Chapitre 3

Sécurité des systèmes d’information
Chap : Services, Mécanismes et attaques de sécurité
Rhouma Rhouma
https://sites.google.com/site/rhoouma
Lebanese International University (LIU) en Mauritanie
Mars 2015
1 / 54
Plan
1 Services et Mécanismes de sécurité
2 Logiciels malveillants
3 Attaques de sécurité
Attaques Actives & Passives
Attaques DoS
ARP spoofing et flooding
DHCP starvation
Snifer
2 / 54
Services et Mécanismes de sécurité
Plan
Attaques DoS
DHCP starvation
Snifer
3 / 54
Objectifs de la sécurité : CIA
Autres : Authenticité, la responsabilité
4 / 54
Attaques, services et Mécanismes
Attaque : Toute action qui compromet la sécurité de l’information

Mécanisme de sécurité : Un mécanisme qui est conçu pour
détecter, prévenir, ou se remettre d’une attaque de sécurité.
Service de sécurité : Un service qui améliore la sécurité des
systèmes de traitement de données et les transferts d’information.
Un service de sécurité fait usage d’un ou plusieurs mécanismes
de sécurité
5 / 54
Services de Sécurité
Confidentialité : Pour protéger contre toute écoute

Authentification : Pour savoir qui a crée et envoyé le message ?
Intégrité : Être sur que la donnée ou msg n’a pas été altéré
Non-Répudiation : ne pas nier une transaction
Contrôle d’accès : pour empêcher l’utilisation abusive des
ressources
Disponibilité (permanence) : contre le DoS et les virus
6 / 54
Modèle général de sécurité réseau
7 / 54
Méthodes de défenses
Chiffrement de données
Contrôle d’accès software : limiter l’accès aux bases de données,
protéger chaque utilisateur des autres utilsateurs
Contrôle d’accès hardware : ex Cartes à puce
Politiques de sécurité : changer fréquemment les mots de passes
Utiliser les Firewalls, les systèmes de détection d’intrusion, les
anti-virus
utiliser les réseaux VLAN pour cacher les différents parties des
réseaux
pour accès distant utiliser les VPN : Virtual Private Network
8 / 54
Logiciels malveillants
Plan
Attaques DoS
DHCP starvation
Snifer
9 / 54
Logiciels Malveillants
10 / 54
Logiciels Malveillants
Backdoor : Point d’entrée secrète dans un programme : utilisés
par les developpeurs
Bombe logique : code inséré ds un programme légitime et sera
activé : presence/absence de quleque fichiers, date particulière,
serie de frappes particulière sur le clavier.
Cheval de Troie : Programme qui semble avoir une fonction mais
en fait une autre : souvent caché sous forme d’un jeu, mise à jour
d’un software
Zombie (Bot) : Programme qui, secrètement, prend le contrôle
sur un autre ordinateur du réseau pour lancer des attaques
indirectement (DoS)
virus : Une portion de code qui infecte les programmes. chaque
virus est spécifique pour un système d’exploitation et un hardware
puisqu’il profite de leurs détails et leurs faiblesses.
Ver : Code actif Autonome qui peut se répliquer à des hôtes
distants sans déclenchement
11 / 54
Attaques de sécurité
Plan
Attaques DoS
DHCP starvation
Snifer
12 / 54
Attaques de sécurité Attaques Actives & Passives
Plan
Attaques DoS
DHCP starvation
Snifer
13 / 54
14 / 54
Interruption : Ceci est une attaque sur la disponibilité

Interception : Ceci est une attaque sur la confidentialité
Modification : Ceci est une attaque sur l’intégrité
Fabrication : Ceci est une attaque sur l’authenticité
15 / 54
Attaques Passives et Actives
Les attaques passives :

Une attaque passive tente
d’apprendre ou d’utiliser
l’information du système,
mais n’affecte pas les
ressources du système
Relativement difficile à
détecter, mais plus facile à
prévenir
Les attaques actives
Une attaque active tente de
modifier les ressources du
système ou d’affecter leur
fonctionnement
Relativement difficile à
éviter, mais plus facile à
détecter
16 / 54
Attaques Passives et Actives
17 / 54
Attaque Passive : Lecture du contenu du msg
18 / 54
Attaque Passive : Analyse du Trafic
19 / 54
Attaque Active : Mascarade
20 / 54
Attaque Active : Replay Attack
21 / 54
Attaque Active : Modification
22 / 54
Attaque Active : Denial of Service (DoS)
23 / 54
Attaques de sécurité Attaques DoS
Plan
Attaques DoS
DHCP starvation
Snifer
24 / 54
Denial of Service
Une tentative par des attaquants afin d’empêcher les utilisateurs

légitimes d’un service d’utiliser ce service
Modèle de la menace DoS :
La consommation de connectivité et / ou la bande passante réseau
La consommation d’autres ressources, par exemple file d’attente,
CPU
La destruction ou l’alternance de la configuration de l’information :
Paquets malformés peuvent mettre une application en confusion et
l’amener à geler
Destruction physique ou alternance des composants de réseau
Consomme la mémoire système : un script de programme se fait
des copies
consomme la mémoire disque : générer beaucou
d’emails,générer beaucoup d’erreurs, placer des fichiers dans des
zones partagées de la mémoire
25 / 54
DoS : Attaque smurf
Envoyer une requete ping à une addresse broadcast (ICMP echo

Req)
Réponses de partout du réseau :
Chaque hôte sur le réseau cible génère une réponse de ping
(ICMP Echo Reply) à la victime
Le flux de réponse Ping peut surcharger la victime
Prévention : rejeter les packets externes vers les adresses
broadcast.
26 / 54
Distributed DoS (DDoS)
27 / 54
Pourquoi DDoS ?
Peut-on trouver BadGuy ? celui qui a initié l’attaque ?

l’initiateur de l’attaque a utilisé les handlers (gestionnaires)
l’initiateur n’est pas actif lorsque l’attaque DDoS se produit
on peut essayer de trouver les agents
il faut une nalyse de trafic sur différents points du réseau
28 / 54
Direct DDoS
29 / 54
Reflector DDoS
30 / 54
SYN Flooding Attack
90% des attaques DoS ont pour origine TCP SYN folooding
exploite une vulnérabilité dans l’établissement de la connection
TCP
le serveur commence des connexions "semi-ouverte"
Ces demandes de connexions se multiplient jusqu’à la file
d’attente est pleine et les requêtes additionnelles sont bloqués.
31 / 54
structure du segment TCP
32 / 54
Rappel établissement Connexion TCP
33 / 54
Rappel établissement Connexion TCP
Émetteur (client) et récepteur (Serveur) établissent une "connexion"

avant d’échanger des données
le client envoie un segment TCP SYN au serveur :
spécifie une sequence initiale seq#
pas de données
serveur reçoit SYN et répond par sagement SYNACK
Serveur alloue des buffers
spécifie la séquence de serveur initiale seq#
Le client reçoit SYNACK du serveur et répond par ACK qui peut
contenir des données
34 / 54
TCP connexion
35 / 54
SYN flooding
36 / 54
Syn flooding : analyse
l’adversaire a envoyé plusieurs segments TCP/syn
37 / 54
SYN flooding
Attaquant envoie de nombreuses demandes de connexion avec

des adresses sources usurpées (Adress spoofing)
Victime alloue des ressources pour chaque demande
Une fois les ressources épuisées, les demandes des clients
légitimes se voient refuser
c’est la DoS classique : ça ne coûte rien à l’initiateur TCP pour
envoyer une demande de connexion, mais le récepteur doit
reserver des ressources pour chaque demande
38 / 54
Détection de DoS
Analyser le comportement des paires SYN-FIN

ou analyser le comportement des paires SYNACK-FIN
Mais RST viole la regle SYN-FIN
Passive RST : transmise après l’arrivé d’un packet à un port fermé
(par le serveur)
Active RST : initié par le client pour abondonner une connexion
TCP
donc les paires SYN-RSTactive sont aussi normales
39 / 54
paires SYN-FIN
Generalement chaque SYN a un FIN
on ne peut dire si les RST sont active ou passive
generalement 75% des RST sont actives
40 / 54
Prévention de DoS
DoS est causée par une allocation asymétrique des ressources

si le récepteur alloue des ressources pour chaque connexion,
l’adversaire peut initier des milliers de connnexions à partir des
adresses usurpées et trafiquées
Les Cookies assurent que le récepteur n’alloue des ressources
que si l’incitateur a envoyé au moins deux messages
l’etat du récepteur est enregistré dans une cookie et envoyé à
l’initiateur
41 / 54
SYN cookies
42 / 54
Attaques de sécurité ARP spoofing et flooding
Plan
Attaques DoS
DHCP starvation
Snifer
43 / 54
ARP spoofing
ARP (Adress Resolution Protocol) : il permet de trouver une

adresse niveau 2 (Ethernet) à partir d’une adresse niveau 3 (IP).
fonctionnement :
client : who has 10.1.2.3 ? ?
n’importe qui : 10.1.2.3 is at 09 :0A :0B : :0C :0D :0E
c’est fait de forger des réponses, même non-sollicités, pour
rediriger le trafic
44 / 54
ARP flooding
le hacker change a chaque fois son adresse MAC et diffuse

ensuite la paquet ARP
45 / 54
Attaques de sécurité DHCP starvation
Plan
Attaques DoS
DHCP starvation
Snifer
46 / 54
Attaques de sécurité DHCP starvation
DHCP starvation
le hacker change son MAC et demande une configuration IP
47 / 54
Attaques de sécurité Snifer
Plan
Attaques DoS
DHCP starvation
Snifer
48 / 54
exemple de snifer ethernet
49 / 54
Sniffer : analyse d’une trame Ethernet
type de protocole selon

et pour le protocol transport : (6 -> TCP, 1 -> ICMP, UDP -> 17) 50 / 54
Sniffer : analyse d’une trame Ethernet
Analyser la trame ethernet suivante :
51 / 54
Solution
52 / 54
Solution (suite)
53 / 54
Solution (suite)
54 / 54

Chapitre 3

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chapitre 3

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

Sécurité des systèmes d’information

Chap : Services, Mécanismes et attaques de sécurité

Lebanese International University (LIU) en Mauritanie

1 Services et Mécanismes de sécurité

1 Services et Mécanismes de sécurité

Objectifs de la sécurité : CIA

Autres : Authenticité, la responsabilité

Attaques, services et Mécanismes

Attaque : Toute action qui compromet la sécurité de l’information

Confidentialité : Pour protéger contre toute écoute

Modèle général de sécurité réseau

1 Services et Mécanismes de sécurité

1 Services et Mécanismes de sécurité

1 Services et Mécanismes de sécurité

Interruption : Ceci est une attaque sur la disponibilité

Attaques Passives et Actives

Les attaques passives :

Attaques Passives et Actives

Attaque Passive : Lecture du contenu du msg

Attaque Passive : Analyse du Trafic

Attaque Active : Mascarade

Attaque Active : Replay Attack

Attaque Active : Modification

Attaque Active : Denial of Service (DoS)

1 Services et Mécanismes de sécurité

Une tentative par des attaquants afin d’empêcher les utilisateurs

DoS : Attaque smurf

Envoyer une requete ping à une addresse broadcast (ICMP echo

Distributed DoS (DDoS)

Peut-on trouver BadGuy ? celui qui a initié l’attaque ?

SYN Flooding Attack

structure du segment TCP

Rappel établissement Connexion TCP

Rappel établissement Connexion TCP

Émetteur (client) et récepteur (Serveur) établissent une "connexion"

Syn flooding : analyse

l’adversaire a envoyé plusieurs segments TCP/syn

Attaquant envoie de nombreuses demandes de connexion avec

Analyser le comportement des paires SYN-FIN

DoS est causée par une allocation asymétrique des ressources

1 Services et Mécanismes de sécurité

ARP (Adress Resolution Protocol) : il permet de trouver une

le hacker change a chaque fois son adresse MAC et diffuse

1 Services et Mécanismes de sécurité

le hacker change son MAC et demande une configuration IP

1 Services et Mécanismes de sécurité

exemple de snifer ethernet

Sniffer : analyse d’une trame Ethernet

type de protocole selon

Sniffer : analyse d’une trame Ethernet

Analyser la trame ethernet suivante :

Centres d'intérêt liés

Vous aimerez peut-être aussi