ms
40 bytes from 204.71.200.68: flags=R seq=9 ttl=53 id=+1907 win=0 rtt=330.0 ms

--- www.yahoo.com hping statistic ---
10 packets tramitted, 10 packets received, 0% packet loss
round-trip min/avg/max = 320.0/336.7/360.0 ms

  videmment si on vrifie le champ id toutes les demi-secondes plutt que
  toutes les secondes, l'incrment sera diminu de moiti.

# hping www.yahoo.com -P 80 -A -r -i u 500000
ppp0 default routing interface selected (according to /proc)
HPING www.yahoo.com (ppp0 204.71.200.68): A set, 40 headers + 0 data bytes
40 bytes from 204.71.200.68: flags=R seq=0 ttl=53 id=35713 win=0 rtt=327.0 ms
40 bytes from 204.71.200.68: flags=R seq=1 ttl=53 id=+806 win=0 rtt=310.0 ms
40 bytes from 204.71.200.68: flags=R seq=2 ttl=53 id=+992 win=0 rtt=320.0 ms
40 bytes from 204.71.200.68: flags=R seq=3 ttl=53 id=+936 win=0 rtt=330.0 ms
40 bytes from 204.71.200.68: flags=R seq=4 ttl=53 id=+987 win=0 rtt=310.0 ms
40 bytes from 204.71.200.68: flags=R seq=5 ttl=53 id=+952 win=0 rtt=320.0 ms
40 bytes from 204.71.200.68: flags=R seq=6 ttl=53 id=+918 win=0 rtt=330.0 ms
40 bytes from 204.71.200.68: flags=R seq=7 ttl=53 id=+809 win=0 rtt=320.0 ms
40 bytes from 204.71.200.68: flags=R seq=8 ttl=53 id=+881 win=0 rtt=320.0 ms

--- www.yahoo.com hping statistic ---
9 packets tramitted, 9 packets received, 0% packet loss
round-trip min/avg/max = 310.0/320.8/330.0 ms

  N.B. Attention, en utilisant ip->id vous n'tes capable que d'estimer *le
       nombre de paquets envoys/unit de temps*. Vous ne pouvez pas
       toujours comparer diffrents systmes. Le champ ip->id concerne
       toutes les interfaces d'un systme et par exemple si un systme
       utilise de la traduction d'adresse ou redirige les connexions TCP
       vers un autre systme (par exemple un firewall utilis pour cacher un
       serveur web) l'incrment du champ ip->id peut rsulter en de fausses
       augmentations.

  En 'hpingant' les boites windows sans utiliser l'option --winid vous
  verrez que les incrment sont des multiples de 256  cause d'un ordre des
  octets invers. Ceci peut tre rellement utile pour dterminer le type
  d'OS.

#hping win95 -r
HPING win95 (eth0 192.168.4.41): NO FLAGS are set, 40 headers + 0 data bytes
46 bytes from 192.168.4.41: flags=RA seq=0 ttl=128 id=47371 win=0 rtt=0.5 ms
46 bytes from 192.168.4.41: flags=RA seq=1 ttl=128 id=+256 win=0 rtt=0.5 ms
46 bytes from 192.168.4.41: flags=RA seq=2 ttl=128 id=+256 win=0 rtt=0.6 ms
46 bytes from 192.168.4.41: flags=RA seq=3 ttl=128 id=+256 win=0 rtt=0.5 ms

--- win95 hping statistic ---
4 packets tramitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 0.5/0.5/0.6 ms

  Les systmes windows sont "marqus", ainsi pour dcouvrir si un systme
  est un Windows vous avez juste besoin d'envoyer quelques paquets.

Comment effectuer des scans SYN spoofs en utilisant un champ id incrmental
? Ce qui suit est le message original (ndt : du moins sa traduction) 
bugtraq  propos de la mthode de scan usurpe/indirecte/passive, dessous
j'essayerai d'expliquer les dtails et comment cela est possible mme avec
UDP avec quelques restrictions.

---- le postage  bugtraq  propos des scans usurps ----

  Salut,

        J'ai dcouvert une nouvelle mthode de scan de ports TCP.  Au
        contraire de toutes les autres elle vous permet de scanner en
        utilisant des paquets usurps (ndt : dont l'adresse IP source est
        usurpe), ainsi les systmes scanns ne peuvent pas voir votre
        adresse relle. Afin de raliser cela j'utilise trois particularits
        bien connues des mises en oeuvre TCP/IP de la plupart des OS.

          (1) * les systmes rpondent SYN|ACK  SYN si le port TCP cible
            est ouvert, et RST|ACK si le port TCP cible est ferm.

          (2) * Vous pouvez connatre le nombre de paquets que les systmes
            envoient en utilisant le champ id de l'entte IP. Voir mes
            prcdents postages ' propos de l'entte IP' dans cette mailing
            liste.

          (3) * les systmes rpondent RST  SYN|ACK, ne rpondent rien 
            RST.


        Les joueurs:

          systme A - le systme malfaisant, l'attaquant.
          systme B - le systme silencieux.
          systme C - le systme victime.

        A est votre systme.
        B est un systme particulier : il ne doit envoyer aucun paquet
         pendant que vous scannez C. Il y a normment de systmes  'trafic
         nul' sur Internet, spcialement la nuit :)
        C est la victime, il doit tre vulnrable aux scans SYN.

        J'ai appel cette mthode de scan 'scan du systme muet' (ndt :
        l'autre traduction de 'dumb' est bte) en rfrence aux
        caractristiques du systme B.


        Comment elle fonctionne :

        Le systme A surveille le nombre de paquets sortants depuis B en
        utilisant le champ id de l'entte IP. Vous pouvez faire ceci
        simplement en utilisant hping :

#hping B -r
HPING B (eth0 xxx.yyy.zzz.jjj): no flags are set, 40 data bytes
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=0 ttl=64 id=41660 win=0 time=1.2 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=1 ttl=64 id=+1 win=0 time=75 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=2 ttl=64 id=+1 win=0 time=91 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=3 ttl=64 id=+1 win=0 time=90 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=4 ttl=64 id=+1 win=0 time=91 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=5 ttl=64 id=+1 win=0 time=87 ms
-cut-
..
.

        Comme vous pouvez le voir, les incrments du champ id sont toujours
        de 1. Ainsi ce systme a la caractristique requise pour jouer le
        rle de B.

        Maintenant le systme A envoie des paquets SYN au port X de C en
        usurpant l'adresse source de B.
        (avec hping => 0.67 c'est trs facile, http://www.kyuzz.org/antirez)
        si le port X de C est ouvert, le systme C enverra SYN|ACK  B (oui,
        le systme C ne sait pas que le vritable expditeur est A). Dans ce
        cas le systme B rpond au SYN|ACK avec un RST.
        Si nous envoyons au systme C quelques paquets SYN il rpondra  B
        quelques paquet SYN|ACK, ainsi B rpondra  C quelques RST... ainsi
        nous verrons que le systme B est en train d'envoyer des paquets !

.
..
-cut-
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=17 ttl=64 id=+1 win=0 time=96 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=18 ttl=64 id=+1 win=0 time=80 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=19 ttl=64 id=+2 win=0 time=83 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=20 ttl=64 id=+3 win=0 time=94 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=21 ttl=64 id=+1 win=0 time=92 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=22 ttl=64 id=+2 win=0 time=82 ms
-cut-
..
.

        Le port est ouvert !

        Par contre, si le port X de C est ferm alors en envoyant  C
        quelques paquets SYN avec l'adresse usurpe de B, il rpondra avec
        des paquets RST  B, et B ne rpondra pas (voir 3). Ainsi nous
        verrons que le systme B n'est en train d'envoyer aucun paquet :

.
..
-cut-
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=52 ttl=64 id=+1 win=0 time=85 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=53 ttl=64 id=+1 win=0 time=83 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=54 ttl=64 id=+1 win=0 time=93 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=55 ttl=64 id=+1 win=0 time=74 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=56 ttl=64 id=+1 win=0 time=95 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=57 ttl=64 id=+1 win=0 time=81 ms
-cut-
..
.

        Le port est ferm.

        Tout ceci peut paratre compliqu  raliser, mais utiliser deux
        sessions de hping dans des consoles virtuelles Linux ou sous X rend
        cela plus simple.
        La premire session surveille le systme B : hping B -r
        La seconde session envoie des paquets SYN spoofs : hping C -a B -S

        Dsol si mon anglais n'est pas clair.
        Cependant ce postage n'est pas adquat pour dcrire exhaustivement
        cette mthode de scan, ainsi je vais crire un article  ce sujet,
        en particulier comment mettre en oeuvre ceci dans un scanner de
        ports (i.e.  nmap), et  propos des caractristiques des joueurs et
        des OS utiliss.

bonne nouvelle anne,
antirez

---- EOF ----

  Comme vous pouvez le voir un scan usurp est trivial  raliser,
  particulirement en utilisant hping2 vous tes capable de spcifier un
  intervalle en micro secondes (-i uX) ainsi vous n'avez pas besoin que le
  systme B soit un systme totalement passif. Vous pouvez lire l'incrment
  du champ id une fois toutes les secondes en envoyant 10 paquets SYN par
  seconde. Si vous envoyez un nombre adquat de paquets SYN par seconde,
  l'incrment du champ id attendu est si important que vous tes  mme de
  voir si le port est ouvert ou ferm mme si le systme B envoie d'autres
  paquets. Exemple :

# hping awake.host.org -p 80 -A -r
ppp0 default routing interface selected (according to /proc)
HPING server.alicom.com (ppp0 111.222.333.44): A set, 40 headers + 0 data bytes
40 bytes from 111.222.333.44: flags=R seq=0 ttl=249 id=47323 win=0 rtt=239.7 ms
40 bytes from 111.222.333.44: flags=R seq=1 ttl=249 id=+6 win=0 rtt=630.0 ms
40 bytes from 111.222.333.44: flags=R seq=2 ttl=249 id=+6 win=0 rtt=280.0 ms
40 bytes from 111.222.333.44: flags=R seq=3 ttl=249 id=+8 win=0 rtt=340.0 ms
40 bytes from 111.222.333.44: flags=R seq=4 ttl=249 id=+5 win=0 rtt=440.0 ms
40 bytes from 111.222.333.44: flags=R seq=5 ttl=249 id=+5 win=0 rtt=410.0 ms
40 bytes from 111.222.333.44: flags=R seq=6 ttl=249 id=+8 win=0 rtt=1509.9 ms
40 bytes from 111.222.333.44: flags=R seq=7 ttl=249 id=+4 win=0 rtt=1460.0 ms
40 bytes from 111.222.333.44: flags=R seq=8 ttl=249 id=+7 win=0 rtt=770.0 ms
40 bytes from 111.222.333.44: flags=R seq=9 ttl=249 id=+5 win=0 rtt=230.0 ms
...

  comme vous pouvez le voir, ce systme n'est pas inactif, il envoie environ
  6 paquets chaque seconde. Maintenant scannez le port 80 de www.yahoo.com
  pour voir s'il est ouvert :

root.1# hping -a server.alicom.com -S -p 80 -i u10000 www.yahoo.com
ppp0 default routing interface selected (according to /proc)
HPING www.yahoo.com (ppp0 204.71.200.74): S set, 40 headers + 0 data bytes

[attendre quelques secondes et presser CTRL+C]

--- www.yahoo.com hping statistic ---
130 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms

  En observant la sortie de 'hping awake.host.org -p 80 -A -r' il est
  simple de comprendre que le port 80 de www.yahoo.com est ouvert :

40 bytes from 111.222.333.44: flags=R seq=59 ttl=249 id=+16 win=0 rtt=380.0 ms
40 bytes from 111.222.333.44: flags=R seq=60 ttl=249 id=+75 win=0 rtt=850.0 ms
40 bytes from 111.222.333.44: flags=R seq=61 ttl=249 id=+12 win=0 rtt=1050.0 ms
40 bytes from 111.222.333.44: flags=R seq=62 ttl=249 id=+1 win=0 rtt=450.0 ms
40 bytes from 111.222.333.44: flags=R seq=63 ttl=249 id=+27 win=0 rtt=230.0 ms
40 bytes from 111.222.333.44: flags=R seq=64 ttl=249 id=+11 win=0 rtt=850.0 ms

  notez que 16+75+12+27+11+1-6 = 136 et que nous avons envoy 130 paquets. 
  Ainsi il est trs probable que les incrments soient produits par nos
  paquets.

  Conseil : en utilisant un systme inactif pour raliser un scan usurp il
            est utile de ne montrer que les rponses qui montrent un
            incrment diffrent de 1. Essayez
            `hping host -r | grep -v "id=+1"'
