Etude de cas des attaques DOS

1- planification
Définition :
Le déni de service (DoS) est une attaque informatique visant à rendre un service, un site
web ou un système informatique indisponible en submergeant la cible de trafic excessif, de
manière à saturer ses ressources et à empêcher son fonctionnement normal.

Les impacts d'une attaque par déni de service (DoS) peuvent être comparés à une
congestion de la circulation sur une autoroute. Cela peut entraîner :
Indisponibilité du service - Ralentissement des performances - Coûts élevés - Perte de
confiance - Possibilité de diversion.
En résumé, une attaque DoS peut avoir un impact significatif sur la disponibilité, la
performance, la réputation et les finances d'une entreprise ou d'un service en ligne.

2-Détection
Plan 1 :
Lorsqu'une entreprise est victime d'une attaque informatique, y compris une attaque de
déni de service (Dos), il est essentiel d'informer rapidement et efficacement les employés et
les clients pour maintenir la transparence, gérer les attentes et minimiser l'impact. Voici
comment vous pourriez procéder :
Identifiez et comprenez l'attaque - Alertez l'équipe de sécurité - Communication interne
aux employés - Communication externe aux clients - Fournissez des mises à jour régulières
- Assurez-vous d'être disponible - Donnez des conseils de sécurité - Soyez prêt à s'excuser
et à réparer - Évaluez et apprenez.
Plan 2 : les outils pour détecter l'attaque.
La surveillance du réseau :
Nagios
• Rôle : Nagios est un outil de surveillance du réseau qui permet de surveiller
des métriques spécifiques, telles que la disponibilité des serveurs et la
latence, et de générer des alertes en cas d'anomalies liées aux attaques DoS.
• Fonctionnement : Collecte des données de surveillance à partir d'hôtes et
services configurés, effectue des vérifications périodiques pour s'assurer de
leur disponibilité, compare les résultats aux seuils prédéfinis, et génère des
 alertes en cas d'anomalie, telles que des e-mails, des SMS ou des
notifications web.

PRTG Network Monitor

• Rôle : PRTG est un logiciel de surveillance réseau qui surveille les
performances du réseau, la disponibilité des serveurs et des périphériques
réseau. Il peut être configuré pour détecter des anomalies liées aux attaques
DoS.
• Fonctionnement : PRTG utilise des capteurs pour surveiller différentes
métriques. Les capteurs sont configurés pour surveiller des éléments
spécifiques, tels que la disponibilité d'un serveur, la latence d'un lien réseau,
le trafic sur un port, etc. PRTG collecte ces données à partir des capteurs et
les présente sous forme de tableaux de bord et de graphiques. L'outil peut
également générer des alertes en cas de seuils dépassés ou d'anomalies
détectées.
la surveillance de la bande passante :
Cacti
• Rôle : Cacti est un système de surveillance de la performance du réseau qui
permet de collecter et de présenter des données de bande passante en
graphiques. Cela peut aider à détecter des augmentations soudaines du trafic
liées à des attaques DoS.
• Fonctionnement : Cacti collecte périodiquement des données sur la bande
passante en interrogeant des dispositifs réseau tels que des routeurs et des
commutateurs. Il stocke ces données et les utilise pour générer des
graphiques et des rapports, ce qui permet aux administrateurs de suivre
l'utilisation de la bande passante sur une période donnée. Si une
augmentation anormale du trafic est observée dans les graphiques, cela peut
signaler une attaque DoS potentielle.
PRTG Network Monitor
• Rôle : PRTG surveille la bande passante, la disponibilité du réseau et les
performances des équipements. Il peut générer des alertes en cas
d'augmentation inattendue du trafic, ce qui peut indiquer une attaque DoS.
• Fonctionnement : PRTG Network Monitor surveille le réseau en utilisant des
capteurs qui collectent des données sur la bande passante, la latence, la
disponibilité, etc. Ces données sont ensuite analysées, et PRTG peut générer
des alertes en temps réel si des seuils prédéfinis sont dépassés. Lorsqu'une
attaque DoS ou toute autre activité anormale provoque une augmentation
significative du trafic, PRTG peut alerter les administrateurs, facilitant ainsi la
détection et la gestion des incidents.

La surveillance des journaux :

ELK Stack (Elasticsearch, Logstash, Kibana) :
• Rôle : ELK Stack est une suite d'outils open source utilisée pour la collecte, la
centralisation, l'analyse et la visualisation des journaux.
 • Fonctionnement : Vous configurez Elasticsearch pour stocker des journaux,
Logstash pour collecter et traiter les journaux, et Kibana pour visualiser et
analyser les données. Avec ELK Stack, vous pouvez effectuer des requêtes et
des analyses avancées sur les journaux pour détecter des modèles de trafic
anormaux, identifier des pics de trafic ou des attaques DoS, et créer des
tableaux de bord pour surveiller en temps réel l'état du réseau.

3-Evaluation
Pour gérer efficacement les incidents de sécurité informatique, voici un résumé des
étapes clés et des outils associés :

Évaluation de l'événement : Utilisez des outils tels que SIEM (Splunk, ArcSight) pour
évaluer la légitimité et la gravité de l'événement.

Catégorisation de l'incident : Déterminez si l'incident est mineur ou majeur en

analysant les preuves et le contexte.

Outils pour l'analyse du trafic : Employez Wireshark et tcpdump pour analyser en

détail le trafic réseau et identifier les schémas suspects.

Systèmes de Détection d'Intrusion (IDS) et de Prévention d'Intrusion (IPS) : Utilisez

des outils comme Snort, Suricata pour détecter et prévenir les activités
malveillantes.

Gestion des Vulnérabilités : Employez Nessus, Qualys pour identifier et évaluer les
vulnérabilités, aidant à prioriser les correctifs.

Analyse de Malware : Utilisez VirusTotal, Cuckoo Sandbox pour analyser les fichiers
suspects et détecter les malwares.

4-Répondre
Explorons comment les responsabilités claires et les procédures claires peuvent être
appliquées dans la réponse à une attaque par déni de service (DOS) dans un environnement
d'entreprise, en utilisant des outils appropriés.

1. Responsabilités Claires :
❖ Coordinateur de la Réponse aux Incidents :
Identifie le type d'attaque DOS en cours et coordonne les actions de l'équipe de réponse.
Supervise la communication et assure la collaboration entre les membres de l'équipe.
❖ Équipe de Sécurité Informatique :
Utilise des outils spécialisés tels que Wireshark, tcpdump, ou des solutions de détection
d'attaques DOS pour analyser le trafic et détecter les attaques en cours.
Identifie les caractéristiques de l'attaque et recommande les contre-mesures appropriées.

❖ Équipe des Opérations Réseau :

Utilise des outils de gestion du réseau comme Nagios, Zabbix ou PRTG Network Monitor
pour surveiller et évaluer la performance du réseau pendant l'attaque.
Participe à l'isolation et à la limitation de l'impact de l'attaque sur le réseau.

2. Procédures Claires :
❖ Détection de l'Attaque :
Utilisation d'outils de surveillance réseau (comme les solutions anti-DDoS) pour détecter les
anomalies de trafic et les signes d'une attaque en cours.
❖ Analyse de l'Attaque :
Utilisation d'outils tels que Wireshark ou tcpdump pour capturer et analyser le trafic
réseau, identifiant ainsi les sources de l'attaque et ses caractéristiques.
❖ Isolation et Containment :
Utilisation de pare-feu, de règles de routage, ou d'outils de filtrage pour isoler le trafic
malveillant et minimiser les dommages.
❖ Communication et Rapports :

Utilisation d'outils de communication interne pour informer l'équipe, les parties prenantes
et la direction de la situation.
Génération de rapports d'incident détaillés à l'aide d'outils de gestion d'incidents.

Outils de Réduction de Vulnérabilité :

Systèmes de Gestion des Correctifs (Patch Management Systems) : Par exemple, Microsoft
WSUS (Windows Server Update Services) pour gérer et appliquer les correctifs sur les
systèmes Windows.

Outils d'Analyse de Vulnérabilités :

Tels que Nessus, OpenVAS, Qualys, qui identifient les vulnérabilités dans les systèmes et
aident à prioriser les correctifs.

Outils de Sauvegarde et de Récupération :

Veeam : Pour sauvegarder et restaurer des données et des machines virtuelles.
Acronis Backup : Pour la sauvegarde, la récupération et la protection des données.
Outils de Contrôle d'Intégrité :
Tripwire : Un outil de contrôle d'intégrité du système qui surveille et détecte les
changements non autorisés dans les fichiers système.
AIDE (Advanced Intrusion Detection Environment) : Un outil similaire pour la détection des
changements non autorisés.

Outils d'Investigation :
EnCase : Un outil puissant d'enquête numérique qui permet d'examiner des systèmes
compromis pour obtenir des preuves numériques.
Autopsy : Un logiciel open-source d'enquête numérique utilisé pour l'analyse de disques
durs et de mémoires.