Techniques de protection dans les

réseaux
CHAPITRE I:
Menaces et attaques réseaux

Licence Appliquée en STIC

L2 - option Sécurité des Réseaux

Iset’Com 2022-2023

Problématique Problématique
 La plupart des protocoles réseaux ont une conception simple  Faiblesses de configuration des équipements réseaux
légère et non sécurisée  Exemple: Pare-feu mal configuré laissant passer un trafic non
autorisé
 Pas de couche de sécurité dans le protocole IP
 Divers attaques sur la plupart des protocoles
 Pas de véritables mécanismes d’authentification dans les
protocoles réseaux couramment utilisés
 Exemples d’attaques: Spoofing, man-in-the-middle …
 Faiblesses d’implémentation ou bogues des programmes (OS,
applications, piles réseaux)
 Développement rapide de logiciels sans règles strictes.
 Exemple d’attaques: ping of death, SYN flooding…

Typologie des faiblesses de sécurité

3 4
 Problématique Approche commune des attaques
 En s’appuyant sur ces faiblesses, plusieurs attaques peuvent être  Etape 1: Reconnaissance
lancées permettant de :
 Recherche d’informations sur le système cible
 Influencer le comportement réseau: déni de service, saturation
 Etape 2: Balayage (scan)
de la bande passante ..
 Scan des ports, des vulnérabilités, du réseau (topologie)
 Collecter des informations confidentielles.
 Balayage de ports: utilisation de Nmap …
 Composantes d’un système susceptibles d’être attaquées:  Balayage de vulnérabilités: utilisation Nessus, OpenVAS …
représentant un moyen de pénétration d’un système réseau
 Etape 3: Exploit
 La couche réseau, en charge de connecter le système au  Exploiter les vulnérabilités des protocoles, des applications, des
réseau systèmes d’exploitation, du réseau …
 Le système d’exploitation, en charge d’offrir un noyau de  Etape 4: Maintenir l’accès.
fonctions au système  Porte dérobée (Backdoor) …
 La couche application, en charge d’offrir des services  Etape 5: Effacer les traces d’intrusion
spécifiques.  Effacer/modifier les logs

5 6

Attaques directes/indirectes Attaques directes/indirectes

 Attaques directes:
 L’attaquant attaque sa victime et expose son identité. Attaque directe
 Attaques indirectes par rebond:
 Exploite un système intermédiaire, qui a pu être compromis
précédemment. Celui-ci envoie l’attaque vers le système cible.
 L’identité de l’attaquant est masquée, et les ressources du système
intermédiaire sont utilisées.
Attaque indirecte
 Attaques indirectes par réponse: par rebond
 L’attaquant envoie une requête au système intermédiaire, et c’est la
réponse à cette requête qui est envoyée au système cible.
 Offre à l’attaquant les mêmes avantages que l’attaque précédente.
 Possibilité de l’utilisation d’une usurpation d’adresse IP source (IP
Attaque indirecte
spoofing)
par réponse

7 8
 Les attaques réseaux Attaques pour cartographier le réseau

 Attaques permettant de dévoiler le réseau :  Objectif: dresser les artères de communication de la future cible:
 Attaques pour cartographier le réseau  Informations sur les chemins vers d’autres réseaux: points
d’interconnexion …
 Attaques par identification des systèmes réseaux
 Attaques par balayage ICMP, Attaques par balayage TCP,  Utilisation d’outils tels que Traceroute (ou tracert) pour visualiser
 Empreinte du réseau d’un système d’exploitation le chemin suivi par un paquet d’un hôte à un autre
 Attaques par traversée des équipements filtrants
 Attaques par fragmentation des paquets IP
 Attaques permettant d’écouter le trafic réseau: sniffing
 Attaques permettant d’utiliser des accès distants WiFi de façon non
autorisée (absence de mécanismes d’authentification).
 Attaques permettant d’interférer avec une session réseau:
 Man in the middle, DNS ID spoofing …
 Attaques permettant de mettre le réseau en déni de service:
 Ping Of Death, TCP SYN flooding …
10
9

Attaques pour cartographier le réseau Attaques pour cartographier le réseau

 Principe de fonctionnement de traceroute:  Principe de fonctionnement de traceroute:

 Traceroute (envoi des paquets à un port UDP non utilisé avec un TTL
(Time To Live) valant 1.
 TTL: un champ de durée de décrémenté à chaque passage d’un routeur.
 Si TTL=0, le routeur considère que le paquet tourne en boucle, détruit ce
paquet et envoie une notification ICMP à l’expéditeur
 Le premier routeur rencontré va supprimer le paquet et renvoyer un
paquet ICMP donnant l’adresse IP du routeur et le temps de
propagation en boucle.
 Traceroute incrémente séquentiellement la valeur du champ TTL, de
manière à obtenir une réponse de chacun des routeurs sur le
chemin.
 Fin de traitement: obtenir une réponse « ICMP port unreachable» de
la part de la machine cible
11 12
 Attaques par identification des systèmes réseaux Attaques par identification des systèmes réseaux

 Objectif: identifier tous les systèmes présents (ainsi que leurs Attaque par balayage ICMP (ICMP scan):
services et les systèmes d’exploitation employés) dans le but de  Objectif: dresser une liste des systèmes présents sur un sous-
dresser les futurs moyens de pénétration du réseau ou des réseau
systèmes qui le composent.
 Principe
 Plusieurs attaques possibles:  L’attaquant envoi un paquet ICMP echo-request
 Attaques par balayage ICMP (ICMP scan)  Le serveur répond par un paquet ICMP echo-reply
 Attaques de découverte de services
 Deux types
 Attaques par balayage TCP
 En balayant le réseau et en interrogeant chaque adresse IP
 Empreinte du réseau d’un système d’exploitation possible
 En visant une seule fois l’adresse de diffusion du réseau, ce qui fera
répondre toutes les machines présentes

13 14

Attaques de découverte de services Attaques de découverte de services

Rappel:  Objectif des attaques: trouver, dans un délai très court, tous les
ports ouverts sur une machine distante
 Chaque service offert par un serveur se met en écoute sur un
port particulier.  Principe:
 Les numéros de ports sont attribués suivant le document  Pour connaître les ports ouverts sur une machine, l’attaque se base
sur la spécificité du protocole TCP.
standard
0
RFC1010. 16 31
 L’attaquant envoie des demandes au client, et exploite la réponse
Port source Port destination
Numéro de séquence pour déterminer l’état du port.
Numéro d'accusé de réception
 Plusieurs techniques de scan de ports TCP: Connect Scan, Connect
Long 6 bits UAP R S F
en-tête réservé R C S S Y I Taille de fenêtre SYN-Scan, Null-Scan, XMAS-Scan …
TCP GKHT NN
Total de contrôle d'en-tête Pointeur d'urgence
Options (0, 1 ou plusieurs mots de 32 bits)

Données (optionnelles)

Entête TCP
15 16
 Attaques de découverte de services Attaques de découverte de services

Connect Scan Connect SYN-Scan

Attaquant cible
Attaquant cible

Attaquant cible

Attaquant cible

Attaquant cible

Attaquant cible
 Le scan par défaut de nmap, appelé « Half Open scan »

 Commandes dans nmap:

 Commande nmap utilisée:
17 18

Attaques de découverte de services Attaques de découverte de services

 Null-Scan: envoyer un paquet TCP scan avec tous les flags à 0  XMAS-Scan: envoyer un paquet TCP scan avec tous les flags
URG, PUSH et FIN à 1
Attaquant cible
Attaquant cible

Attaquant cible
Attaquant cible

Attaquant cible

Attaquant cible

 Commande nmap utilisée:

 Commande nmap utilisée: 19 20
 Attaque de prise d’empreinte d’une pile réseau
 Objectif: identifier le système exploitation de la cible.
 Principe:
 L’implémentation de la pile TCP/IP est différente d’un système
d’exploitation à un autre.
 En recherchant ces différences, il est possible de reconnaître les
différents systèmes d’exploitation.
21
Ecoute de trafic réseau (sniffing)
 Objectif: Écouter une ligne de transmission d’un réseau utilisant
le mode Broadcast pour récupérer puis analyser les données.
 Principe:
 Dans un tel réseau (ex: Ethernet), toutes les données en transit
arrivent à toutes les cartes réseaux connectées
 En fonctionnement normal, seules les trames destinées à la
machine sont lues, les autres sont ignorées.
 En configurant la carte réseau en mode promiscuité (en anglais
promiscuous): il devient possible d’intercepter les trames (reçues
par la carte réseau ) qui ne lui sont pas destinées.
 Promiscuous: configuration de la carte réseau, qui permet à celle-ci
d'accepter tous les paquets qu'elle reçoit, même si ceux-ci ne lui sont
pas adressés.
 L’attaquant peut seulement capturer le trafic réseau vers et en
provenance des autres nœuds à l'intérieur du même domaine de
23
collision
Attaque de prise d’empreinte d’une pile réseau
 Exemples de techniques de prise d’empreinte:
 Surveillance du bit DF (Don’t Fragment)
 Certains systèmes d’exploitation définissent ce bit afin d’augmenter
les performances.
 Surveillance de la taille initiale de la fenêtre TCP
 Analyse des numéros d’acquittement des segments TCP
 Certaines piles utilisent des numéros de séquences spécifiques.
 Analyse du comportement face aux messages ICMP
 Les systèmes d’exploitation implémentent des comportements et des
réponses parfois différents face à des messages ICMP non conformes
 La prise d’empreinte peut être passive (à partir de trafic capturé
sur le réseau).
22
Attaque par fragmentation des paquets IP
Tiny fragmentation
 Rappel:
 TCP encapsulé dans IP
 Les premières générations des filtres appliquent la même règle de
filtrage à tous les fragments d’un paquet.
 Objectif de l’attaque: passer à travers un firewall
 Principe:
 Utilisation de petits fragments pour forcer la division de l’entête TCP
sur deux fragments
 Fragment 1: contient (comme données) les huit premiers octets de l’en-
tête TCP (ports source et destination et le numéro de séquence).
 Fragment 2: contient la demande de connexion TCP effective (flags, etc.)
 Aucune demande de connexion explicite dans le 1er fragment, le filtrage
le laisse passer ainsi que tous les fragments associés
 Lors de la défragmentation IP dans la machine cible, le paquet de
demande de connexion est reconstitué et passé à la couche TCP. 24
 Attaque par fragmentation des paquets IP Attaque par fragmentation des paquets IP
Tiny fragmentation Fragments overlapping
 Rappel: si deux fragments IP se superposent, le deuxième
écrase le premier
 Objectif de l’attaque: passer à travers un firewall
 Description:
IP  Le premier fragment contient des informations TCP que le système
Fragment 1 de filtrage accepte
 Le deuxième réécrit une partie de l’entête TCP placée dans le
premier fragment en plaçant des informations malveillantes
 Exemple: changer le numéro de port 80 (HTTP) par 23 (telnet)

Paquet défragmenté

Fragment 2
25 26

DNS ID Spoofing DNS ID Spoofing

 Rappel: Fonctionnement du protocole DNS  Objectif de l’attaque: rediriger du trafic a l'insu de l'utilisateur
 Phishing, sniffing, propagation de virus, installation de backdoors
 Principe: trouver le DNS ID des requêtes client, pour y répondre
avant le serveur légitime.

 Le DNS ID (TXID): identifiant d'une requête DNS: identique

28
dans la réponse, visant à garantir l’intégrité d'une réponse DNS 27