Institut Suprieure dInformatique du Kef

A.U. 2013/2014

Universit de Jendouba

Correction du td n2 : IDS

Exercice 1:
1- Dcrire les classes dattaques informatiques possibles.
-

Attaques passives : elles ne modifient pas le comportement du systme, et peuvent

ainsi passer inaperues.
- Attaques sur la confidentialit :
Objectifs : obtention dinformations sur un systme, sur un
utilisateur ou un projet.
Mthodes possibles :
- Ecoute
- Injection de code
- Usurpation didentit
- Intrusion
- Abus de droits

Attaques actives : elles modifient le contenu des informations du systme ou le

comportement du systme. Elles sont en gnral plus critique que les passives.
- Attaques sur lintgrit :
Objectifs : modification ou destruction de donnes ou de
configurations.
Mthodes possibles :
- Injection de code
- Action physique
- Intrusion
- Attaques sur lauthentification :
Objectifs : utilisation des ressources de faon clandestine sur un
systme.
Mthodes possibles :
- Abus de droits
- Intrusion
- Attaques sur la disponibilit :
Objectifs : perturbation dun change par le rseau, dun service
ou dun accs un service.
Mthodes possibles :
- Abus de droits
- Action physique
- Intrusion
Mthodes :

Intrusion :
Exploitation des vulnrabilits du systme pour excuter des commandes non
autorises.
Exemples dattaques : exploitation des erreurs de configuration (Satan, Cops),
exploitation des bugs : Network Scanning, Sendmail, INN

Abus de droits lgitimes :

Utilisation dune fonctionnalit du systme de faon abusive.
Exemples dattaques : diffusions de logiciels sur des comptes ftp anonymes, trop de
requtes pour saturer un serveur, sniffer des ports.

Action physique :
Destruction, altration ou changement physique dun composant.
Exemples dattaques : destruction dun cble, d branchement dune prise
lectrique

Usurpation didentit :
Utilisation dune fausse identit pour abuser un systme ou un utilisateur.
Exemples dattaques : changer dadresse IP pour tromper le systme : IP spoofing

Injection de code :
Installation et excution dun module clandestin sur un systme.
Exemples dattaques : virus, bombes logiques, cheval de Troie, cookies, ver

Ecoute :
Ecoute passive et clandestine sur le rseau dans le but de rcuprer des informations.
Exemples dattaques : analyseurs de rseau, sondes

2- Dcrire les attaques par les protocoles suivants ainsi que la solution
propose :
-

Attaque par RIP

Attaque par ARP
Attaque par inondation de messages
Attaque par ICMP

Attaque par le protocole RIP

Ce protocole peut tre utilis pour dtourner des communications : limposteur se fait passer
pour lmetteur autoris, envoie de fausses informations de routage aux passerelles et au
destinataires, qui utiliseront ladresse IP donne par le paquet RIP de limposteur pour
transmettre des donnes destination de lmetteur, qui est en fait le rcepteur.
Solution : mcanisme dauthentification

Attaque par requtes ARP

Une requte ARP peut tre diffus jusqu ce quune machine se reconnaissant, et renvoie son
adresse ethernet. Mais si une requte ARP est mise avec une adresse IP inexistante, on peut
gnrer des temptes de diffusion (broadcast storm), ce qui provoque la saturation de la bande
passante, et rend indisponible le rseau (effondrement du rseau, dni de service) .
Pour viter ce type dattaque, les systmes sont configurs de faon limiter la diffusion
(broadcast) et avec des temporisations.

Attaque ICMP
Le protocole ICMP contrle lacheminement des paquets de donnes IP, et si un problme de
transmission est dtect par un routeur, celui-ci informe lmetteur du paquet en lui envoyant
un paquet ICMP.
Par exemple, des faux messages ICMP peuvent tre gnrer pour surcharger le rseau, le rendre
inutilisable, et entraner certains dnis de service.
Autres exemples :
- paralyser le rseau en rdigeant des paquets IP vers une fausse destination
- augmenter la charge des systmes en faisant traiter un grand nombre de messages
ICMP
- empcher un metteur denvoyer des donnes, en exploitant la facilit offerte
par ICMP pour contrler le flux dmission des paquets. Cela provoque des
consquences sur le trafic support par le rseau et atteinte aux performances du
rseau.
Pour viter ce genre dattaque, on peut :
- configurer les routeurs de sorte quils ne gnrent plus quun certain nombre de
messages ICMP pendant une priode de temps donne.
- sappuyer sur la fonction de surveillance des systmes de gestion de rseau pour
dtecter un nombre abusif de message ICMP, et dclencher lalarme lorsque le
taux de charge est anormal.

Attaque par inondation de messages

Submerger la bote aux lettres dun utilisateur par un grand nombre de mails entrane des dnis
de service. Lattaque est gnre par linscription de lutilisateur son insu des listes de
diffusion. Les firewalls et les serveurs de messagerie peuvent tre configurs de manire
bloquer les messages selon certains critres.

3- Dcrire les types de virus qui existent.

Virus crypt : le virus va crypter son contenu chaque infection pour viter de dvoiler les
chanes de caractres qui faciliteraient le travail des anti-virus.
Virus polymorphe : cest un virus qui essaye de changer dapparence chaque nouvelle
infection. Cette technique est apparue pour contrer la recherche de signatures par les antivirus.
Virus macro : cest un virus qui exploite le langage macro de certaines plates-formes
logicielles.

Virus non rsident : le virus va sexcuter chaque fois que lutilisateur va lancer un
excutable infect. Quand le virus a infecte suffisamment de fichiers, il sarrte et rend la
main au programme sur lequel il est implant.
Virus rsident : le virus va sinstaller dans la mmoire du systme et va fonctionner pendant
toute la dure de marche de la machine infecte.
Virus de niveau ring 0 : Le virus sexcute au niveau systme dexploitation avec le niveau
de privilge maximum.
Virus de niveau ring 3 : Le virus sexcute avec le niveau de privilge dun programme
normal.
Virus multi plates-formes : Le virus est capable de se propager dans diffrents systmes
dexploitation

4- Quelles sont les moyens de protection qui existent.

-

IDS
Cryptographie
Les protolocoles de scurit (IP Security Protocol, ssl, etc)
Firewall
antivirus

Exercice 2:
1- Dfinir un IDS.

Un IDS (systme de dtection des intrusions) est un ensemble doutils et dalgorithmes

permettant damliorer la dtection dintrusions informatiques. LIDS intgre quatre
modules de base sous forme de gnrateur dvnements, analyseur dvnements,
stockage dinformations et un module de contre mesure. Ces modules cooprent afin
rendre la dtection la plus efficace et la furtive que possible.

2- Quels sont les types dIDS qui existent.

Les types dIDS :

o NIDS : un systme de dtection dintrusion rseau contrlant le trafic rseau
par les deux mthodes de contrle (par paquets (contenu) et par flux (volume)).
Se caractrise par la furtivit et par la prsence dune sonde par rseau.
o HIDS : un systme de dtection dintrusion systme permettant de contrler les
machines de point de vue systmes dexploitation. Il se base sur lanalyse des
fichiers logs (journaux), des fichiers et des processus systme ce qui prouve la
ncessit davoir une sonde machine.

3- Quelles sont les mthodes utilises par les IDS pour dtecter les
intrusions.

Les mthodes utilises par lIDS pour dtecter les intrusions sont :

o La mthode de dtection par signature :

Repose sur une base de signature qui comporte un ensemble important de rgles.
Lefficacit de cette mthode dpond de la prcision des rgles collectes. Les avantages
de cette mthode (simplicit de mise en uvre, rapidit de diagnostic, identification du
procd dattaque). Les inconvnients (ne dtecte que les attaques connues de la base
de signature, maintenance de la base, techniques dvasion possibles ds lors que les
signatures sont connues).
o La mthode de dtection par anomalie :
Repose sur lanalyse comportementale et llaboration du profil normal afin de pouvoir
classer tout comportement anormal. Cette mthode repose sur les algorithmes
complexes de classification base de seuillage, statistiques, etc Avantages (permet la
dtection des attaques inconnues, difficile tromper). Inconvnients (la gnration des
profils est complexe cause de la dure dapprentissage qui elle-mme pose la question
la validit de lapprentissage durant cette phase.)