1

Les attaques du rseau

Nadia ELGHAZI
Anass ELGHAZI

PLAN
Introduction
Les attaques daccs
Les attaques par saturation
Les attaques de rpudiation
Comment sen protger ?
Conclusion

Introduction:

Les informations ou les systmes dinformations

peuvent subir des dommages de plusieurs faons
certains intentionnels (malveillants), dautres par
accident.
Ces vnements seront appels des attaques .

Les types des menaces:

accidentelle

intentionnels

Panne disque

Le vol

Chute de tension

Lcoute

Echange des cd
infects

La fouille

Les effets dune attaque:

Attaque passive : cest la moins dangereuse
- Ne modifie pas linformation
- Consultation de linformation
Attaque active : ce type dattaque est dangereux
- Modifie ltat dune information, dun serveur ou dune communication
- Connexion frauduleuse un host ou un rseau

Les catgories dattaque:

Il existe quatre catgories principales dattaque :

De rpudiation
Daccs
De
De saturation
modification

Les attaques daccs

Les attaques daccs

Une attaque daccs est une tentative daccs
linformation par une personne non autorise.

Le sniffing :
Le reniflage (en anglais Sniffing) est une technique qui
consiste analyser le trafic rseau.
Cette attaque est utilise par les pirates informatiques
pour obtenir des mots de passe. on peut intercepter
toutes les paquets qui circulent sur un rseau mme ceux
qui ne nous sont pas destin.
Cette technologie nest pas forcement illgale car elle
permet aussi de dtecter des failles sur un systme.

10

Comment font-ils renifler?

Reniflage de rseau utilise le logiciel renifleur, soit open source ou commercial.
De faon gnrale, il existe trois moyens pour renifler un rseau

11

Comment s'en protger ?

Utiliser de prfrence un switch (commutateur)
plutt qu'un hub.
Utiliser des protocoles chiffrs pour les
informations sensibles comme les mots de passe.

12

Comment dtecter des sniffers passif ? Si un sniffer provoque des

rsolutions avec des noms inverses , il est possible que vous
puissiez l'identifier grce ses requtes DNS inverses. Pour
pouvoir le faire , il faut gnrer du trafic grce une adresse IP
qui nest pas utilise sur le rseau et en utilisant une adresse MAC
non valide. Si un ordinateur excute un sniffer configur de cette
mme faon, elle sera donc la seule pouvoir faire une requte
DNS inverse.. Comment dtecter des sniffers actif ? Dtecter un
sniffer actif est plus facile car il est vident quen observant le
trafic , on puisse le dtecter. Si l'on observe beaucoup de rponses
ARP (protocole de rsolution dadresse) non sollicites ayant
toujours la mme adresse MAC source, on peut en dduire qu'il
s'agit d'une attaque sur le rseau

13

Porte drobe :

un programme ou une fonction invisible

donnant directement accs lintrusion de
logiciels malveillants (comme les chevaux de
Troie) pour permettre un ou plusieurs
individus malfaisants de prendre totalement ou
partiellement le contrle dun ordinateur linsu
de son utilisateur lgitime.

14

Porte drobe types

Il existe diffrents types de portes drobes :
Cration dun nouveau compte administrateur
avec un mot de passe choisi par le pirate.
Cration de compte ftp
Modification des rgles du pare-feu pour quil
accepte des connections externes.

15

Porte drobe causes

Lorigine provient gnralement du spamming ou de
lexploitation dune faille informatique
premier cas :lutilisateur reoit dans sa boite de messagerie
lectronique un message qui linvite cliquer sur un lien
qui loriente vers une page qui lui recommande vivement de
tlcharger un fichier contenant la porte drobe
Dans le deuxime cas : le pirate exploite la vulnrabilit du
navigateur web de lutilisateur victime en lorientant
galement vers une page web risque et pige.

16

Comment se protger?
Si le risque zro nexiste pas, voici nanmoins quelques bonnes pratiques
qui limiteront les (mal)chances dtre infect par un Backdoor :
Utiliser un antivirus efficace, et le maintenir jour
Effectuer les mises jour de tous ses logiciels ds quelles sont disponibles
Eviter les liens suspect

Ninstaller que les logiciels dont on a rellement besoin

tlcharger depuis les sites officiels (et non depuis des plateformes de
tlchargement)

17

Lingnierie sociale:
Le terme d' ingnierie sociale dsigne l'art de
manipuler des personnes pour obtenir des informations
sur un systme ou des mots de passe.
L'ingnierie sociale peut prendre plusieurs formes :
Par tlphone,
Par courrier lectronique,
Par courrier crit,

18

Comment se protger?
Il est conseill, quel que soit le type de renseignement
demand :
1. de se renseigner sur l'identit de son interlocuteur en lui
demandant des informations prcises (nom et prnom,
socit, numro de tlphone) .
2. de vrifier ventuellement les renseignements fournis .
3. de s'interroger sur la criticit des informations demandes.

19

Les attaques par

saturation

20

Les attaques par saturation :

Une attaque par saturation est une attaque
informatique ayant pour but de rendre
indisponible un service, d'empcher les
utilisateurs lgitimes d'un service de l'utiliser

21

Le flooding: Envoyer une machine de

nombreux paquets IP de grosse taille. La
machine cible ne pourra pas traiter tous les
paquets et finira par se dconnecter du rseau.

22

TCP/SYN Flooding
L' attaque SYN (appele galement
TCP/SYN Flooding ) est une attaque rseau
par saturation (dni de service) exploitant le
mcanisme de poignee de main en trois
temps (en anglais Three-ways handshake)
du protocole TCP.

23

lethree-way handshake
le three-way handshake se droule en trois tapes :
SYN : Le client qui dsire tablir une connexion avec un
serveur va envoyer un premier paquet SYN
(synchronized) au serveur..
SYN-ACK : Le serveur va rpondre au client l'aide d'un
paquet SYN-ACK (synchronize, acknowledge).
ACK : Pour terminer, le client va envoyer un paquet ACK
au serveur qui va servir d'accus de rception.

24

lethree-way handshake

25

TCP-SYN flooding comment fonction

Un client malveillant peut supprimer la dernire tape et
ne pas rpondre avec le message ACK. Le serveur attend
un certain temps avant de librer les ressources qui ont
t rserves pour le client, car le retard du message ACK
pourrait tre caus par la latence du rseau.

L'attaquant envoie une srie de messages SYN, mais laisse

les connexions semi-ouvertes. La file d'attente du serveur
se remplit et le nouveau client ne peut plus se connecter.

26

TCP-SYN flooding comment fonction

27

Comment se protger
la limitation du nombre de connexions depuis la
mme source ou la mme plage d'adresses IP
la libration des connexions semi-ouvertes selon
un choix de client et un dlai alatoire
la rorganisation de la gestion des ressources
alloues aux clients en vitant d'allouer des
ressources tant que la connexion n'est pas
compltement tablie

28

UDP flood
De la mme manire que pour le SYN flooding,
l'attaquant envoie un grand nombre de requtes UDP
sur une machine. Le trafic UDP tant prioritaire sur
le trafic TCP, ce type d'attaque peut vite troubler et
saturer le trafic transitant sur le rseau.

La plus clbre attaque utilisant l'UDP-flooding est

le Chargen Denial of Service Attack.

29

Chargen Denial of Service Attack.

Un pirate envoie une requte sur le port echo d'une
machine A indiquant comme port source celui du
port chargen d'une machine B. Le service chargen
de la machine B renvoie un caractre sur le port
echo de la machine A.
Ensuite le service echo de A renvoie ce caractre
sur chargen. chargen le reoit, en ajoute un autre et
les renvoie sur le port echo de A qui les renvoient
son tour sur chargen ... et cela continue jusqu' la
saturation de la bande passante.

30

31

Comment se proteger
Il est conseill de dsactiver les services chargen
et echo.
Si vous ne voulez pas dsactiver chargen et echo,
configurez votre firewall pour viter le Chargen
Denial of Service Attack en limitant le traffic
UDP.

32

33

Packet Fragment
Les dnis de service de type Packet Fragment utilisent des faiblesses
dans limplmentation de certaines piles TCP/IP au niveau de la
dfragmentation IP (r-assemblage des fragments IP).
Une attaque connue utilisant ce principe est Teardrop. Loffset de
fragmentation du second fragment est infrieur la taille du premier
ainsi que loffset plus la taille du second. Cela revient dire que le
deuxime fragment est contenu dans le premier (overlapping). Lors de
la dfragmentation, certains systmes ne grent pas cette exception et
cela entrane un dni de service. Il existe des variantes de cette attaque :
bonk, boink et newtear. Le dni de service Ping of Death exploite une
mauvaise gestion de la dfragmentation au niveau ICMP, en envoyant
une quantit de donnes suprieure la taille maximum dun paquet
IP. Ces diffrents dnis de services aboutissent un crash de la machine
cible

34

Attaque Teardrop
Attaque par fragmentation
Une attaque par fragmentation (en anglais fragment attack) est une
attaque rseau par saturation (dni de service) exploitant le principe de
fragmentation du protocole IP.
En effet, le protocole IP est prvu pour fragmenter les paquets de taille
importante en plusieurs paquets IP possdant chacun un numro de
squence et un numro d'identification commun. A rception des donnes, le
destinataire rassemble les paquets grce aux valeurs de dcalage (en
anglais offset) qu'ils contiennent.
L'attaque par fragmentation la plus clbre est l'attaque Teardrop. Le
principe de l'attaqueTeardrop consiste insrer dans des paquets fragments
des informations de dcalage errones. Ainsi, lors du rassemblage il existe
des vides ou des recoupements (overlapping), pouvant provoquer une
instabilit du systme.
A ce jour, les systmes rcents ne sont plus vulnrables cette attaque.

35

LePing de la mort
L attaque du ping de la mort(ping of death)
Le principe du ping de la mort consiste tout
simplement crer un datagramme IP dont la
taille totale excde la taille maximum autorise
(65536 octets). Un tel paquet envoy un
systme possdant une pile TCP/IP vulnrable,
provoquera un plantage.

36

37

Comment se protger
Mettre jour l'OS.
Effectuer un test avant que quelqu'un d'autre le
fasse votre place. Si le systme ragit
correctement, il n'y a pas de problme.

38

39

Cette attaque se base sur une faille du protocole IP. On envoie la machine cible des donnes
dune taille suprieure la capacit dun paquet. Celui-ci sera alors fractionn pour lenvoi et
rassembl par la machine cible. A ce moment, il y aura dbordement des variables internes.
Suite ce dbordement, plusieurs cas se prsentent : la machine se bloque, redmarre ou ce qui
est plus grave, crit sur le code en mmoire.

Buffer OverFlow
Un dbordement de tampon (en anglais Buffer OverFlow ou BoF) est une attaque tres utilise des pirates. Cela consiste utiliser un
programme rsidant sur votre machine en lui envoyant plus de donnes qu'il n'est cens en recevoir afin que ce dernier excute un code
arbitraire. Il n'est pas rare qu'un programme accepte des donnes en paramtre. Ainsi, si le programme ne vrifie pas la longueur de la
chane passe en paramtre, une personne malintentionne peut compromettre la machine en entrant une donne beaucoup trop grande.
Comment a marche ?
Les donnes entres par l'utilisateur sont stockes temporairement dans une zone de la mmoire appele tampon (en anglais buffer).
Prenons l'exemple d'un logiciel qui demande votre prnom. En admettant que le programme prvoit dix caractres pour ce dernier et que
l'utilisateur en mette vingt. Il y aura dbordement de tampons puisque les dix derniers caractres ne seront pas stocks dans la bonne
variable mais dans le tampon pouvant provoquer un crash de la machine. Mais, un pirate exploite cette faille malignement et parvient se
procurer d'un accs la machine avec des droits identiques celle du logiciel. Pour comprendre comment exploiter cette faille, visiter
l'article de rfrence en matire de dbordement de tampon : Smashing the stack for fun and profit par Alephone, Phrack 49.

Comment s'en protger ?

Malheureusement, vous ne pouvez pas y faire grand chose. En effet, le principe de cette attaque est diffrent des autres, dans le sens o ce
n'est pas la protection de l'ordinateur qui vous protgera d'un dbordement de tampon puisqu'elle utilise le manque de rigueur de la part des
programmeurs de logiciels en raison du manque de temps

40

Les attaques par dbordement de tampon (en anglais Buffer

overflow , parfois galement appeles dpassement de tampon) ont pour
principe l'excution de code arbitraire par un programme en lui envoyant
plus de donnes qu'il n'est cens en recevoir.
En effet, les programmes acceptant des donnes en entre, passes en
paramtre, les stockent temporairement dans une zone de la mmoire
appele tampon (en anglais buffer). Or, certaines fonctions de lecture, telles
que les fonctions strcpy() du langage C, ne grent pas ce type de
dbordement et provoquent un plantage de l'application pouvant aboutir
l'excution du code arbitraire et ainsi donner un accs au systme.
La mise en oeuvre de ce type d'attaque est trs complique car elle demande
une connaissance fine de l'architecture des programmes et des processeurs.
Nanmoins, il existe de nombreuxexploits capable d'automatiser ce type
d'attaque et la rendant la porte de quasi-nophytes.

41

Les attaques par dbordement de tampon (en anglais Buffer

overflow , parfois galement appeles dpassement de tampon) ont pour
principe l'excution de code arbitraire par un programme en lui envoyant
plus de donnes qu'il n'est cens en recevoir.
En effet, les programmes acceptant des donnes en entre, passes en
paramtre, les stockent temporairement dans une zone de la mmoire
appele tampon (en anglais buffer). Or, certaines fonctions de lecture,
telles que les fonctions strcpy() du langage C, ne grent pas ce type de
dbordement et provoquent un plantage de l'application pouvant aboutir
l'excution du code arbitraire et ainsi donner un accs au systme.
La mise en oeuvre de ce type d'attaque est trs complique car elle
demande une connaissance fine de l'architecture des programmes et des
processeurs. Nanmoins, il existe de nombreuxexploits capable
d'automatiser ce type d'attaque et la rendant la porte de quasi-nophytes

42

Principe de fonctionnement
Le principe de fonctionnement d'un dbordement de tampon est fortement li l'architecture du
processeur sur lequel l'application vulnrable est excute.
Les donnes saisies dans une application sont stocke en mmoire vive dans une zone
appeletampon. Un programme correctement conu doit prvoir une taille maximale pour les
donnes en entres et vrifier que les donnes saisies ne dpassent pas cette valeur.
Les instructions et les donnes d'un programme en cours d'excution sont provisoirement stockes
en mmoire de manire contige dans une zone appele pile (en anglais stack). Les donnes situes
aprs le tampon contiennent ainsi une adresse de retour (appele pointeur d'instruction)
permettant au programme de continuer son excution. Si la taille des donnes est suprieure la
taille du tampon, l'adresse de retour est alors crase et le programme lira une adresse mmoire
invalide provoquant une faute de segmentation (en anglais segmentation fault) de l'application.
Un pirate ayant de bonnes connaissance techniques peut s'assurer que l'adresse mmoire cras
corresponde une adresse relle, par exemple situe dans le tampon lui-mme. Ainsi, en crivant
des instructions dans le tampon (code arbitraire), il lui est simple de l'excuter.
Il est ainsi possible d'inclure dans le tampon des instructions ouvrant un interprteur de commande
(en anglais shell) et permettant au pirate de prendre la main sur le systme. Ce code arbitraire
permettant d'excuter l'interprteur de commande est appel shellcode

43

Pour se protger de ce type d'attaque, il est ncessaire de

dvelopper des applications l'aide de langages de programmation
volus, assurant une gestion fine de la mmoire alloue ou bien
l'aide de langage de bas niveau en utilisant des bibliothques de
fonctions scurises (par exemple les fonctions strncpy()).
Des bulletins d'alerte sont rgulirement publis, annonant la
vulnrabilit de certaines applications des attaques par
dbordement de tampon. Suite ces bulletins d'alerte, les diteurs
des logiciels touchs par la vulnrabilit publient gnralement
des correctifs (patchs) permettant de corriger la faille. Tout
administrateur systme et rseau se doit de se tenir inform des
alertes de scurit et d'appliquer le plus rapidement possible les
correctifs.

44

Les attaques de
rpudiation

45

Les attaques de rpudiation:

la rpudiation consiste tenter de donner de
fausses informations ou de nier quun vnement
ou une transaction se soient rellement pass.

46

Le IP Spoofing :
Cette attaque consiste se faire passer pour une autre
machine en falsifiant son adresse IP. Elle est en fait
assez complexe.
L'usurpation d'adresse IP (en anglais : IP
spoofing ou IP address spoofing) est une technique
de Hacking utilise en informatique qui consiste
envoyer des paquets IP en utilisant une adresse
IP source qui n'a pas t attribue l'ordinateur qui
les met. Le but peut tre de masquer sa propre
identit lors d'une attaque d'un serveur, ou d'usurper
en quelque sorte l'identit d'un autre quipement du
rseau pour bnficier des services auxquels il a accs.

47

Cette attaque va se drouler en plusieurs tapes :

Trouver la machine de confiance (son adresse IP) qu'accepte le service du serveur cible.
Mettre hors service cette machine de confiance (avec un SYN Flooding par exemple) pour viter qu'elle ne
rponde aux paquets ventuellement envoys par le serveur cible.
Prdire les numros de squence TCP du serveur cible. Ce numro caractrise une connexion TCP (un
numro de squence initial est gnr chaque nouvelle connexion TCP). C'est un champ de l'en-tte du
protocole TCP. De nos jours ce numro est difficilement prdictible voir impossible sur des systmes type
Linux. Ce qui n'tait pas le cas il y a quelques annes.
Lancer l'attaque. Elle va consister crer une connexion TCP sur le serveur cible. Pour cela, l'attaquant va
forger un paquet TCP avec le flag SYN et l'adresse IP source de la machine de confiance. Le serveur cible
va rpondre par un paquet TCP avec les flags SYN-ACK. L'attaquant, qui aura prdis le numro de
squence TCP, pourra forger un paquet TCP avec le flag ACK et le bon numro d'acquittement (numro
de squence envoy par le serveur cible incrment de 1). Une connexion TCP est alors tablie au niveau
du serveur cible. L'attaquant n'a plus qu' envoyer un paquet TCP avec le flag PSH (permettant de
remonter directement l'application les donnes du paquet) pour envoyer une commande au service (par
exemple echo ++ >> /.rhosts). L'attaquant peut accder librement au serveur cible.
Le schma suivant illustre cette attaque. La machine A est celle de l'attaquant, la C celle de confiance et enfin Cible qui est le serveur
cible. A(C) signifie que la machine A va envoyer un paquet en spoofant l'adresse IP de la machine C :

48

Qu'est-ce que c'est ?

L'IP Spoofing signifie usurpation d'adresse IP. Bien que cette attaque soit ancienne, certaines
formes d'IP Spoofing sont encore d'actualit. Effectivement, cette attaque peut tre utilise de
deux manires diffrentes :La premire utilit de l'IP Spoofing va tre de falsifier la source d'une
attaque. Par exemple, lors d'une attaque de type dni de service, l'adresse IP source des paquets
envoys sera falsifie pour viter de localiser la provenance de l'attaque.
L'autre utilisation de l'IP Spoofing va permettre de profiter d'une relation de confiance entre deux
machines pour prendre la main sur l'une des deux.
Description de l'attaque

Il existe plusieurs types d'IP Spoofing. La premire est dite Blind Spoofing, c'est une attaque "en
aveugle". Les paquets tant forgs avec une adresse IP usurpe, les paquets rponses iront vers
cette adresse. Il sera donc impossible l'attaquant de rcuprer ces paquets. Il sera oblig de les
"deviner". Cependant, il existe une autre technique que le Blind Spoofing. Il s'agit d'utiliser
l'option IP Source Routing qui permet d'imposer une liste d'adresses IP des routeurs que doit
emprunter le paquet IP. Il suffit que l'attaquant route le paquet rponse vers un routeur qu'il
contrle pour le rcuprer. Nanmoins Nanmoins, la grande majorit des routeurs d'aujourd'hui
ne prennent pas en compte cette option IP et jettent tous paquets IP l'utilisant

49

IP spoofing
La meilleure mthode de prvention du problme usurpation d'adresse IP est
d'installer un routeur de filtrage qui limite l'entre votre interface externe
(connu comme un filtre d'entre) en ne permettant pas un paquet travers si
elle dispose d'une adresse source de votre rseau interne. En outre, vous devriez
filtrer les paquets sortants qui ont une adresse source diffrente de votre rseau
interne afin d'viter une source IP spoofing attaque provenant de votre site.
Comment s'en protger ?

Supprimer tous les services de type rsh et rlogin.

Ne pas utiliser uniquement l'adresse IP comme mthode d'authentification
(ajouter au moins un login et un password).
Vrifier que son systme n'a pas des numros de squence TCP facilement
prdictible.

50

Smurfing[modifier | modifier le code]

Cette attaque utilise le protocole ICMP. Quand un ping (message
ICMP ECHO) est envoy une adresse de broadcast (par exemple
10.255.255.255), celui-ci est dmultipli et envoy chacune des
machines du rseau. Le principe de lattaque est de truquer les
paquets ICMP ECHO REQUEST envoys en mettant comme
adresse IP source celle de la cible. Le cracker envoie un flux
continu de ping vers ladresse de broadcast dun rseau et toutes
les machines rpondent alors par un message ICMP ECHO REPLY
en direction de la cible. Le flux est alors multipli par le nombre
dhtes composant le rseau. Dans ce cas tout le rseau cible subit
le dni de service, car lnorme quantit de trafic gnre par cette
attaque entrane une congestion du rseau

51

Conclusion
L'norme majorit des menaces sur un systme informatique est
due l'erreur ou la ngligence humaine.
Les hackers ne sont pas tous spcialistes en scurit informatique.
Les quatre plus gros hbergeurs de machines zombie au monde
seraient les tats-Unis, laChine, la Core du Sud et la France.

52

MERCI POUR VOTRE ATTENTION