1

Nadia ELGHAZIAnass ELGHAZI

Les attaques du réseau

2

PLAN

Introduction

Les attaques d’accès

Les attaques par saturation

Les attaques de répudiation

Comment s’en protéger ?

Conclusion

3

Introduction:

•Les informations ou les systèmes d’informations peuvent subir des dommages de plusieurs façons certains intentionnels (malveillants), d’autres par accident.

•Ces événements seront appelés des « attaques ».

4

Les types des menaces:

accidentelle

Panne disque

Chute de tension

Echange des cd infectés …

intentionnels

Le vol

L’écoute

La fouille …

5

Les effets d’une attaque:

• Attaque passive : c’est la moins dangereuse

- Ne modifie pas l’information - Consultation de l’information

• Attaque active : ce type d’attaque est dangereux

- Modifie l’état d’une information, d’un serveur ou d’une communication

- Connexion frauduleuse à un host ou un réseau

6

Les catégories d’attaque:

D’accèsDe modificationDe saturation De répudiation

Il existe quatre catégories principales d’attaque :

7

Les attaques d’accès

8

•Les attaques d’accès

•Une attaque d’accès est une tentative d’accès à l’information par une personne non autorisée.

9

Le sniffing :

• Le reniflage (en anglais Sniffing) est une technique qui consiste à analyser le trafic réseau.

• Cette attaque est utilisée par les pirates informatiques pour obtenir des mots de passe. on peut intercepter toutes les paquets qui circulent sur un réseau même ceux qui ne nous sont pas destiné.

• Cette technologie n’est pas forcement illégale car elle permet aussi de détecter des failles sur un système.

10

Comment font-ils «renifler»?

Reniflage de réseau utilise le logiciel renifleur, soit open source ou commercial. De façon générale, il existe trois moyens pour renifler un réseau

11

Comment s'en protéger ?•Utiliser de préférence un switch

(commutateur) plutôt qu'un hub.•Utiliser des protocoles chiffrés pour les

informations sensibles comme les mots de passe.

12

• Comment détecter des sniffers passif ? Si un sniffer provoque des résolutions avec des noms inverses , il est possible que vous puissiez l'identifier grâce à ses requêtes DNS inverses. Pour pouvoir le faire , il faut générer du trafic grâce à une adresse IP qui n’est pas utilisée sur le réseau et en utilisant une adresse MAC non valide. Si un ordinateur exécute un sniffer configuré de cette même façon, elle sera donc la seule à pouvoir faire une requête DNS inverse.. Comment détecter des sniffers actif ? Détecter un sniffer actif est plus facile car il est évident qu’en observant le trafic , on puisse le détecter. Si l'on observe beaucoup de réponses ARP (protocole de résolution d’adresse) non sollicitées ayant toujours la même adresse MAC source, on peut en déduire qu'il s'agit d'une attaque sur le réseau

13

Porte dérobée :

• un programme ou une fonction invisible donnant directement accès à l’intrusion de logiciels malveillants (comme les chevaux de Troie) pour permettre à un ou plusieurs individus malfaisants de prendre totalement ou partiellement le contrôle d’un ordinateur à l’insu de son utilisateur légitime.

14

Porte dérobée types • Il existe différents types de portes dérobées :

•Création d’un nouveau compte administrateur avec un mot de passe choisi par le pirate.

•Création de compte ftp

•Modification des règles du pare-feu pour qu’il accepte des connections externes.

15

Porte dérobée causes• L’origine provient généralement du spamming ou de

l’exploitation d’une faille informatique

• premier cas :l’utilisateur reçoit dans sa boite de messagerie électronique un message qui l’invite à cliquer sur un lien qui l’oriente vers une page qui lui recommande vivement de télécharger un fichier contenant la porte dérobée

• Dans le deuxième cas : le pirate exploite la vulnérabilité du navigateur web de l’utilisateur victime en l’orientant également vers une page web risquée et piégée.

16

Comment se protéger?• Si le risque zéro n’existe pas, voici néanmoins quelques bonnes

pratiques qui limiteront les (mal)chances d’être infecté par un Backdoor :

• Utiliser un antivirus efficace, et le maintenir à jour

• Effectuer les mises à jour de tous ses logiciels dès qu’elles sont disponibles

• Eviter les liens suspect

• N’installer que les logiciels dont on a réellement besoin

• télécharger depuis les sites officiels (et non depuis des plateformes de téléchargement)

17

L’ingénierie sociale:

• Le terme d'« ingénierie sociale » désigne l'art de manipuler des personnes pour obtenir des informations sur un système ou des mots de passe.

• L'ingénierie sociale peut prendre plusieurs formes :

• Par téléphone,• Par courrier électronique,• Par courrier écrit,

18

Comment se protéger?

• Il est conseillé, quel que soit le type de renseignement demandé :

1. de se renseigner sur l'identité de son interlocuteur en lui demandant des informations précises (nom et prénom, société, numéro de téléphone) .

2. de vérifier éventuellement les renseignements fournis .

3. de s'interroger sur la criticité des informations demandées.

19

Les attaques par saturation

20

Les attaques par saturation :

•Une attaque par saturation  est une attaque informatique ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser

21

•Le flooding: Envoyer à une machine de nombreux paquets IP de grosse taille. La machine cible ne pourra pas traiter tous les paquets et finira par se déconnecter du réseau.

22

TCP/SYN Flooding •L'« attaque SYN » (appelée également

« TCP/SYN Flooding ») est une attaque réseau par saturation (déni de service) exploitant le mécanisme de poignéee de main en trois temps (en anglais Three-ways handshake) du protocole TCP.

23

le three-way handshake• le three-way handshake se déroule en trois étapes :

• SYN : Le client qui désire établir une connexion avec un serveur va envoyer un premier paquet SYN (synchronized) au serveur..

• SYN-ACK : Le serveur va répondre au client à l'aide d'un paquet SYN-ACK (synchronize, acknowledge).

• ACK : Pour terminer, le client va envoyer un paquet ACK au serveur qui va servir d'accusé de réception.

24

le three-way handshake

25

TCP-SYN flooding comment fonction

• Un client malveillant peut supprimer la dernière étape et ne pas répondre avec le message ACK. Le serveur attend un certain temps avant de libérer les ressources qui ont été réservées pour le client, car le retard du message ACK pourrait être causé par la latence du réseau.

• L'attaquant envoie une série de messages SYN, mais

laisse les connexions semi-ouvertes. La file d'attente du serveur se remplit et le nouveau client ne peut plus se connecter.

26

TCP-SYN flooding comment fonction

27

Comment se protéger •la limitation du nombre de connexions depuis la

même source ou la même plage d'adresses IP 

• la libération des connexions semi-ouvertes selon un choix de client et un délai aléatoire 

• la réorganisation de la gestion des ressources allouées aux clients en évitant d'allouer des ressources tant que la connexion n'est pas complètement établie 

28

UDP flood• De la même manière que pour le SYN flooding,

l'attaquant envoie un grand nombre de requêtes UDP sur une machine. Le trafic UDP étant prioritaire sur le trafic TCP, ce type d'attaque peut vite troubler et saturer le trafic transitant sur le réseau.

• La plus célèbre attaque utilisant l'UDP-flooding est le Chargen Denial of Service Attack.

29

Chargen Denial of Service Attack.• Un pirate envoie une requête sur le port echo

d'une machine A indiquant comme port source celui du port chargen d'une machine B. Le service chargen de la machine B renvoie un caractère sur le port echo de la machine A.

• Ensuite le service echo de A renvoie ce caractère sur chargen. chargen le reçoit, en ajoute un autre et les renvoie sur le port echo de A qui les renvoient à son tour sur chargen ... et cela continue jusqu'à la saturation de la bande passante.

30

31

Comment se proteger •Il est conseillé de désactiver les services

chargen et echo.•Si vous ne voulez pas désactiver chargen

et echo, configurez votre firewall pour éviter le Chargen Denial of Service Attack en limitant le traffic UDP.

32

33

Packet Fragment

• Les dénis de service de type Packet Fragment utilisent des faiblesses dans l’implémentation de certaines piles TCP/IP au niveau de la défragmentation IP (ré-assemblage des fragments IP).

• Une attaque connue utilisant ce principe est Teardrop. L’offset de fragmentation du second fragment est inférieur à la taille du premier ainsi que l’offset plus la taille du second. Cela revient à dire que le deuxième fragment est contenu dans le premier (overlapping). Lors de la défragmentation, certains systèmes ne gèrent pas cette exception et cela entraîne un déni de service. Il existe des variantes de cette attaque : bonk, boink et newtear. Le déni de service Ping of Death exploite une mauvaise gestion de la défragmentation au niveau ICMP, en envoyant une quantité de données supérieure à la taille maximum d’un paquet IP. Ces différents dénis de services aboutissent à un crash de la machine cible

34

Attaque Teardrop• Attaque par fragmentation• Une « attaque par fragmentation » (en anglais fragment attack) est

une attaque réseau par saturation (déni de service) exploitant le principe de fragmentation du protocole IP.

• En effet, le protocole IP est prévu pour fragmenter les paquets de taille importante en plusieurs paquets IP possédant chacun un numéro de séquence et un numéro d'identification commun. A réception des données, le destinataire réassemble les paquets grâce aux valeurs de décalage (en anglais offset) qu'ils contiennent.

• L'attaque par fragmentation la plus célèbre est l'attaque Teardrop. Le principe de l'attaqueTeardrop consiste à insérer dans des paquets fragmentés des informations de décalage erronées. Ainsi, lors du réassemblage il existe des vides ou des recoupements (overlapping), pouvant provoquer une instabilité du système.

• A ce jour, les systèmes récents ne sont plus vulnérables à cette attaque.

35

Le Ping de la mort

L’ “attaque du ping de la mort”(ping of death) Le principe du ping de la mort consiste tout simplement à créer un datagramme IP dont la taille totale excède la taille maximum autorisée (65536 octets). Un tel paquet envoyé à un système possédant une pile TCP/IP vulnérable, provoquera un plantage.

36

37

Comment se protéger

•Mettre à jour l'OS.•Effectuer un test avant que quelqu'un

d'autre le fasse à votre place. Si le système réagit correctement, il n'y a pas de problème.

38

39

• Cette attaque se base sur une faille du protocole IP. On envoie à la machine cible des données• d’une taille supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et• rassemblé par la machine cible. A ce moment, il y aura débordement des variables internes.• Suite à ce débordement, plusieurs cas se présentent : la machine se bloque, redémarre ou ce qui• est plus grave, écrit sur le code en mémoire.

• Buffer OverFlow• Un débordement de tampon (en anglais Buffer OverFlow ou BoF) est une attaque tres utilisée des pirates. Cela consiste à

utiliser un programme résidant sur votre machine en lui envoyant plus de données qu'il n'est censé en recevoir afin que ce dernier exécute un code arbitraire. Il n'est pas rare qu'un programme accepte des données en paramètre. Ainsi, si le programme ne vérifie pas la longueur de la chaîne passée en paramètre, une personne malintentionnée peut compromettre la machine en entrant une donnée beaucoup trop grande.

• Comment ça marche ?• Les données entrées par l'utilisateur sont stockées temporairement dans une zone de la mémoire appelée tampon (en

anglais buffer). Prenons l'exemple d'un logiciel qui demande votre prénom. En admettant que le programme prévoit dix caractères pour ce dernier et que l'utilisateur en mette vingt. Il y aura débordement de tampons puisque les dix derniers caractères ne seront pas stockés dans la bonne variable mais dans le tampon pouvant provoquer un crash de la machine. Mais, un pirate exploite cette faille malignement et parvient à se procurer d'un accés à la machine avec des droits identiques à celle du logiciel. Pour comprendre comment exploiter cette faille, visiter l'article de référence en matière de débordement de tampon : Smashing the stack for fun and profit par Alephone, Phrack 49. 

• Comment s'en protéger ?• Malheureusement, vous ne pouvez pas y faire grand chose. En effet, le principe de cette attaque est différent des autres,

dans le sens où ce n'est pas la protection de l'ordinateur qui vous protégera d'un débordement de tampon puisqu'elle utilise le manque de rigueur de la part des programmeurs de logiciels en raison du manque de temps

40

• Les attaques par « débordement de tampon » (en anglais « Buffer overflow », parfois également appelées dépassement de tampon) ont pour principe l'exécution de code arbitraire par un programme en lui envoyant plus de données qu'il n'est censé en recevoir.

• En effet, les programmes acceptant des données en entrée, passées en paramètre, les stockent temporairement dans une zone de la mémoire appelée tampon (en anglais buffer). Or, certaines fonctions de lecture, telles que les fonctions strcpy() du langage C, ne gèrent pas ce type de débordement et provoquent un plantage de l'application pouvant aboutir à l'exécution du code arbitraire et ainsi donner un accès au système.

• La mise en oeuvre de ce type d'attaque est très compliquée car elle demande une connaissance fine de l'architecture des programmes et des processeurs. Néanmoins, il existe de nombreuxexploits capable d'automatiser ce type d'attaque et la rendant à la portée de quasi-néophytes.

41

• Les attaques par « débordement de tampon » (en anglais « Buffer overflow », parfois également appelées dépassement de tampon) ont pour principe l'exécution de code arbitraire par un programme en lui envoyant plus de données qu'il n'est censé en recevoir.

• En effet, les programmes acceptant des données en entrée, passées en paramètre, les stockent temporairement dans une zone de la mémoire appelée tampon (en anglais buffer). Or, certaines fonctions de lecture, telles que les fonctions strcpy() du langage C, ne gèrent pas ce type de débordement et provoquent un plantage de l'application pouvant aboutir à l'exécution du code arbitraire et ainsi donner un accès au système.

• La mise en oeuvre de ce type d'attaque est très compliquée car elle demande une connaissance fine de l'architecture des programmes et des processeurs. Néanmoins, il existe de nombreuxexploits capable d'automatiser ce type d'attaque et la rendant à la portée de quasi-néophytes

42

• Principe de fonctionnement• Le principe de fonctionnement d'un débordement de tampon est fortement lié à

l'architecture du processeur sur lequel l'application vulnérable est exécutée.• Les données saisies dans une application sont stockée en mémoire vive dans une zone

appeléetampon. Un programme correctement conçu doit prévoir une taille maximale pour les données en entrées et vérifier que les données saisies ne dépassent pas cette valeur.

• Les instructions et les données d'un programme en cours d'exécution sont provisoirement stockées en mémoire de manière contigûe dans une zone appelée pile (en anglais stack). Les données situées après le tampon contiennent ainsi une adresse de retour (appelée pointeur d'instruction) permettant au programme de continuer son exécution. Si la taille des données est supérieure à la taille du tampon, l'adresse de retour est alors écrasée et le programme lira une adresse mémoire invalide provoquant une faute de segmentation (en anglais segmentation fault) de l'application.

• Un pirate ayant de bonnes connaissance techniques peut s'assurer que l'adresse mémoire écrasé corresponde à une adresse réelle, par exemple située dans le tampon lui-même. Ainsi, en écrivant des instructions dans le tampon (code arbitraire), il lui est simple de l'exécuter.

• Il est ainsi possible d'inclure dans le tampon des instructions ouvrant un interprêteur de commande (en anglais shell) et permettant au pirate de prendre la main sur le système. Ce code arbitraire permettant d'exécuter l'interprêteur de commande est appelé shellcode

43

• Pour se protéger de ce type d'attaque, il est nécessaire de développer des applications à l'aide de langages de programmation évolués, assurant une gestion fine de la mémoire allouée ou bien à l'aide de langage de bas niveau en utilisant des bibliothèques de fonctions sécurisées (par exemple les fonctions strncpy()).

• Des bulletins d'alerte sont régulièrement publiés, annonçant la vulnérabilité de certaines applications à des attaques par débordement de tampon. Suite à ces bulletins d'alerte, les éditeurs des logiciels touchés par la vulnérabilité publient généralement des correctifs (patchs) permettant de corriger la faille. Tout administrateur système et réseau se doit de se tenir informé des alertes de sécurité et d'appliquer le plus rapidement possible les correctifs.

44

Les attaques de répudiation

45

•Les attaques de répudiation:• la répudiation consiste à tenter de donner

de fausses informations ou de nier qu’un événement ou une transaction se soient réellement passé.

46

Le IP Spoofing :• Cette attaque consiste à se faire passer pour une

autre machine en falsifiant son adresse IP. Elle est en fait assez complexe.

• L'usurpation d'adresse IP (en anglais : IP spoofing ou IP address spoofing) est une technique de Hacking utilisée en informatique qui consiste à envoyer des paquets IP en utilisant une adresse IP source qui n'a pas été attribuée à l'ordinateur qui les émet. Le but peut être de masquer sa propre identité lors d'une attaque d'un serveur, ou d'usurper en quelque sorte l'identité d'un autre équipement du réseau pour bénéficier des services auxquels il a accès.

47

Cette attaque va se dérouler en plusieurs étapes :Trouver la machine de confiance (son adresse IP) qu'accepte le service du serveur cible.

• Mettre hors service cette machine de confiance (avec un SYN Flooding par exemple) pour éviter qu'elle ne réponde aux paquets éventuellement envoyés par le serveur cible.

• Prédire les numéros de séquence TCP du serveur cible. Ce numéro caractérise une connexion TCP (un numéro de séquence initial est généré à chaque nouvelle connexion TCP). C'est un champ de l'en-tête du protocole TCP. De nos jours ce numéro est difficilement prédictible voir impossible sur des systèmes type Linux. Ce qui n'était pas le cas il y a quelques années.

• Lancer l'attaque. Elle va consister à créer une connexion TCP sur le serveur cible. Pour cela, l'attaquant va forger un paquet TCP avec le flag SYN et l'adresse IP source de la machine de confiance. Le serveur cible va répondre par un paquet TCP avec les flags SYN-ACK. L'attaquant, qui aura prédis le numéro de séquence TCP, pourra forger un paquet TCP avec le flag ACK et le bon numéro d'acquittement (numéro de séquence envoyé par le serveur cible incrémenté de 1). Une connexion TCP est alors établie au niveau du serveur cible. L'attaquant n'a plus qu'à envoyer un paquet TCP avec le flag PSH (permettant de remonter directement à l'application les données du paquet) pour envoyer une commande au service (par exemple echo ++ >> /.rhosts). L'attaquant peut accéder librement au serveur cible.

Le schéma suivant illustre cette attaque. La machine A est celle de l'attaquant, la C celle de confiance et enfin Cible qui est le serveur cible. A(C) signifie que la machine A va envoyer un paquet en spoofant l'adresse IP de la machine C :

48

• Qu'est-ce que c'est ?•

L'IP Spoofing signifie usurpation d'adresse IP. Bien que cette attaque soit ancienne, certaines formes d'IP Spoofing sont encore d'actualité. Effectivement, cette attaque peut être utilisée de deux manières différentes :La première utilité de l'IP Spoofing va être de falsifier la source d'une attaque. Par exemple, lors d'une attaque de type déni de service, l'adresse IP source des paquets envoyés sera falsifiée pour éviter de localiser la provenance de l'attaque.

• L'autre utilisation de l'IP Spoofing va permettre de profiter d'une relation de confiance entre deux machines pour prendre la main sur l'une des deux.

• Description de l'attaque•

Il existe plusieurs types d'IP Spoofing. La première est dite Blind Spoofing, c'est une attaque "en aveugle". Les paquets étant forgés avec une adresse IP usurpée, les paquets réponses iront vers cette adresse. Il sera donc impossible à l'attaquant de récupérer ces paquets. Il sera obligé de les "deviner". Cependant, il existe une autre technique que le Blind Spoofing. Il s'agit d'utiliser l'option IP Source Routing qui permet d'imposer une liste d'adresses IP des routeurs que doit emprunter le paquet IP. Il suffit que l'attaquant route le paquet réponse vers un routeur qu'il contrôle pour le récupérer. Néanmoins Néanmoins, la grande majorité des routeurs d'aujourd'hui ne prennent pas en compte cette option IP et jettent tous paquets IP l'utilisant

49

• IP spoofingLa meilleure méthode de prévention du problème usurpation d'adresse IP est d'installer un routeur de filtrage qui limite l'entrée à votre interface externe (connu comme un filtre d'entrée) en ne permettant pas un paquet à travers si elle dispose d'une adresse source de votre réseau interne. En outre, vous devriez filtrer les paquets sortants qui ont une adresse source différente de votre réseau interne afin d'éviter une source IP spoofing attaque provenant de votre site.

• Comment s'en protéger ?•

Supprimer tous les services de type rsh et rlogin.• Ne pas utiliser uniquement l'adresse IP comme méthode

d'authentification (ajouter au moins un login et un password).• Vérifier que son système n'a pas des numéros de séquence TCP

facilement prédictible.

50

• Smurfing[modifier | modifier le code]• Cette attaque utilise le protocole ICMP. Quand un ping

(message ICMP ECHO) est envoyé à une adresse de broadcast (par exemple 10.255.255.255), celui-ci est démultiplié et envoyé à chacune des machines du réseau. Le principe de l’attaque est de truquer les paquets ICMP ECHO REQUEST envoyés en mettant comme adresse IP source celle de la cible. Le cracker envoie un flux continu de ping vers l’adresse de broadcast d’un réseau et toutes les machines répondent alors par un message ICMP ECHO REPLY en direction de la cible. Le flux est alors multiplié par le nombre d’hôtes composant le réseau. Dans ce cas tout le réseau cible subit le déni de service, car l’énorme quantité de trafic générée par cette attaque entraîne une congestion du réseau

51

Conclusion• L'énorme majorité des menaces sur un système informatique

 est due à l'erreur ou la négligence humaine.

• Les hackers ne sont pas tous spécialistes en sécurité informatique.

• Les quatre plus gros hébergeurs de machines zombie au monde seraient les États-Unis, laChine, la Corée du Sud et la France.

52

MERCI POUR VOTRE ATTENTION