2. Problèmes

L'examen des tests effectués par nmap montre qu'ils s'appuient sur des paquets sinon anormaux, du moins étranges. Ceux-ci sont donc facilement détectables et peuvent déclencher des actions appropriées.

Ainsi on peut aisément envisager de modifier les réponses d'une machine locale lorsque l'on reçoit de tels paquets. Mais ces modifications ne sont pas sans conséquences :

• certaines caractéristiques d'OS sont dûes à l'architecture sur laquelle ils fonctionnent, par exemple les tailles de page mémoire sur différents processeurs, ce qui peut éventuellement poser des problèmes de performances ;
• certaines des modifications reposent sur des choix "politiques" lors de l'implémentation de la pile IP (choix des numéros de séquence, taille des fenêtres, options IP supportées). Les modifier permet de tromper le détecteur mais peut poser problème lors de communication légitimes, en détériorant les capacités de la pile IP ou en affaiblissant sa sécurité, par exemple si la qualité générale de la pile IP du système émulé (conformité avec la RFC, robustesse) est inférieure à celle de la machine l'émulant.

Malgré tout, ces modifications sont réalisables dans la plupart des cas pour la machine locale. En revanche, il n'en est pas de même pour les machines routées, en effet :

• tous les tests ne peuvent être gérés par la machine locale, celle-ci ne connaissant pas l'état précis de la pile IP des machines routées, nécessaire pour générer les réponses adéquates ;
• les décisions prises par les machines routées ne peuvent être que partiellement modifiées par la machine locale et ce de manière permanente, la machine locale n'ayant pas de moyen de communiquer ses modifications aux machines routées ;
• toute information perdue par les machines routées ne pourra être restituée par la machine locale (à moins de conserver tout le traffic, ce qui n'est pas réalisable) ;
• la machine locale ne doit pas inventer des informations. Par exemple, si l'on prend le cadre d'un test auquel les machines ne donnent aucune réponse, l'envoi d'une réponse par la machine locale en lieu et place de la machine routée permettrait éventuellemnt de répondre pour une machine inexistante.