Académique Documents
Professionnel Documents
Culture Documents
A.U. 2013/2014
Universit de Jendouba
Correction du td n2 : IDS
Exercice 1:
1- Dcrire les classes dattaques informatiques possibles.
-
Intrusion :
Exploitation des vulnrabilits du systme pour excuter des commandes non
autorises.
Exemples dattaques : exploitation des erreurs de configuration (Satan, Cops),
exploitation des bugs : Network Scanning, Sendmail, INN
Action physique :
Destruction, altration ou changement physique dun composant.
Exemples dattaques : destruction dun cble, d branchement dune prise
lectrique
Usurpation didentit :
Utilisation dune fausse identit pour abuser un systme ou un utilisateur.
Exemples dattaques : changer dadresse IP pour tromper le systme : IP spoofing
Injection de code :
Installation et excution dun module clandestin sur un systme.
Exemples dattaques : virus, bombes logiques, cheval de Troie, cookies, ver
Ecoute :
Ecoute passive et clandestine sur le rseau dans le but de rcuprer des informations.
Exemples dattaques : analyseurs de rseau, sondes
2- Dcrire les attaques par les protocoles suivants ainsi que la solution
propose :
-
Une requte ARP peut tre diffus jusqu ce quune machine se reconnaissant, et renvoie son
adresse ethernet. Mais si une requte ARP est mise avec une adresse IP inexistante, on peut
gnrer des temptes de diffusion (broadcast storm), ce qui provoque la saturation de la bande
passante, et rend indisponible le rseau (effondrement du rseau, dni de service) .
Pour viter ce type dattaque, les systmes sont configurs de faon limiter la diffusion
(broadcast) et avec des temporisations.
Attaque ICMP
Le protocole ICMP contrle lacheminement des paquets de donnes IP, et si un problme de
transmission est dtect par un routeur, celui-ci informe lmetteur du paquet en lui envoyant
un paquet ICMP.
Par exemple, des faux messages ICMP peuvent tre gnrer pour surcharger le rseau, le rendre
inutilisable, et entraner certains dnis de service.
Autres exemples :
- paralyser le rseau en rdigeant des paquets IP vers une fausse destination
- augmenter la charge des systmes en faisant traiter un grand nombre de messages
ICMP
- empcher un metteur denvoyer des donnes, en exploitant la facilit offerte
par ICMP pour contrler le flux dmission des paquets. Cela provoque des
consquences sur le trafic support par le rseau et atteinte aux performances du
rseau.
Pour viter ce genre dattaque, on peut :
- configurer les routeurs de sorte quils ne gnrent plus quun certain nombre de
messages ICMP pendant une priode de temps donne.
- sappuyer sur la fonction de surveillance des systmes de gestion de rseau pour
dtecter un nombre abusif de message ICMP, et dclencher lalarme lorsque le
taux de charge est anormal.
Virus non rsident : le virus va sexcuter chaque fois que lutilisateur va lancer un
excutable infect. Quand le virus a infecte suffisamment de fichiers, il sarrte et rend la
main au programme sur lequel il est implant.
Virus rsident : le virus va sinstaller dans la mmoire du systme et va fonctionner pendant
toute la dure de marche de la machine infecte.
Virus de niveau ring 0 : Le virus sexcute au niveau systme dexploitation avec le niveau
de privilge maximum.
Virus de niveau ring 3 : Le virus sexcute avec le niveau de privilge dun programme
normal.
Virus multi plates-formes : Le virus est capable de se propager dans diffrents systmes
dexploitation
IDS
Cryptographie
Les protolocoles de scurit (IP Security Protocol, ssl, etc)
Firewall
antivirus
Exercice 2:
1- Dfinir un IDS.
3- Quelles sont les mthodes utilises par les IDS pour dtecter les
intrusions.
Les mthodes utilises par lIDS pour dtecter les intrusions sont :