Scurit des rseaux Les attaques

A. Guermouche

A. Guermouche

Cours 2 : Les attaques

Plan

1. Les attaques?

2. Quelques cas concrets DNS : Failles & dangers

3. honeypot

A. Guermouche

Cours 2 : Les attaques

Les attaques?

Plan

1. Les attaques?

2. Quelques cas concrets DNS : Failles & dangers

3. honeypot

A. Guermouche

Cours 2 : Les attaques

Les attaques?

Techniques dattaque/dintrusion
Attaque. nimporte quelle action qui compromet la scurit des informations. Intrusion. Prise de contrle partielle ou totale dun systme distant. Description dune attaque : Recherche dinformations. rseau, serveurs, routeurs, . . . Recherche de vulnrabilits. systme dexploitation, serveurs applicatifs, . . . Tentative dexploitation des vulnrabilits. distance puis localement Installation de backdoor. Installaltion de sniffer. Suppression des traces. Attaque par dni de service.
A. Guermouche Cours 2 : Les attaques 4

Les attaques?

Buts des attaques (1/2)

Interruption. vise la disponibilit des informations (DoS, . . . )

Interception. vise la condentialit des informations (capture de contenu, analyse de trafc, . . . )

Source de lattaque
A. Guermouche Cours 2 : Les attaques 5

Les attaques?

Buts des attaques (2/2)

Modication. vise lintgrit des informations (modication, rejeu, ...)

Source de lattaque

Fabrication. vise lauthenticit des informations (mascarade, . . . )

Source de lattaque
A. Guermouche Cours 2 : Les attaques 6

Les attaques?

Technique de recherche dinformation

Recherche dinformations publiques. DNS, whois, . . . Dcouverte du rseau et du ltrage IP. traceroute, ping, hping, netcat, . . . Dcouverte des systmes dexploitation. nessus, nmap, xprobe, queso, . . . Dcouverte de services ouverts. nmap, udp-scan, nessus, . . . Dcouverte des versions logicielles. telnet, netcat, . . .

A. Guermouche

Cours 2 : Les attaques

Les attaques?

Exemple : Dcouverte de machines via DNS

Interrogation du DNS avec dig : serveur de mail (champ MX), serveur DNS (champ NS) rsolution inverse sur toutes les adresses (dig -x) (peu discret) transfert de zone (dig server axfr zone.) (pas toujours autoris)
>dig labri.fr. MX ; < < > > DiG 9.4.1-P1 < < > > labri.fr. ;; global options: printcmd ;; Got answer: ;; -HEADER < <- opcode: QUERY, status: NOERROR, id: 22464 ... ;; QUESTION SECTION: ;labri.fr. IN MX ;; ANSWER SECTION: labri.fr. 28800 IN MX 10 iona.labri.fr. ... MX

A. Guermouche

Cours 2 : Les attaques

Les attaques?

Balayage
Dcouverte de machines : But. dcouvrir les machines dun rseau donn. Principe. envoyer un paquet toutes les adresses. analyser le paquet retour Outils. nmap ... Dcouverte de ports ouverts : But. dcouvrir les services/ports ouverts sur une machine donne. Principe. envoyer des paquests. analyser les paquet retour (ou leur absence) Outils. nmap telnet netcat ...
A. Guermouche Cours 2 : Les attaques 9

Les attaques?

Techinques de balayage avec nmap

ping sweep (balayage avec ping) : nmap -sP -PI ... Principe. Envoyer un paquet ICMP Echo Request et attendre le paquet ICMP Echo Reply. Inconvnient. Mthode trs peu discrte. Techniques plus sophistiques : ncessitent gnralement des privilges administrateur sur la machine source Half Open SYN scan (un seul paquet SYN) NULL scan (paquet sans ags) (rponse uniquement si le port correspondant est ferm) FIN scan (un seul paquet avec le ag FIN) XMAS scan (URG + PUSH + FIN) ...

A. Guermouche

Cours 2 : Les attaques

10

Les attaques?

Dtection de ports ouverts

scan TCP via HTTP proxy bounce scan Utiliser un proxy HTTP comme relai pour faire du scan de ports : GET http://ftp.ens-lyon.fr:21 HTTP/1.0 (et attendre la rponse) scan TCP via FTP (FTP Bounce attack) Utiliser un proxy FTP (ayant un disfonctionnement) comme relai pour faire du scan de ports : PORT 10,10,0,2,0,25 nmap -b ... scan UDP nmap -sU ... scan RPC nmap -sR ...
A. Guermouche Cours 2 : Les attaques 11

Les attaques?

Dtermination du ltrage IP
Mthode : Forger un paquet avec un ttl tel que le paquet est arrt par un ltre IP. Essayer de communiquer avec hte situ derrire le rewall. Analyser les rponses. Outils : rewalk, . . . Dfense : Interdir aux rponses ICMP de sortir du rseau protg. ...

A. Guermouche

Cours 2 : Les attaques

12

Les attaques?

Prise de contrle dun serveur distant

En plusieurs tapes : 1. Recherche de services ouverts (SMTP, FTP, . . . ) 2. Exploitation de vulnrabilits : (CGI, exploit connu, dbordement de buffer, injection de code/commande, . . . ) 3. Pose de sniffer 4. Pose de backdoor Exemples de backdoor : rwwwshell. Lancer un client HTTP avec un shell associ sur une machine lintrieur du rseau et ouvrir une connexion HTTP vers un serveur du pirate. loki. installer un serveur particulier sur une machine du rseau interne et communiquer avec lui en utilisant le champ donnes des paquets ICMP.
A. Guermouche Cours 2 : Les attaques 13

Les attaques?

Attaques sur les rseaux locaux

coute du rseau. Capturer le contenu des paquets qui ne nous sont pas destins. tcpdump sniff ... Usurpation dadresses (IP et MAC). Forger et envoyer des paquets avec une fausse adresse IP. . . dsniff ... Vol de session. Forger des paquets permettant la prise de contrle dune connexion dj tablie. juggernaut hunt ...
A. Guermouche Cours 2 : Les attaques 14

Les attaques?

Usurpation dadresses (spoong)

Principe. Forger et envoyer des paquets IP avec une fausse adresse source. Proprit. Impossibilit de trouver la vritable source. Utilisation. Technique souvent utilise dans le cas dattaque de type DoS. Rappel : Une attaque de type DoS vise linterruption dun service en saturant la cible de requtes.

A. Guermouche

Cours 2 : Les attaques

15

Les attaques?

Vol de session (Connection Hijacking)

Objectif. Prendre la main sur une connexion dj tablie. Principe. Attendre ltablissement dune connexion. Dsynchroniser la connexion entre le client et le serveur (en forgeant un paquet avec un numro de squence particulier). Proter de la dsynchronisation pour faire faire au serveur ce quon veut. Difcult. Attaque trs complique (voire impossible) si on na pas la possibilit de voir le trafc entre le client et le serveur.
A. Guermouche Cours 2 : Les attaques 16

Quelques cas concrets

Plan

1. Les attaques?

2. Quelques cas concrets DNS : Failles & dangers

3. honeypot

A. Guermouche

Cours 2 : Les attaques

17

Quelques cas concrets

DNS : Failles & dangers

Pourquoi DNS? (1/2)

DNS : Propos en 1983, trs peu dvolution depuis. Mcanisme rapide, prcis pour trouver la correspondance entre noms et adresse IP. quivalent des services de renseignement tlphonique pour internet.
Service plus critique/sensible que les renseignements tlphoniques. Une personne peut garder son numro de tlphone pendant des annes alors quun serveur peut changer dadresse IP tous les jours. Internet na pas de mcanisme denvoi dun echec ou une redirection (lequivalent de le numro que vous demandez nest pas attribu, le nouveau numro est ... ).

A. Guermouche

Cours 2 : Les attaques

18

Quelques cas concrets

DNS : Failles & dangers

Pourquoi DNS? (1/2)

Est-il possible que DNS fasse plus que renvoyer ladresse IP partir du nom? Rponse Simple : Biensur, il peut renvoyer la liste des serveurs mail, des noms partir dadresses IP, . . . Meilleure rponse : Pourquoi cette question? DNS est le deuxime plus ancien protocole incontest dans ce quil fait.
Telnet a volu vers ssh, FTP a t dlaiss pour HTTP, . . . Il ne reste que SMTP dans le mme cas.

Il est universellement utilis et largement dploy.

A. Guermouche

Cours 2 : Les attaques

19

Quelques cas concrets

DNS : Failles & dangers

Mcanismes pouvant poser problme

Proxy DNS. Si un serveur ne sait pas rpondre une requte, il va demander quelquun qui sait (correspond une recherche rcursive). Cache DNS. Si un serveur sert de proxy pour un autre, les rsultats sont stocks (mis en cache) pour un certain temps (au plus une semaine pour la majorit des implmentation). Route DNS. Si un serveur ne sait pas rpondre une requte et quil ne veut pas demander quelquun qui connait la rponse, il peut donner une indication sur le serveur contacter (correspond une recherche itrative).

A. Guermouche

Cours 2 : Les attaques

20

Quelques cas concrets

DNS : Failles & dangers

DNS Cache Poisoning (1/2)

Cache Poisoning : Attaque consistant faire en sorte que le cache DNS contienne des correspondances invalides (cest dire que ladresse IP nest pas celle de la machine demande mais une autre). Thoriquement possible mais attaque dure mettre en uvre (dure jusqu cet t). lt 2008, Dan Kaminsky, un chercheur en scurit, a mis au point une attaque simple pour empoisoner les caches DNS. Lattaque se base sur un dfaut de presque tous les serveurs DNS ( savoir le port source de la communication est toujours le mme).

A. Guermouche

Cours 2 : Les attaques

21

Quelques cas concrets

DNS : Failles & dangers

DNS Cache Poisoning (2/2)

Proprits : Chaque requte DNS est identie par un identiant unique cod sur 16 bits (216 possibilits). Le port source est toujours le mme sur presque toutes les implmentations de serveur DNS. description : 1. Rcuprer la liste des serveurs ayant lauthorit sur la zone vise. 2. mettre une requte DNS pour une correspondance qui nest pas dans le cache. 3. Envoyer plein de rponses spoofes (au plus 65536), chacune avec un numro de requte diffrent, au serveur en se faisant pass pour le serveur dauthorit et en mettant dans la rponse une correspondance errone. 4. Si lopration russit, le cache contient une entre invalide.
A. Guermouche Cours 2 : Les attaques 22

Quelques cas concrets

DNS : Failles & dangers

Dangers et Solutions
Dangers : Peut tout simplement casser la hiarchie DNS et donc faire tomber Internet. Le cache poisoning peut permettre de rediriger le trafc entre un serveur et un client vers un tier qui peut tre malveillant. Beaucoup de protocoles, et notamment des protocoles de scurit, sont sensibles aux rsolutions DNS. Solutions retenues : Amliorer la randomisation pour le choix du numro de requte. Utiliser un port source alatoire (ce qui ferait la taille de lespace de recherche pour forger une rponse valide de 216 232 ). plus long terme, il faudrait utiliser un protocole signature lectronique tel que DNSSec.
A. Guermouche Cours 2 : Les attaques 23

honeypot

Plan

1. Les attaques?

2. Quelques cas concrets DNS : Failles & dangers

3. honeypot

A. Guermouche

Cours 2 : Les attaques

24

honeypot

Honeypot (1/2)
Un honeypot est une ressource de scurit dont le principal Tout le trafc vers le honeypot est authoris. Tout trafc initi par le honeypot est suspect (souvent d au fait que le systme a t compromis). but est dtre attaqu. deux types de honeypot : Production. Il sagt des logiciels classiques. Leur but est daugment la scurit de linfrastructure. Recherche. Il sagt de mcanisme permettant de rcupprer de linformation sur les pirates et les attaques quils utilisent.

A. Guermouche

Cours 2 : Les attaques

25

honeypot

Honeypot (2/2)
Avantages : Les informations rcupres partir de honeypots ont de la valeur (personne dautre quun pirate nest cens se connecter dessus). Pas de problmes de saturation de la ressource vu que la trafc dirig vers le honeypot est trs cibl. (par opposition conntrac par ex). Permettent de mettre en vidence de lactivit suspecte etc ... Inconvnients : Vision troite (on ne voit que ce qui est destin au honeypot). Les honeypots laissent souvent une empreinte qui fait quon peut les reconnatre. On laissant une machine sans dfense, le honeypot pause un problme en cas de compromission.
A. Guermouche Cours 2 : Les attaques 26