Académique Documents
Professionnel Documents
Culture Documents
com
Chapitre 2
Mince Rekhis
slim.rekhis@supcom.tn
◼ Attaques de phishing
Attaques DHCP
◼ Mauvais serveur DNS :Le serveur DNS escroc dirigera l'utilisateur vers un site Web malveillant.
◼ Mauvaise adresse IP:permet de créer une attaque DoS sur le client DHCP.
3
Défense contre l'usurpation de serveur DHCP
Protocole DHCP
4
Rejouer l'attaque
Prouve le
Alice Bob
Nonce
◼ Nonceest ledéfi
◼ Nonce est un nombre aléatoire imprévisible pour l'adversaire
◼ Un Nonce empêche la relecture et garantit la fraîcheur
◼ Lehacherest leréponse
◼ Le mot de passe doit être connu par Alice et Bob
6
Adapter le protocole à l'authentification mutuelle
RB, E(RUN,KUN B)
E(RB,KUN B)
Alice Bob
7
Attaque d'authentification mutuelle
2.RB, E(RUN,KUN B)
Trudy Bob
4.RC,E(RB,KUN B)
Trudy Bob
8
Authentification mutuelle par clé symétrique
Alice Bob
9
Attaques DNS
dix
Attaques de résolveur DNS Open
◼ Un résolveur DNS ouvert répond aux requêtes des clients en dehors de son domaine administratif.
◼ Les résolveurs ouverts DNS sont vulnérables à plusieurs activités malveillantes décrites dans le tableau.
Les auteurs de menaces envoient des informations de ressource d'enregistrement (RR) falsifiées et usurpées à un résolveur
DNS pour rediriger les utilisateurs de sites légitimes vers des sites malveillants. Les attaques d'empoisonnement du cache
Attaques d'empoisonnement du cache DNS
DNS peuvent toutes être utilisées pour informer le résolveur DNS d'utiliser un serveur de noms malveillant qui fournit des
informations RR pour les activités malveillantes.
Les acteurs de la menace utilisent des attaques DoS ou DDoS sur les résolveurs ouverts DNS pour augmenter le
Amplification DNS et volume des attaques et masquer la véritable source d'une attaque. Les pirates envoient des messages DNS aux
attaques par réflexion résolveurs ouverts en utilisant l'adresse IP d'un hôte cible. Ces attaques sont possibles car le résolveur ouvert
répondra aux requêtes de toute personne posant une question.
Une attaque DoS qui consomme les ressources des résolveurs DNS ouverts. Cette attaque DoS
Attaques d'utilisation des consomme toutes les ressources disponibles pour affecter négativement les opérations du
ressources DNS résolveur DNS ouvert. L'impact de cette attaque DoS peut nécessiter le redémarrage du résolveur
DNS ouvert ou l'arrêt et le redémarrage des services.
11
Attaques par amplification et réflexion DNS
◼ Les serveurs intermédiaires ne sont pas nécessairement des bots (précédemment compromis et sous le
contrôle de l'attaquant)
demande répondre
demande
demande
attaquant
répondre
répondre
IP source = IP victime
Serveur dns 12
Attaques d'empoisonnement du cache DNS
faisant autorité
DNS pour domaine.edu
2. itératif
Requêtes DNS
1. Requête DNS
domaine.edu=? DNS local
3. Réponse DNS
domaine.edu=
Attaquant
17.32.8.9
20.30.40.50
◼ Objectif : mettre un faux enregistrement (pointant vers le nœud de l'attaquant) pour le domaine.edu dans les caches du serveur DNS local
◼ L'attaquant attend un certain temps ; envoie une fausse réponse, usurpant le serveur faisant autorité pour le domaine.edu
◼ Les réponses non sollicitées ne sont pas acceptées sur un serveur de noms car les ID sont utilisés dans les messages DNS pour faire
correspondre les réponses aux requêtes 13
Attaques furtives DNS
◼ Pour cacher leur identité, les attaquants pourraient utiliser les techniques de furtivité DNS suivantes
DNS furtif
Description
Techniques
Les pirates utilisent cette technique pour dissimuler leurs sites de phishing et de diffusion de logiciels
malveillants derrière un réseau d'hôtes DNS compromis qui évolue rapidement. Les adresses IP DNS sont
flux rapide
continuellement modifiées en quelques minutes. Les botnets utilisent souvent des techniques Fast Flux pour
empêcher efficacement la détection des serveurs malveillants.
Les pirates utilisent cette technique pour changer rapidement le nom d'hôte en mappages d'adresses IP
Flux IP double et pour changer également le serveur de noms faisant autorité. Cela augmente la difficulté
d'identifier la source de l'attaque.
Domaine
Les acteurs de la menace utilisent cette technique dans les logiciels malveillants pour générer de manière aléatoire des noms de
Génération
domaine qui peuvent ensuite être utilisés comme points de rendez-vous vers leurs serveurs de commande et de contrôle (C&C).
Algorithmes
14
Réseau Simple Flux (1)
15
Réseau Simple Flux (2)
◼ L'attaquant gère un serveur de noms faisant autorité pour la résolution de nom du nom de domaine
malveillant
◼ Il met à jour dynamiquement l'enregistrement DNS A avec les adresses IP des agents fast-flux avec une
valeur TTL très courte
◼ À l'expiration de la durée de vie, les nouvelles adresses IP remplacent les anciennes pour ces enregistrements DNS A dans le
fichier de zone DNS
◼ Lorsqu'un client victime veut résoudre un nom de domaine malveillant, il envoie la requête DNS
au serveur DNS récursif
◼ Les adresses IP résolues sont les adresses IP des agents fast-flux qui fonctionnent comme un serveur proxy
inverse vers le serveur C&C
17
Réseau Double Flux (2)
◼ Lorsqu'un client veut résoudre un nom de domaine malveillant, il envoie la requête DNS au
serveur DNS récursif
◼ L'attaquant a configuré l'enregistrement DNS NS pointant vers l'adresse IP de l'agent fast-flux sur le fichier de zone
DNS du serveur .COM
◼ Le serveur .COM répond avec l'adresse IP d'un agent fast-flux en tant que serveur de noms faisant
autorité du nom de domaine malveillant interrogé
◼ Maintenant, le serveur DNS récursif envoie une requête DNS au serveur de noms faisant autorité (agent fast-flux)
pour résoudre l'adresse IP du nom de domaine malveillant
◼ L'agent fast-flux n'effectue aucune résolution de nom du domaine malveillant. Il transmet cette
requête DNS au serveur DNS malveillant contrôlé par l'attaquant (serveur C&C)
◼ Le serveur DNS malveillant répond à la requête DNS de cet agent fast-flux, puis l'agent fast-flux
renvoie cette réponse au serveur DNS récursif, qui à son tour envoie les adresses IP résolues du
domaine malveillant au client réel.
18
Masquage de domaine DNS
liste noire
malveillants 19
Tunnellisation DNS
◼ Utilisé pour contourner les solutions de sécurité lorsqu'un attaquant souhaite communiquer avec des robots à l'intérieur
d'un réseau protégé ou exfiltrer des données de l'organisation
◼ Une machine bot divise une donnée de commande en plusieurs morceaux codés, placés dans une étiquette de nom de
domaine de niveau inférieur de la requête DNS
◼ Comme il n'y a pas de réponse du DNS local ou en réseau pour la requête, la requête est envoyée aux
serveurs DNS récursifs du FAI
◼ Le service DNS récursif transmettra la requête au serveur de noms faisant autorité de l'attaquant
◼ Le processus est répété jusqu'à ce que toutes les requêtes contenant les morceaux soient envoyées
◼ Lorsque le serveur de noms faisant autorité de l'attaquant reçoit les requêtes DNS des appareils infectés, il envoie
des réponses pour chaque requête DNS (qui contiennent les commandes CnC encapsulées et codées)
◼ Le logiciel malveillant sur l'hôte compromis recombine les morceaux et exécute la commande cachée
◼ Contre-mesure : (a) inspecte le trafic DNS ; (b) Faites attention aux requêtes DNS qui sont plus longues que la
moyenne, ou celles qui ont un nom de domaine suspect
20
Exemple de tunnel DNS
◼ La machine attaquante continuera à envoyer des requêtes DNS avec des morceaux de
◼ Le serveur C&C répond aux requêtes de transfert de données avec les adresses
IPv4 dont le quatrième octet est incrémenté de trois pour obtenir le bloc de
données suivant.
21
Vulnérabilité des applications Web
◼ Normalement, IIS vérifie les chaînes d'URL pour s'assurer que certaines constructions ne se produisent pas.
◼ Lorsque la même requête est faite sous la forme suivante en encodant certains caractères en
unicode
◼ http://www.example.com/scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir
◼ La réponse est :
Répertoire de c:\inetpub\scripts
10/01/2001 15h46 <REP> .
10/01/2001 15h46 <REP> ..
0 Fichier(s) 0 octets 2 Répertoire(s) 2 527 547 392 octets libres
22
Déni de service (DoS)
◼ Objectif : Empêcher l'accès par des utilisateurs légitimes ou arrêter les processus système critiques
◼ L'attaquant inonde la cible de requêtes superflues pour surcharger les systèmes et empêcher que
certaines ou toutes les requêtes légitimes soient satisfaites
◼ L'attaquant submerge le lien de communication (reliant les utilisateurs à la cible) avec des datagrammes pour les
saturer
◼ La force de l'attaque par inondation réside dans le volume plutôt que dans le contenu
23
Exemple de DoS basé sur la vulnérabilité de mise en œuvre
◼ Tout paquet d'écho dépassant cette taille sera fragmenté par l'expéditeur et le
destinataire tentera de reconstituer le paquet.
◼ Le pirate envoie un paquet d'écho illégal avec plus d'octets que ce qui est autorisé, provoquant la
fragmentation des données.
◼ Attaque terrestre
◼ Envoyer un paquet SYN usurpé avec la source et la destination étant toutes deux la victime
◼ L'attaquant envoie de nombreuses demandes de connexion avec une adresse source usurpée
◼ Une fois les ressources épuisées, les demandes des clients légitimes sont refusées
◼ Habituellement, l'attaquant usurpe l'IP source pour que les paquets SYN soient un hôte invalide
◼ Problème d'asymétrie : il ne coûte rien au client TCP d'envoyer une demande de connexion, mais le
25
Attaque d'inondation SYN
Inondation SYN
26
Prévention basée sur les cookies de SYN Flooding (1)
◼ Utilisation de cookies : permet au serveur de rester sans état jusqu'à ce que le client envoie ACK
◼ Adresses IP source et de destination et numéros de port, temps approximatif (horodatage à incrémentation lente) et
un numéro secret
◼ L'hôte B utilise le "cookie" résultant pour son numéro de séquence initial (ISN) dans SYN | ACK
◼ Désavantages
◼ L'attaquant envoie un flot de paquets UDP, souvent à partir d'un hôte usurpé,
à un serveur sur le sous-réseau
◼ Il balaie tous les ports connus en essayant de trouver des ports fermés
◼ Parce qu'il y a de nombreux ports fermés sur le serveur, cela crée beaucoup de
trafic sur le segment, qui utilise la majeure partie de la bande passante (créant
potentiellement une attaque DoS)
29
Attaque DoS Schtroumpf
passerelle
DoS DoS
Source Cible
◼ Beaucoup de réponses :
◼ Chaque hôte sur le réseau cible génère une réponse ping (ICMP Echo Reply) à la victime (cible DoS) Le flux de
30
Attaque Fraggle
◼ Est une variante de l'attaque Schtroumpf qui utilise le protocole UDP (User Datagram Protocol)
au lieu d'ICMP.
◼ Travaillez en utilisant les programmes CHARGEN (Port UDP/19) et ECHO (Port UDP/7).
◼ Empêcher les routeurs d'envoyer du trafic de diffusion (empêcher uniquement un réseau de participer à une
attaque Smurf/Fraggle) 31
DoS distribué (DDoS)
32
Attaque de brouillage sans fil
33
Types d'attaques de brouillage
◼ Brouilleur constant
◼ Toujours émettre des bits aléatoires de signal radio
◼ Brouilleur trompeur
◼ Toujours émettre des bits de préambule
◼ Brouilleur aléatoire
◼ Brouilleur réactif
◼ Transmettre le signal lorsque le brouilleur détecte l'activité du canal -> Plus difficile à détecter
34
Attaques DDoS dans les réseaux cellulaires 2G
◼ Les faiblesses des attaques DDoS dans les réseaux cellulaires 2G sont principalement liées aux vulnérabilités
d'authentification dans les protocoles utilisés.
◼ L'une des attaques DoS les plus connues est la fausse attaque BTS qui est apparue pour la première fois avec les
réseaux GSM.
◼ Le BTS malveillant envoie des signaux plus forts aux utilisateurs de la cellule actuelle
35
Attaques DDoS dans les réseaux 2.5G
◼ Il leur demande d'établir un ensemble de connexions TCP successives semi-ouvertes vers un serveur afin
d'épuiser sa mémoire et de remplir la file d'attente des connexions.
36
Attaques DDoS dans les réseaux 3G/4G
◼ Les attaques DDoS sont plus importantes
◼ Utilisation d'un grand nombre de services PUSH, qui sont lancés à partir d'Internet.
◼ Utilisation de la technologie de commutation de paquets et vulnérabilité aux attaques basées sur IP.
◼ Un attaquant s'introduit dans des équipements utilisateur faiblement sécurisés et les utilise comme zombies.
◼ Plus tard, il leur demande de générer des appels incomplets en même temps
➔ Avec un nombre important d'attaquants dans chaque cellule, le réseau peut être en panne pendant une longue période.
◼ Un attaquant fait appel à un grand nombre de téléphones portables simultanément à un serveur vocal.
37
Attaque de désauthentification sur 802.11
◼ L'attaque peut être exécutée sur un client individuel ou sur tous les clients
◼ L'ingénierie sociale est une attaque d'accès qui tente de manipuler des individus pour qu'ils
◼ Les ingénieurs sociaux comptent souvent sur la volonté des gens d'être utiles. Ils s'attaquent
39
Attaques d'ingénierie sociale (suite)
Attaque d'ingénierie sociale Description
Pretexte Un acteur malveillant prétend avoir besoin de données personnelles ou financières pour confirmer l'identité du destinataire.
Un pirate envoie des e-mails frauduleux déguisés en provenance d'une source légitime et fiable pour inciter le destinataire à installer des logiciels
Hameçonnage
malveillants sur son appareil ou à partager des informations personnelles ou financières.
Hameçonnage Un pirate crée une attaque de phishing ciblée et adaptée à une personne ou une organisation spécifique.
Courrier indésirable Aussi connu sous le nom de courrier indésirable, il s'agit d'un courrier électronique non sollicité qui contient souvent des liens nuisibles, des logiciels malveillants ou du contenu trompeur.
Parfois appelé « quid pro quo », c'est lorsqu'un auteur de menaces demande des informations personnelles à une partie en échange de quelque
Quelque chose pour quelque chose
chose comme un cadeau.
Un auteur de menace laisse un lecteur flash infecté par un logiciel malveillant dans un lieu public. Une victime trouve le lecteur et l'insère sans méfiance dans son
Appâtage
ordinateur portable, installant involontairement un logiciel malveillant.
Imitation Ce type d'attaque se produit lorsqu'un auteur de menace prétend être quelqu'un qu'il n'est pas pour gagner la confiance d'une victime.
Talonnage C'est là qu'un auteur de menace suit rapidement une personne autorisée dans un lieu sécurisé pour accéder à une zone sécurisée.
C'est là qu'un pirate regarde discrètement par-dessus l'épaule de quelqu'un pour voler ses mots de passe ou d'autres
Surf d'épaule
informations.
Plongée dans les bennes C'est là qu'un pirate fouille dans les poubelles pour découvrir des documents confidentiels
40
Usurpation d'identité : exemple de conversation
41
Exemple : e-mail d'hameçonnage
42
Prévention contre les attaques de Phishing
◼ Ne réagissez pas de manière impulsive en cliquant immédiatement sur des liens inhabituels
◼ N'ouvrez pas les e-mails ou les pièces jointes provenant de sources suspectes
◼ Méfiez-vous des offres attrayantes ("Si cela semble trop beau pour être vrai, alors c'est
probablement le cas!")