Analyse des attaques Réseaux
Contents
1. failles des donn es Seq x 60 ACK y 20 30 attaque consiste pour une machine Attack attendre la phase de connexion et usurper identit de A pendant l change de donn es gt ceci suppose que Attack est capable de sniffer les connexions entre A et B 06 12 07 Anas Abou El Kalam Etude des atta 56 ATTAQUES RESEAU Exemples TCP session hijacking attaque de type interception EE Seq x ACK y 60 i B 1 A Seq y ACK x 60 20 B Attack sniffe la conversation entre AB A Seq x 60 ACK y 20 30 B l A Seq y 20 ACK x 90 20 B __ lAttack A Seq x 90 ACK y 40 30 ESS UE D Attack se fait passer passer pour A en A Seq y 40 ACK x 120 20 B envoyant un paquet coh rent et en spoofant l adresse IP de A 06 12 07 Anas Abou El Kalam Etude des atta 57 ATTAQUES RESEA r A Seq x ACK y 60 B nn TCP session f A Seq y ACK X 60 20 j pi m Attack sniffe h IJ ac ki n g la conversation le A Seq x 60 ACK y 20 30 5 A Seq y 20 ACK x 90 20 B Attack A Seq x 90 ACK y 40 30 E 2 RE nt Attack se fait passer passer pour Aen A Seq y 40 ACK x 120 20 envoyant un paquet coh rent et en spoofant l adresse IP de A zette attaque permet Attack de voler une session telnet tablie entre A et B l dans un ler temps Attack sniffe trafic entre A et B et attend fin de l authentification 2 ensuite Attack forge un paquet av2. on ne peut faire confiance au champ adresse source gt rien ne garantit que le paquet a bien t mis par la machine dont l adresse IP est celle du champ source Les paquets sont rout s de proche en proche gt un routeur quelconque R peut envoyer un paquet une machine B en se faisant asser pour une autre machine A Pas d authentification des annonces de routage des protocoles tels que RIP OSPF permettent de mettre jour dynamiquement les tables de routage par diffusion des routes gt pas d authentification des annonces donc d viation du trafic ais 06 12 07 Anas Abou El Kalam Etude des atta 39 ATTAQUES RESEAU Exemples O _ _ SYN flooding attaque de type d ni de service Saturer le serveur en envoyant une grande quantit de paquets TCP avec le flag SYN arm ans r pondre aux ACK connexion semi ouverte sur la machine B gt consommation de ressources sur le serveur jusqu croulement rappel d une connexion TCP machine A machine B SYN Seq x attente passive Listen Ouverture Syn Sent Established SYN Seq y ACK x 1 Established rotection Ba 8 avec iptables limitant demandes d tablissment de connexion TCP accept es 1 seconde f iptables A FORWARD p tcp syn m limit limit 1 second J ACCEPT 06 12 07 Anas Abou El Kalam Etude des atta 40 ATTAQUES RESEAU Exemples UDP flooding attaque de type d ni de ser
3. Buffer overflow attaque qui n utilise pas une faiblesse du r seau mais tr s utilis e pour attaquer les r seaux gt consiste exploiter des faiblesses des programmes serveurs qui s occupent de services r seaux server ftp serveur http le principe exploiter des programmes C pas assez rigoureux oid copy msg char net msg msg 128 msg 7 28 octets sauvegarde lt sfp pointeur de pile strcpy msg net msg l l return ret adresse de L retour net msg adresse copie de net msg dans msg Pile sans v rifier la taille de net msg 06 12 07 Anas Abou El Kalam Etude des atta 65 ATTAQUES RESEAU Exemples Buffer overflow sinet_msg est tr s long il peut craser msg puis sfp puis l adresse de retour de la onction copy_msg ce qui n est pas normal lorsque la fonction copy_msg se termine on peut alors faire ex cuter du code une adresse hoisie gt justement celle de msg le code ex cuter est ins r dans net _msg qui est donc copi lans msg Pile DDDDDDDDEEEEEEEEEEEE EEEE FFFF FFFFFFFFFFFF 89ABCDEFO121456789AB CDEF 0123 456789ABCDEF msg sfp ret net msg SSSSSSSSSSSSSESSSS SSSS 0xD8 adresse booo gt ici le code ex cuter est SSSSSSS asscias S gt l adresse de retour a t chang e en 0xD8 endroit o a t plac le code ex cuter gt l
4. S curit des RO Partie IT Etude des attaques Anas Abou El Kalam anas abouelkalam enseeiht fr 06 12 07 Anas Abou El Kalam Etude des atta D finitions lt lt y Vuln rabilit faiblesse faille faute accidentelle ou intentionnelle introduite dans sp cification conception ou configuration du syst me Attaque Action malveillante qui tente d exploiter une faiblesse dans le syst me et de violer un ou plusieurs besoins de s curit Intrusion faute op rationnelle externe intentionnellement nuisible r sultant de l exploitation d une vuln rabilit dans le syst me 06 12 07 Anas Abou El Kalam Etude des atta 2 D finitions OOOO M y Menace Violation potentielle d une propri t de s curit Risque Couple menace vuln rabilit 06 12 07 Anas Abou El Kalam Etude des atta D finitions y DoS DDosS d ni de service attaque d un serveur destin e l emp cher de remplir sa fonction m thode classique faire crouler le serveur sous une masse de requ tes g n ralement mal form es dessein pour entra ner une r ponse anormale et paralysante L attaque utilise tr s souvent une multitude de PC zombies travaillant de concert infect s par des backdoors chevaux de Troie et mobilisables distance par un pirate Il est aussi possible de bloquer distance des routeurs en tirant parti de failles de leur software Plan
5. 1 attaquant demande 2 attaquant rep re l ID resoudre www attaquant com 2 A www attack com ID 1 i attack S ns cible com ss www attack com ID 100 3 Attack demande bol resoudre www spoofed c m www Spoofed com ID 1 ns attack com ns cible com attack ns cible com ns spoofed com www spoofed com ID 101 ns cible com attack ns cible com ns spoofed com r l attack 10 0 0 1 LD lt l ns cible com RENE t envoie de fausses adresses apr s avoir spoof l adresse source du serveur DNS du domaine Bpoofed com ns spoofed com 06 12 07 Anas Abou El Kalam Etude des atta 60 ATTAQUES RESEAU Exemples DNS spoofing d guisement zette attaque n cessite que attack contr le le serveur DNS ns attack com t qu il sait pr dire les num ros de s quence DNS de dns cible com l attack envoie une requ te DNS pour le nom www attack com au serveur DNS du domaine cible com 2 le serveur DNS relaie la demande au DNS du domaine attack com gt ainsi attack peut sniffer la requ te pour r cup rer l ID 3 attack falsifie IP associ e un nom de machine www spoofed com et met ensuite ane requ te de r solution pour www spoofed com versns cible com gt ns cible com relaie la requ te en l envoyant ns spoofed com 4 attack envoie r ponses DNS falsifi es sa propre requ te en se faisant passer pour 1s spoofed com plusieurs r ponses
6. U Anas Abou El Kalam Etude des atta 12 Attaques contre FTP TP Transition des pwd en claire TP anonyme mauvaise gestion des droits d acc s peut s av rer tre une erreur fatale Laisser trop de r pertoires en droit d criture et ou d ex cution est plus que dangereux Le pirate pourrait y installer ou y ex cuter des codes malveillants lui permettant j accro tre son pouvoir sur la machine 3oucing attack Attaque par rebonds Vise FTP anonymes Utiliser serv FTP anonyme comme relais pour se connecter d autres serveurs FTP Sc nario e Imaginons qu un pirate se voit refuser l acc s par un serveur FTP dont l acc s est allou seulement un certain groupe d adresses IP e Imaginons que le pirate ne fait pas partie de ce groupe mais qu un serveur FTP anonyme y appartienne e Le pirate peut se connecter sur le serveur FTP anonyme utiliser les commandes assurant la connexion sur le serveur FTP prot g et y r cup rer des fichiers PROTECTION SFTP FTP anonyme seulement en cas de n cessit 73 Gestion des droits e g firewalls Tuneling Attaques contre FTP IP Transition des pwd en claire TP anonyme mauvaise gestion des droits d acc s peut s av rer tre une erreur fatale Laisser trop de r pertoires en droit d criture et ou d ex cution est plus que dangereux Le pirate pourrait y installer ou y ex cuter des codes malveillants lui permettant j accro tre son pouvoir sur la
7. attend la r ponse et la m morise achine A d __ARP request broadcast machine Attack a nn reply gt Attack r pond en indiquant sa propre adresse MAC ainsi elle intercepte les paquets lestination de B 06 12 07 Anas Abou El Kalam Etude des atta 51 ATTAQUES RESEAU Exemples Protection contre ARP spoofing La solution la plus imm diate consiste saisir manuellement sur chaque poste la table le toutes les adresses physiques pr sentes sur le r seau local e Si elle est imm diate cette solution est quasiment inapplicable compte tenu du nombre d h tes connect s au r seau local Une solution correcte consiste mettre en place un serveur DHCP avec une liste ferm e de correspondance entre adresses physiques MAC et IP e La liste exhaustive des adresses physiques est centralis e sur le serveur DHCP e On peut ensuite configurer la journalisation du service pour que toute requ te DHCP relative une MAC inconnue g n re un courrier vers l aministrateur Enfin On peut utiliser sous UNIX un logiciel sp cialis arpwatch e Permet de surveiller tout le trafic ARP Les NIDS peuvent aussi d tecter ce type d attaques Prelude IDS Snort 06 12 07 Anas Abou El Kalam Etude des atta 52 ATTAQUES RESEAU Exemples Sniffing par utilisation de ARP spoofing la machine 10 0 0 227 machine pirate veut recevoir le trafic destin la machine 10 0 0 1 passerelle par d fault de la mach
8. chapitre 0 1 D finitions et principes g n raux 2 Exemples de menaces de quelques SI 3 Crit res g n raux de la s curit des SI Qui conna t l autre et se conna t en cent combats ne sera point d fait qui ne conna t l autre mais se conna t sera vainqueur une fois sur deux qui ne conna t pas plus l autre qu il ne se conna t sera toujours d fait L art de la guerre Sun Tzu 06 12 07 Anas Abou El Kalam Etude des atta 5 Carte puces e Le client ins re sa carte bancaire dans la fente et tape son NIP Services financiers L cran demande le montant du retrait alle e Le client tape le montant du retrait et confirme Serveur transactionnel e Le guichet cr e une transaction et l envoie au serveur transactionnel e Le serveur v rifie l authenticit de la transaction et la relaie aux services financiers e La transaction est confirm e e Le guichet demande au client de retirer sa carte bancaire e Le guichet remet l argent au client et imprime un relev de transaction Client 06 12 07 Anas Abou El Kalam Etude des atta 6 Fraude au distributeur La fraude aux cartes peut s op rer au niveau technologique fausse goulotte pour lire la piste magn tique cam ra pour enregistrer la composition du code 06 12 07 Anas Abou El Kalam Etude des atta Fraude au distributeur 06 12 07 L Fraude au distri
9. de performances le ver d Internet 2 novembre 1988 r par Robert Morris Jr tudiant fils de Robert H Morris Chief Scientist du National Computer Security Center de la National Security Agency utilise 3 failles connues d Unix dont l attaque par dictionnaire des mots de passe suite une faute de conception le ver se propage beaucoup plus rapidement que pr vu jar son auteur condamn 10 000 d amende et 400 heures de travaux d int r t g n ral gt immobilisation de 6000 60000 machines en une nuit gt cr ation du Computer Emergency Response Team CERT le 13 d cembre 06 12 07 Anas Abou El Kalam Etude des atta 33 CLASSIFICATION DES ATTAQUES Vers suite Blaster connu galement sous le nom de Lovsan infecte les machines WindowsNT Windows2000 Windows XP et Windows Server 2003 exploite une faiblesse de DCOM Distributed Component Object Model qui utilise e port TCP IP 135 gt suffit d envoyer une requ te particuli rement formatt e pour provoquer une d faillance buffer overflow un email contenant un cheval de Troie a ensuite circul en pr tendant contenir un correctif jour le vers gt les correctifs de s curit ne sont en g n ral jamais envoy s par courrier modification de la base des registres g n ration d une adresse IP et tentative d infection de la machine correspondante cr ation d un processus qui coute sur le port 1444 et qui pe
10. e Ces passages secrets sont m nag s par les concepteurs de logiciels pour fournir des acc s privil gi s pour les tests ou la maintenance eMais les pirates qui les d couvrent peuvent d jouer tous les m canismes de s curit et rentrer dans le syst me e Parfois install e par un attaquant qui a r ussi s introduire dans le syst me et qui veut se laisser un moyen de se r introduire dans le syst me exemple ao t 1986 Lawrence Berkeley Laboratory un intrus utilise le compte d un utilisateur puis icquiert les privil ges syst mes faille banale mauvaise installation de Gnu emacs plut t que de corriger la faille il est d cid d observer en 10 mois l intrus a tent de p n trer dans 430 ordis reli s Internet principalement militaires il a t possible de localiser et d identifier l intrus un allemand de Hanovre Markus Jess li au Chaos Computer Club et travaillant pour le KGB condamn le 15 f vrier 1990 des veines de 2 ans de prison avec sursis et de 10 000 DM d amende 06 12 07 Anas Abou El Kalam Etude des atta 20 CLASSIFICATION DES ATTAQUES Porte d rob e Backdoors e Ex de backdoors sur certains logiciels messagerie utilitaires syst mes e e g pour certaines commandes suivies d arguments particuliers ou avec un mot de passe bien d fini le logiciel peut avoir un comportement diff rent e Permettre acc s root l utilisateur renvoyer un shell syst me l
11. es sup taille maximale d un paquet IP La pile peut s av rer incapable de g rer cette exception et le reste du trafic sur un r seau de type Ethernet le paquet est fragment et lors de la reconstruction du paquet yas de v rif que la taille du dernier fragment n est pas sup rieure la place dispo Smurffing attaque de type d ni de service as e sur protocole ICMP Lorsqu on envoie ping r seau en broadcast ex 255 255 255 0 le aquet est envoy chacune des machines du r seau Jn pirate envoie un ping en broadcast sur un r seau A avec une IP source correspondant elle de la machine cible B Le flux entre le port ping de la cible B et du r seau A sera nulitpli par le nombre de machines sur le r seau A conduit saturation bande passante du r seau A et du syst me de traitement de paquets de B iptables A FORWARD p icmp icmp type echo request m limit limit 1 second J ACCEPT DDoS attaque de type d ni de service s introduire sur plusieurs machines partir desquelles l attaquant va lancer une attaque sur une ible particuli re attaque en g n ral orchestr e par un ma tre qui donne le signal ATTAQUES RESEAU Exemples IP Spoofing attaque de type d guisement la machine Attack envoie un datagramme IP en changeant l adresse source et en la empla ant par l adresse source d une autre machine les messages de retour sont envoy s par la machine B la machine C d
12. machine 3oucing attack Attaque par rebonds Vise FTP anonymes utiliser serv FTP anonyme comme relais pour se connecter d autres serveurs FTP Sc nario Imaginons qu un pirate se voit refuser l acc s par un serveur FTP dont l acc s est allou seulement un certain groupe d adresses IP Imaginons que le pirate ne fait pas partie de ce groupe mais qu un serveur FTP anonyme y appartienne Le pirate peut se connecter sur le serveur FTP anonyme utiliser les commandes assurant la connexion sur le serveur FTP prot g et y r cup rer des fichiers PROTECTION SFTP FTP anonyme seulement en cas de n cessit Gestion des droits e g firewalls Tuneling omir IGIayayt Un serveur SMTP port 25 sert envoyer les mails sur le r seau local ou sur Internet Probl me courant le serveur SMTP peut servir de relais de mailing anonyme Un pirate peut tr s bien s en servir pour envoyer des mails scabreux travers Internet Un autre probl me commandes EXPN d un alias liste r cepteurs et VRFY e Ces commandes sont sources de nombreuses informations pour le pirate e II convient de les d sactiver si le logiciel de messagerie le permet somment s en prot ger Appliquez des r gles de firewalling assez strictes concernant le serveur SMTP e Usage r serv exclusivement aux machines du r seau interne e tout ce qui sort de l int rieur doit provenir d une adresse interne Certains serveurs SMTP emp
13. prendre connaissance du contenu d es RAS Anas Abou El Kalam Etude des atta 13 2 T l chargement illicites les risques pour l entreprise adre l gal La responsabilit p nale des employ s est engag e en cas l utilisation illicite de moyens informatiques de l entreprise droit l auteur et des marques pour t l chargement de logiciels irates documents audio ou films mp3 DIVX mpeg4 loi sOdfrain code p nal 323 1 323 2 et 323 3 pour les tentatives intrusion et alt ration d un syst me La responsabilit civile des entreprises peut aussi tre tablie si s tribunaux consid rent que l employ en faute tait dans exercice de ses fonctions en s appuyant sur l article 1384 du ode civil ou responsabilit du commettant du fait du pr pos mm pme 06 12 07 Anas Abou El Kalam Etude des atta 14 f La menace strat gique Echelon Un syst me espion nom de code CHELON Accord secret UK USA 1948 entre 5 organisations Espionnage militaire de s curit civil conomique Les moyens Six bases d coute des t l communications R seau de satellites espions Puissance informatique tri et filtrage Anas Abou El Kalai GCHQ constructed an identical Shadow station in 1972 to intercept Inteisat messages for UKUSA Sateuite ground terminal at Etam West Virguua connechng Europe and the US va Intelsat IV ft La menace strat gique _ Echelon Un exemple la N
14. utilisateur etc e Ces trappes sont inclues directement dans le code du logiciel Certains d veloppeurs sont soucieux de poss der un acc s sur tous les syst mes utilisant leurs logiciels e g Ken Thompson l un des p res d UNIX avoue avoir modifi l application bin login en permettant l acc s direct au syst me par la saisie d un mot de passe pr compil en dur Thompson pouvait ainsi visiter tous les syst mes utilisant son application modifi e Parfois certains pirates diffusent des applications infest es de backdoors Protection MAC amp Checksums amp Signatures Veille CERT BugTraq D t l charger ses applications sur le site du distributeur ou du programmeur e Utiliser des serveurs de t l chargement non li s l auteur de l application peut se r lkverdangereux Anas Abou El Kalam Etude des atta 21 CLASSIFICATION DES ATTAQUES cheval de Troie programme effectuant une fonction illicite tout en donnant l apparence d effectuer une fonction l gitime e la fonction illicite peut tre de divulguer ou d alt rer des informations ou peut tre une bombe logique Exemple AIDS entre le 8 et le 12 d cembre 1989 environ 10 000 disquettes publicitaires ont t nvoy es 7000 abonn s de PC Business World GB et 3000 participants europ ens l une conf rence de POMS sur le SIDA en octobre 1988 l enveloppe contenait le texte d une licence et le mode d empl
15. Compilez noyau en statique Vous viterez ainsi chargement modules externes 12 07 Anas Abou El Kalam Etude des atta 23 Classification attaques o M O Spyware contraction de spy et software Logiciel espion qui collecte des donn es personnelles avant de les envoyer un tiers e g Keylogger transmettre les donn es saisies au clavier Spamming usage abusif d un syst me messagerie destin exposer d lib r ment et de mani re r p t e les utilisateurs des contenus non pertinents et non sollicit s 06 12 07 Anas Abou El Kalam Etude des atta 24 CLASSIFICATION DES ATTAQUES virus segment de programme qui lorsqu il s ex cute se reproduit en s adjoignant un autre programme du syst me ou d application et qui devient ainsi un cheval de Troie Propri t s infection multiplication fct nocive gt ventuellement porteur d une bombe logique gt propagation par change de support disquettes ou par r seau peut simplement s adjoindre un autre programme et tre donc ex cut uniquement orsque ce programme est ex cut peut s installer dans le secteur de boot d une machine d une disquette ou dans la table des nterruptions on parle de virus r sident macros virus dans certains documents des commandes peuvent tre enregistr es comme des onn es formules de calcul dans les tableurs ou macros dans des traitements de texte ces commandes p
16. L LRCLLCLLLL T LULUUY UVD LLCL kd I CLASSIFICATION DES ATTAQUES virus suite virus Mimail octobre 2003 virus de messagerie lectronique le sujet est Re 2 our private photos dont l emetteur est james lt domaine_ destinataire gt un document attach PHOTOS ZIP contient un virus qui s il est ex cut envoie toutes les adresses emails trouv es sur la machine et attaque le site jarkprofrits com En vrac klez BugBear Sober 06 12 07 Anas Abou El Kalam Etude des atta 27 3 Les virus Internet les vers Code Red 17 Juillet 2001 le virus CodeRed commence une diffusion ultra rapide via Internet 250 000 syst mes infect s en moins de 9 heures cible les serveurs IIS de windows utilise le protocole TCP IP et le port 80 d figure les pages web h berg es en y apposant la signature Hacked by Chinese utilise un moteur de scan d adresses IP puis s auto installe sur les syst mes vuln rables identifi s entre le 1er et le 19 de chaque mois le virus se propage puis partir du 20 il attaque DoS le site Web de la Maison Blanche 06 12 07 Anas Abou El Kalam Etude des atta 28 3 Exemple de mode de propagation des virus via email 3 Exemple de mode de propagation des virus via email 24 Octobre 2002 r ception d une carte virtuelle Friend Greeting sans me m fier je clique sur le lien car j ai envie de voir le nessage applicati
17. SA La plus grande agence d espionnage du monde Cr e en 52 plus de 20 000 agents Budget annuel 3 G Aide des arm es et du National Reconnaissance Office Concentration math maticiens linguistes analystes Clients e Maison Blanche D partement d tat CIA FBI Pentagone DEA Tr sor D partement du Commerce Missions e couter enregistrer d coder traduire analyser les informations e Casser les codes de chiffrement e laborer des codes de chiffrement 06 12 07 Anas Abou El Kalam Etude des atta 16 contexte strat gique Quels agresseurs et quelles cibles Etats trangers Espionnage conomique Terrorisme politique et religieux crime organis Hackers Utilisateurs Politiques Militaire Economique industrielle financi re commerciale e Scientifique 06 12 07 Anas Abou El Kalam Etude des atta 17 CLASSIFICATION DES ATTAQUES Ecoute passive l attaquant se contente d acc der sans modification aux informations g n r es e g sur un DD transmises sur canal de communication e g MdP gt sniffing scanning eavesdropping wire tapping Interception attaquant modifie des informations transmises ou injecte des informations gt rejeu insertion substitution destruction TCP hijacking D guisement attaquant tente de se faire passer pour quelqu un d autre gt IP spoofing web page defacing Fishing ryptanalyse obten
18. TAQUES RESEAU Exemples Sniffing par utilisation de ARP spoofing Attack corrompt le cache ARP des machines Victimel etVictime2 en envoyant les faux ARP reply gt 1 envoie sa propre adresse MAC lorsque Victimel resp Victime2 essaie de sonna tre l adresse MAC de Victime resp Victimel gt il intercepte ainsi la communication entre Victimel et Victime2 Switching Hub Switch Ethernet fes ni 5 sJ RUE 2 Victimel Attack Victime2 06 12 07 Anas Abou El Kalam Etude des atta 54 ATTAQUES RESEAU Exemples Sniffing par utilisation de ARP flooding le switch g re une correspondance interne entre num ro de port et une adresse Ethernet il n envoie donc les paquets destin s une adresse Ethernet particuli re que sur le port correspondant l attaque consiste envoyer de multitudes de faux couples MAC IP pour saturer les ables du switch gt le switch passe alors en mode hub et envoie toutes les trames sur tous les ports witch Ethernet Table ARF MAC lt gt IP tation lt gt port Switching Hub flooding ARP rafale de fausses annonces MAC IP 06 12 07 Anas Abou El Kalam Etude des atta 55 ATTAQUES RESEAU Exemples TCP session hijacking attaque de type interception Rappel change de donn es en connexion TCP machine A machine B __ Seq x ACK y 60 um ro de sro d acquitemer squence num ro d acquitement Seq y ACK x 60 20
19. ant local d accro tre ses privil ges ATTAQUES RESEAU Exemples Attaque par format et buffer overflow de ntpd Deux erreurs de programmation figurent dans le serveur ntpd Network Time Protocol Daemon et pourraient permettre un attaquant distant d accro tre ses privil ges e ntpd daemon qui met et maintient l heure du syst me en synchronisation avec des serveurs de temps standards sur Internet e ntpd s ex cute avec les privil ges du root e But de l attaque obtenir acc s root e Attaque construire des r ponses pour une requ te avec des arguments readvar longs e l est facile de spoofer l adresse source d un serveur ntp 06 12 07 Anas Abou El Kalam Etude des atta 69 Attaques sur diff rents protocoles 06 12 07 Anas Abou El Kalam Etude des atta 70 Attaques contre Dynamic Host Configuration Protocol DHCP ttaque par puisement de ressources Un serveur DHCP poss de un stock d IP qu il distribue aux diff rents clients Ce stock est bien s r limit II y aura seulement un nombre d fini de clients pouvant jisposer des diff rentes adresses IP Sc nario possible si DHCP est mal administr e g si les correspondances entre adresses MAC et IP se font dynamiquement partir d une plage d IP vacantes e Si un pirate g n re un grand nombre de requ tes DHCP semblant venir d un grand nombre de clients diff rents le serveur puisera vite son stock d adresses e Les vrais clients n
20. aquet retour utilise la m me route que celle du paquet aller et passe donc par Attack e le paquet envoy par attaquant est accept par B puisqu il semble venir de A machine de confiance i IP spoofing machine Attack LSR Rl a Attack xs Rn Sa machine B C1 MES A activ e Attack fait L RE partie des routeurs travers s s lt 2 r ponse envoy Attack puisqu il fait partie des routeurs indiqu s dans l option source routing 06 12 07 Anas Abou El Kalam Etude des atta 45 ATTAQUES RESEAU Exemples IP Spoofing par pr diction du N s quence TCP Attack emp che A de terminer la connexion gr ce une attaque de type SYN Flooding Si Attack est capable de pr dire le num ro de s quence Y il se fait donc passer pour A Apr s avoir d termin une machine de confiance ici la machine A Attack met iors service via un SYN Flooding par exemple n cessaire pour qu elle ne puisse pondre aux paquets envoy s par B ensuite l attaquant doit tre capable de pr dire num ros de quence utilis s par la machine B Attack initie une connexion TCP rsh par exemple en envoyant un paquet avec le flag YN B eten se faisant passer pour A B r pond avec un paquet dont les flags SYN et ACK sont activ s et dont le num ro de quence vaut y L Attack renvoie B un paquet contenant le flag TCP ACK avec le bon num ro cquitement ceci en se faisant toujours passer pour A machine A 7 paq
21. art consiste donc fabriquer net_msg SSSS SSOxD8 ATTAQUES RESEAU Exemples Buffer overflow example Buffer overflow de wu ftpd par MAIL ADMIN Lorsque la fonctionnalit MAIL ADMIN de wu ftpd est activ e un attaquant distant pourrait provoquer un d bordement de m moire Le serveur wu ftpd peut tre compil avec la fonctionnalit IATI ADMIN Dans ce cas un email est envoy vers administrateur chaque fois qu un fichier est upload sur le serveur From wu ftpd Subject New file uploaded nom fichier Cependant si la taille du nom de fichier avoisine les 32768 aract res un buffer overflow se produit Un attaquant pourrait donc employer cette vuln rabilit dans le ut de faire ex cuter du code 06 12 07 Anas Abou El Kalam Etude des atta 67 ATTAQUES RESEAU Exemples Buffer overflow example Buffer overflow de ipcs Le programme usr bin ipcs fournit des informations sur l usage des ressources IPC Inter Process Communication e ipcs affiche le nombre de queues de message et de s maphores cr s ainsi que les segments de m moire L option C indique la source d informations employer En g n ral il s agit d un ichier core Par exemple e ipcs C tmp core Cependant ipcs ne v rifie pas la taille du nom de fichier e Un attaquant local peut alors sp cifier un nom de fichier core trop long dans le but de provoquer un buffer overflow e e g permettre un attaqu
22. buteur Quelques r f rences e AFP 17 02 03 N mes e AFP 09 04 03 Nice e AFP 19 12 03 Meaux Source panorama clusif 2003 06 12 07 Anas Abou El Kalam Etude des atta 9 L Yescard et payements frauduleux La yescard est une carte puce programmable qui permettait de faire des transactions d achats sur quelques types d automates de paiement lectronique La r flexion th orique a donn lieu une fraude organis e avec un pr judice de plusieurs MF mais tr s localis e quelques d partements Chronologie Printemps 2001 cr ation d un groupe de yescarder Et reportages presse et t l exploitations personnelles Automne mise en place de r seaux organis s notamment proximit d automates de distribution de carburant Source panorama clusif 2001 06 12 07 Anas Abou El Kalam Etude des atta 10 Yescard et payements frauduleux Juelques d tails En dessous d un seuil de transaction d achat l authentification de la arte et de son porteur sont fait en local Seuls les automates carburant titre de transport location vid o etc ont concern s E cn gezeroLee Box v1 0 Les DAB GAB requi rent une demande d autorisation en ligne Les TPE chez les commer ants n cessiteraient la contre fa on a visuelle de la carte ou une collusion 06 12 07 Anas Abou El Kalam Le logiciel GOlee pour la fabrication de Yescard Yescard et payements f
23. chent le relayage v rifiez si votre serveur de nessagerie supporte cette option 06 12 07 Anas Abou El Kalam Etude des atta 75 DEMOS VIDEOS ATTAQUES 06 12 07 Anas Abou El Kalam Etude des atta 76 Maintenant qu on connait notre ennemi comment se prot ger 06 12 07 Anas Abou El Kalam Etude des atta 71 SECURITE LES MOYENS Identification authentification Politiques d autorisations et privil ges Gestion des droits et des privil ges Contr les d acc s logiques et physiques Profils de protection classes de fonctionnalit s valuation certification accr ditation agr ment Journalisation audit des v nements li s la s curit W sy 06 12 07 Anas Abou El Kalam Etude des atta 78
24. consulte ces pages ie5 i Ftud i Exploit certaines faif s ge securite getts E 3 Les virus Internet les vers NIMDA Sympt mes postes infect s poss dent sur leur disque fichiers README EXE README EML fichiers comportant l extension NWS fichiers dont le nom est du type mep tmp mep tmp exe cradiquer d connecter la machine infect e du r seau utiliser un antivirus r cent kit de d sinfection de Symantec patch pour Microsoft Internet Explorer 5 01 et 5 5 06 12 07 Anas Abou El Kalam Etude des atta 37 D finitions Ver Virus Autonome n utilisent pas n cessairement un ichier pour se propager ur DD parasites dissimul dans fichiers ou dans code ex cutable contenu dans secteur d marrage disque infectent en particulier les fichiers exe rrive souvent par pi ce jointe un mail omprenant un code malicieux ex cut utomatiquement par le logiciel de courrier lectronique ou manuellement par l utilisateur Souvent par port r seau ie se multiplie pas localement se multiplie localement s autoduplique se propage en infectant tour tour les fichiers Effets fichiers effac s disque dur format saturation des disques modification du MBR 06 0 Anas Abo ATTAQUES RESEAU Exemples O E P n est pas un protocole o la s curit a t int gr e la base P est un protocole datagramme
25. e de connexion TCP e le premier paquet IP de 68 octets un paquet de 68 octets n est jamais fragment nouveau ne contient comme donn es que les premiers octets de l en t te TCP ports source et destination ainsi que num ro de s quence e les donn es du 2nd paquet IP renferment la demande de connexion TCP flag SYN 1 gt si le fitrage est effectu sur les flags TCP SYN ACK il choue car le premier paquet ren poss de pas le paquet peut alors tre accept gt les paquets suivants passent galement et la destination le paquet est reconstitu la onnexion est tablie alors qu elle aurait d tre refus e 06 12 07 Anas Abou El Kalam Etude des atta 63 ATTAQUES RESEAU Exemples Overlapping Fragments attacks lorsqu un paquet IP est fragment le paquet complet est reconstitu lorsqu il arrive destination l algorithme de r assemblage du paquet est d crit dans la RFC 791 il stipule que si 2 fragments ont eu une intersection non vide c est les donn es du dernier paquet re u qui seront utilis es pour la reconstruction du paquet l attaque consiste donc envoyer un premier fragment inoffensif qui sera accept par es filtres et ensuite de construire un deuxi me fragment dont certaines donn es recouvrent celles du premier paquet et qui contiennent donc une attaque 06 12 07 Anas Abou El Kalam Etude des atta 64 ATTAQUES RESEAU Exemples
26. e pourront donc plus obtenir d adresse IP e Le trafic r seau sera paralys aux serveurs DHCP Cette attaque vient en compl ment de la premi re e Si un pirate a r ussi saturer un serveur DHCP par puisement de ressources il peut tr s bien en activer un autre la place e Il pourra ainsi contr ler tout le trafic r seau 06 12 07 Anas Abou El Kalam Etude des atta 71 DHCP Protection Limiter le service DHCP une liste ferm e de correspondances d MAC et IP e Ainsi toute requ te trang re cette liste est syst matiquement rejet e Sous Windows e remplissez champs de l option R servations dans le prog de config du serveur DHCP Sous Linux e ditez le fichier etc dhcpd conf sur le serveur DHCP e Par ex pour client toto avec l MAC 00 C0 34 45 56 67 laquelle correspond l 192 168 1 2 le routeur 192 168 1 1 et le Serveur de noms 192 168 1 3 host toto hardware ethernet 00 C0 34 45 56 67 fixed address 192 168 1 2 option routers 192 168 1 1 option domain name server 192 168 1 3 S il est impossible d tablir une liste ferm e segmentez votre r seau en sous sseaux et attribuez leur chacun un serveur DHCP e Ces serveurs seront ind pendants les uns des autres e Les nouvelles versions du protocole DHCP permettent l utilisation de m canismes d authentification plus stricts e Assurez VOUS que vos serveurs utilisent ces derni res versions de protocoles RFC3118 UO 12
27. ec comme adresse IP source celle de A et le num ro J acquittement attendu par B B accepte donc ce paquet pour cela il faut que Attack ait cout le trafic pour pouvoir correctement envoyer le num ro d acquitement et de s quence gt la connexion entre A et B devient d synchronis e e paquet inject par Attack fait que paquet l gitime envoy par A n est plus accept par B cause du num ro de s quence de m me pour les paquets envoy s par B A gt appara t le probl me du Ack Storm A et B envoient des ACK en permanence ATTAQUES RESEAU Exemples O E DNS spoofing d guisement Le protocole DNS Domain Name System a pour r le de convertir un nom complet de machine par ex java enseeiht fr en son adresse IP 193 50 169 118 t r ciproquement protocole bas sur le m canisme client serveur un serveur DNS r pond aux requ tes des clients L attaque consiste envoyer une fausse r ponse une requ te DNS avant le serveur DNS gt l en t te du protocole comporte un champ d identification qui permet de faire correspondre es r ponses aux demandes e la faiblesse provient de certains serveurs DNS qui g n rent des ID pr visibles gt attaque n cessite que l attaquant contr le un serveur DNS par ex ns attack com ayant autorit sur le domaine attack com 06 12 07 Anas Abou El Kalam Etude des atta 59 ATTAQUES RESEAU Exemples DNS spoofing d guisement p es
28. euvent tre ex cut es l ouverture du fichier gt un virus peut s ins rer dans ces commandes gt un logiciel comme Excel pr vient de la pr sence de telles macros et demande autorisation pour les ex cuter virus de messagerie un cheval de Troie est ins r dans un document attach un courier lectronique tout est fait pour que l utilisateur ex cute le document attach titre trompeur CLASSIFICATION DES ATTAQUES virus suite virus vendredi13 Isra l d cembre 1987 virus pour PC avec une bombe logique d truit les programmes lorsqu il s ex cute un vendredi 13 virus nimda septembre 2001 virus pour PC contenant un cheval de Troie ce virus se r pand par fichiers attach s dans la messagerie pas de sujet document attach README EXE le virus peut s ex cuter automatiquement l ouverture du mail sous Outlook il provoque le partage en criture du disque local il tente de se propager par les dossiers partag s il tente de saturer les serveurs de messageries et scane massivement le port 80 de ertains serveurs web pour d grader leurs performances virus loveyou 2000 virus de messagerie lectronique le sujet est I love you un document attach LOVE LETTER FOR YOU TXT vbs contient un virus d truit beaucoup de fichiers locaux en les rempla ant par sa propre copie ssaie galement de se propager par messagerie et par IRC VU 12 LAUVU I
29. ine 10 0 0 171 machine victime arpspoof t victime passerelle Attaquant dire la victime que mnt nous notre MAC appartient l IP de passerelle echo 1 gt proc sys net ipv4 ip_forward e Permettre l IP forwarding de mani re ce que le traffic passe par le host de l attaquant root victime traceroute 10 0 0 1 traceroute to 10 0 0 1 10 0 0 1 30 hops max 40 byte packets 1 10 0 0 1 10 0 0 1 1 219 ms 1 061 ms 0 849 ms paquets ARP empoisonnant le cache ARP de la machine 10 0 0 171 root victime arp Address HWtype HWAddress Flags Mask Iface A ERA i avec des ARP repl 10 0 0 1 ether 00 b0 c2 88 de 65 c eth0 Pol tiani ir AN 10 0 0 227 ather 00 00 96 35 c9 3f c etho indiquant que t aaresse MAC associ e 10 0 0 1 root pirate arpspoof t 10 0 0 171 10 0 0 1 est 00 00 86 35 c9 3f 0 0 86 35 c9 1f 0 60 9 de 64 f0 0906 42 arp reply 10 0 0 1 is at 0 0 86 25 c9 23 0 0 86 15 c9 1f 0 60 8 de 64 f0 0806 42 arp reply 10 0 0 1 is at 0 0 86 15 c9 23 root victime arp Address HWtype HW ddress Flags Mask Iface 10 0 0 1 ether 00 00 86 35 c9 3f f C eth0 10 0 0 227 ether 00 00 96 35 c9 3f C eth0 root victime traceroute 10 0 0 1 traceroute to 10 0 0 1 10 0 0 1 30 hops max 40 byte packets Pour v rifier aue le trafic 1 10 0 0 227 10 0 0 227 1 712 ms 1 465 ms 1 501 ms ne PR o if T t pa af 2 10 0 0 1 10 0 0 1 2 238 ms 2 121 ms 2 169 ms passe maintenant pai la machine 10 0 0 227 AT
30. ir des informations secr tes partir d informations publiques gt partir d un message chiffr retrouver le message en clair retrouver la cl 06 12 07 Anas Abou El Kalam Etude des atta 18 CLASSIFICATION DES ATTAQUES i D ni de service l attaquant vise emp cher sa victime de continuer d livrer le service attaque de la Jlispo gt spamming flooding smurfing Bombe logique sont aussi n fastes que les virus ou les vers et sont la cause de d gats similaires La diff rence est jue la bombe logique a besoin d un d tonateur pour s activer _ est donc une fonction d vastatrice partie de programme qui reste dormante d clench e etardement ou par certaines conditions e date pr cise vendredi 13 e pr sence de certains utilisateurs certains logiciels ou mat riels apr s un certain nombre d activations gt destruction d infos stock es donn es progs infos de s curit ex par formatage DD gt diffusion de fausses informations de diagnostic gt d g ts mat riels usure anormale de p riph riques destruction d crans de disquettes l imprimantes etc 06 12 07 Anas Abou El Kalam Etude des atta 19 CLASSIFICATION DES ATTAQUES Porte d rob e Backdoors e Acc s cach s moyen de contourner les m canismes de s curit efaille du syst me de s curit due une faute de conception accidentelle ou intentionnelle cheval de Troie en particulier
31. nect Scan against 192 168 1 4 dding open port 111 tcp dding open port 139 tcp emote operating system guess Linux 2 1 19 2 2 19 CP Sequence Prediction Class random positive increments Jifficulty 4687481 Good luck PID Sequence Generation Incremental map run completed 1 IP address 1 host up scanned in 3 seconds Si par malchance lors d un scan vous obtenez un nombre tr s bas avec un message du type Trivial Joke cela signifie que votre syst me est tr s vuln rable une attaque par IP Spoofing Autres moyens de protection e Supprimer tous les services se basant sur l authentification IP rlogin rsh e Certains modules comme rp filter sous Linux permettent une d fense contre ces attaques e Utilisation de tunnels 06 12 07 Anas Abou El Kalam Etude des atta 48 ATTAQUES RESEAU Exemples Sniffing attaque de type coute passive Exemple sur un LAN de type Ethernet Possibilit d observer tout le trafic entre la machine A et B sur la machine Attack La notion de switch Ethernet et de commutation semble r soudre ce probl me gt pas vraiment cf transparent sur le sniffing par utilisation de spoofing ARP Hub Ethernet par exemple Es M on HR Te RE 4 Ta ne machine A machine B machine Attack 06 12 07 Anas Abou El Kalam Etude des atta 49 ATTAQUES RESEAU Exemples Dutils Snnifers Le sniffer place la carte r seau dans le mode transparent promi
32. oi d installation objet pr tendu du programme valuer le risque d tre atteint par le SIDA en fait apr s 90 d marrages du PC une bombe logique tait lanc e chiffrement des noms de fichiers sur le disque e dition d un bon de commande pour payer la licence l ordre de PC Cybor Protection Antivirus MAC amp Signatures Veille CERT BugTraq Ne pas faire confiance aux prog non s rs Macros 06 12 07 Anas Abou El Kalam Etude des atta 22 CLASSIFICATION DES ATTAQUES RootKits programme permettant d automatiser la dissimulation et l effacement des traces d un pirate sur une machine Modifier commandes permettant d administrer syst me cacher ports ouverts par pirate Utilisent le principe des backdoors types ls ps netstat gt Modif lib gt Modif comportement noyau par le biais de modules charg s en m moire Protection Les checksums e effectuer checksums la fin d une installation sur les diff rents fichiers comme ls ps stat ifconfig etc et sur les diff rentes biblioth ques partag es e Cette BD devrait tre stock e sur CDROM ou autre support non r inscriptible Compiler les programmes vitaux en statique e disposerez d une trousse de secours en cas d infection par rootkits e pour cela 1l faut disposer d un OS permettant acc der sources progs vitaux Chkrootk1 tpermet de d tecter la pr sence d un rootkit sous FreeBsd libre l
33. on envoy e par un ami Security Warning Paget you have an E Card from Message Rich Text reetings has sent you an E Card a vinual postcard from FriendGreetings com You can pickup your E Card at FriendGreeiings com by clicking on the link below Paget sent you a greeting card Please pick it up 30 29 06 12 07 3 Exemple de mode de propagation des virus via email 3 Exemple de mode de propagation des virus via email Me voil r compens Et rapidement inquiet en voyant le envoy s de mon poste lings net cord cards Sans pr ter trop attention ce qui se passe je r pond oui quelques questions et me voil pr t relayer des email compteur de messages ELI InstallShield Wizard Preparing to Install Friend Greetings Setup is preparing the InstallShield Wizard which will guide you through the program setup process Please wait Downloading file INSTMSIA EXE RS Estimated time remaining 16 sec 1236 KB of 1668 KB downloaded at 22 8 KB sec 31 06 12 07 32 CLASSIFICATION DES ATTAQUES Vers programme autonome qui s ex cute se propage et se reproduit linsu des utilisateurs lOrmaux gt ventuellement porteur d une bombe logique gt propagation par r seau premier ver Xerox 1975 programme utile compos de segments qui se copiaient sur es machines inactives du r seau tests de machines mesure
34. onc Attack neles e oit pas gt possibilit d utiliser le champ source routing d un datagramme IP qui permet le sp cifier le chemin que va prendre un datagramme cf transparent suivant nachine Attack ET gt F JT ET gt F 06 12 07 Anas Abou El Kalam Etude des atta 43 machine B ATTAQUES RESEAU Exemples P Spoofing par Source Routing la machine Attack envoie un datagramme IP en changeant l adresse source et en la empla ant par l adresse source d une autre machine messages retour sont envoy s par machine B la machine C donc Attack ne les re oit pas gt utiliser champ source routing d un datagramme IP pour sp cifier chemin source routing impose la route exacte suivre pour aller destination la liste des diff rents routeurs traverser est ins r e dans le datagramme loose source routing impose la travers e de certains routeurs pour aller destination d autres routeurs peuvent galement tre travers s 06 12 07 Anas Abou El Kalam Etude des atta 44 ATTAQUES RESEAU Exemples P Spoofing par Source Routing suite attaque la machine Attack veut se faire passer pour la machine A aupr s de B Attack choisit une machine A laquelle B fait confiance l Attack cr e un paquet IP en mettant comme adresse source celle de A Poption Loose source routing est positionn e e Attack fait partie des routeurs traverser le p
35. pour avoir plus de chances de tomber sur le bon ID gt le cache DNS de cible com est donc corrompu Protection Configurez votre serveur DNS pour qu il ne r solve directement que les noms de machine du seau sur lequel il a autorit Autorisez seulement machines internes demander la r solution de noms de domaines distants Mettez jour ou changez les logiciels assurant le service DNS pour qu ils vous prot gent des attaques d crites pr cedemment Voir http www linux france org article memo dns node16 html 06 12 07 Anas Abou El Kalam Etude des atta 61 ATTAQUES RESEAU Exemples Attaque RIP hffusion dynamique de messages permettant de mettre jour les tables de routage aucune authentification l origine gt possibilit pour un intrus de forger un paquet de fa on modifier les tables de routages d un routeur gt possibilit pour un intrus de recevoir certains paquets qui ne lui taient pas destin s e il suffit qu il envoie un message RIP forg indiquant que lui m me est routeur pour certaines adresses de r seaux par exemple 06 12 07 Anas Abou El Kalam Etude des atta 62 ATTAQUES RESEAU Exemples Tiny Fragments attacks un datagramme IP peut tre fragment dans ce cas les filtres IP appliquent la m me r gle de 1ltrage tous les fragments d un paquet la r gle est d termin e au premier fragment l attaque consiste fragmenter sur 2 paquets IP une demand
36. rauduleux Contexte Connaissance du principe dans le milieu professionnel Affaire judiciaire Serge Humpich vs GIE CB Diffusion des clefs sur Usenet donne la d composition du module op rationnel 213598 035920910082395022704999628 79 70510953418264 17406442524165008583957 746445088405009430865999 1113954325148827987925490175477024844070922844843 1917481 702524504439375786268230862180696934189293 Migration EMV 5 1 et 5 2 depuis janvier 2002 avec durcissement du processus d authentification et de non r pudiation clef 768bits 06 12 07 Anas Abou El Kalam Etude des atta 12 Z T l chargement illicites les risques pour l entreprise Jugement TGI Marseille du 11 06 03 Un employ de Lucent Technologies con oit un site personnel d non ant les abus selon lui de sa soci t Escota IlI met en ligne ce site depuis son poste de travail Le tribunal de grande instance de Marseille condamne l auteur de ce site mais aussi sa soci t en consid rant que la faute a t commise dans l exercice de ses fonctions article 1384 du code civil D cision du conseil d tat du 15 10 03 le conseil d tat confirme l exclusion temporaire d un adjoint technique de recherche Cet employ avait utilis l adresse lectronique de son directeur de laboratoire pour communiquer sur le site d une secte L entreprise a t avertie de ce probl me par un autre salari et a a priori constat le fait sur le site sans
37. rmet d ex cuter hstance des commandes sur la machine infect e en fontion de certaines conditions certains jours de certains mois une attaque le type d ni de service est lanc e contre le site windowsupdate com SYN flooding NB le vers contient la cha ne de caract res I just want to say LOVE YOU SAN illy gates why do you make this possible stop making money and fix your software UO I1Z U Anas ADOU EI Kalam ETUGE CES alta 34 3 Les virus Internet les vers NIMDA Ver se propageant l aide du courrier lectronique exploite galement 4 autres modes de propagation web r pertoires partag s failles de serveur Microsoft IIS changes de fichiers Affecte particuli rement les utilisateurs de Microsoft Outlook sous Windows 95 98 Millenium NT4 et 2000 06 12 07 Anas Abou El Kalam Etude des atta 35 3 Les virus Internet les vers NIMDA r cup re pr sentes dans carnets d adresses de Microsoft Outlook et Eudora fichiers HTML pr sents sur le DD de la machine infect e envoie tous les destinataires un courrier dont corps est vide sujet est al atoire long pi ce jointe nomm e Readme exe ou Readme eml se propager travers r pertoires partag s des r seaux Microsoft Windows en infectant les fichiers exe s y trouvant consultation de pages Web sur serveurs infect s peut entra ner une infection lorsqu un utilisateur
38. scious carte intercepte tous paquets sur le segment r seau m me ceux qui ne lui sont pas destin s Tcpdump tcpdump org e affichent les donn es intercept es brutes gt fichiers de log tr s volumineux dsniff www packetstormsecurity org e R cup re pwd amp affiche directement l cran pwd login client serveur Ethereal Wireshark ethereal com e affiche transactions ayant cours sur le r seau notion de filtre Protection Un sniffer est passif il n envoie aucun paquet il ne fait qu intercepter Mais la carte r seau tant en mode transparent son comportement s en trouve chang on temps et sa fa on de r pondre certains paquets sont modifi s On peut d tecter la pr sence d un sniffer gr ce ce changement de comportement e AntiSniff sur win amp linux envoie paquets tests et en d duit si la carte est en mode transparent donc susceptible de sniffer e chiffrer transactions r seaux tunnels IPSec VPN SSL 06 12 07 Anas Abou El Kalam Etude des atta 50 ATTAQUES RESEAU Exemples ARP spoofing attaque de type d quisement tout datagramme IP est encapsul dans une trame Ethernet avec source et destination le protocole ARP Address Resolution Protocol impl mente le m canisme de r solution d une dresse IP en une adresse MAC Ethernet si la machine source ne conna t pas l adresse MAC de la machine destination elle envoie ne requete ARP en broadcast
39. uet ignor par C I 3 SYN Seq y ACK x 1 attaque c Le SYNF lood ias i a machine Atta i a machine B 2 SYN Seq x IP Source IP A 177772 SW Seg x or source oIP A _ 4 ACK y 1 ATTAQUES RESEAU Exemples IP Spoofing par pr diction du N s quence TCP l attribution des num ros de s quence TCP tait faible dans l impl mentation originale gt num ro de s quence est incr ment d une constante chaque seconde et de la moiti le cette constante chaque nouvelle connexion si un intrus initie une connexion et visualise le num ro de s quence associ il a de ortes chances de deviner le num ro de s quence de la prochaine connexion cette attaque s utilise contre des services de type rlogin ou rsh lorsqu ils sont onfigur s pour effectuer une authentification uniquement sur l adresse IP source de a machine cliente machine A I paquet ignor par C 3 SYN Seq y attaque SYNF lood s machine Atta 2 SYN Seq x IP Source IP A C C1 4 ACK y 1 ATTAQUES RESEAU Exemples IP Spoofing par pr diction du N s qce Protection Nmap invoqu avec l option O et v vous fournit une indication sur la difficult qu aura le irate proc der une attaque par IP spoofing contre votre serveur nmap O v 192 168 1 4 tarting nmap V 2 54BETA31 www insecure org nmap Jost 192 168 1 4 appears to be up good nitiating Con
40. vice De la m me mani re que pour le SYN flooding l attaquant envoie un grand nombre je requ tes UDP sur une machine Le trafic UDP tant prioritaire sur le trafic TCP ce type d attaque peut vite troubler et jaturer le trafic transitant sur le r seau e g Chargen Denial of Service Attack e Un pirate envoie une requ te sur le port echo d une machine A indiquant comme port source celui du port chargen d une machine B e Le service chargen initialement destin tester TCP IP pour tre s r que paquets arrivent destination sans alt ration de la machine B renvoie un caract re sur le port echo de la machine A e Ensuite le service echo de A renvoie ce caract re sur chargen e chargen le re oit en ajoute un autre et les renvoie sur le port echo de A qui les renvoient son tour sur chargen et cela continue jusqu la saturation de la bande passante rotection l sactiver les services chargen et echo onfigurez firewall pour viter le Chargen Denial of Service Attack en limitant traffic UDP fiptaBdd407a FORWARD p u gasAbou El Kalam Etude des gta 1 second J ACCHPT ATTAQUES RESEAU Exemples Packet Fragment attaque de type d ni de service envoyer par exemple des paquets ICMP de taille norme paquets de taille sup rieure 65536 octets peuvent provoquer un d bordement du buffer de ception du datagramme crash de la machine Ping of Death e Ping of Death envoyer paquet ICMP avec quantit donn
Download Pdf Manuals
Related Search