Chapitre 1 Les Attaques Réseau

23/03/2022
2021/2022
Université Abdelmalek Essaâdi
Faculté des Sciences
Tétouan
Les attaques réseau
BENDAHMANE AHMED
Modèle TCP/IP
2
Les attaques et les techniques

de défense interviennent à
tout niveau du modèle TCP/IP
1
23/03/2022
Modèle TCP/IP
2
Les attaques et les techniques

de défense interviennent à
tout niveau du modèle TCP/IP
Approfondissements sur TCP et UDP

3
La notion de service
Sur Internet, les applications fonctionnent en mode client/serveur: le serveur
attend une requête de la part du client pour exécuter l'application qu'il
supporte.
2
23/03/2022

3
supporte.
Serveur : programme qui rend un service; il attend les requêtes d'un client pour
exécuter le service.

3
supporte.
Client : programme qui permet de solliciter un service.
3
23/03/2022

3
supporte.
Par abus de langage : serveur = machine qui héberge un ou plusieurs logiciels
serveurs ; client = machine qui héberge un ou plusieurs logiciels clients.

3
supporte.
Par abus de langage : serveur = machine qui héberge un ou plusieurs logiciels
serveurs ; client = machine qui héberge un ou plusieurs logiciels clients.
Les services sont des programmes de la couche application qui fonctionnent au
dessus des protocoles de niveau transport TCP ou UDP.
4
23/03/2022
Les numéros de port TCP et UDP

4

4
Le numéro de port est un numéro identifiant une application côté serveur et côté client:
5
23/03/2022

4
Codé sur 2 octets et géré par l'IANA (Internet Assigned Numbers Authority)
Entre 0 et 1023 pour les serveurs

4
Ports des applications les plus courantes :
6
23/03/2022

4
80 = HTTP 20 et 21 : FTP 22 = SSH 5060 = SIP 25 = SMTP
110 = POP 143 = IMAP 53 = DNS 67 et 68 : DHCP 23 = telnet

4

Le socket est un quadruplet définissant de manière unique une communication TCP ou UDP =
(@IPclient, port client, @IPserveur, port serveur)
7
23/03/2022

4
Le socket est un quadruplet définissant de manière unique une communication TCP ou UDP =
(@IPclient, port client, @IPserveur, port serveur)

5
8
23/03/2022

5
On dit qu'un port est « ouvert » sur une machine lorsqu'il existe un
service actif associé à ce port (TCP ou UDP).

5
On dit qu'un port est « ouvert » sur une machine lorsqu'il existe un
service actif associé à ce port (TCP ou UDP).
Ex. : un serveur web est démarré sur une machine → on dit que « le port 80
est ouvert » sur la machine.
9
23/03/2022
Les numéros de port TCP : exemple

6
Les numéros de port TCP : exemple

6
10
23/03/2022
Les en-têtes TCP et UDP

7
L'en-tête
UDP

7
L'en-tête
UDP
11
23/03/2022

7
L'en-tête
UDP
L'en-tête
TCP

7
L'en-tête
UDP
L'en-tête
TCP
12
23/03/2022
Les champs de l'en-tête TCP

8
TCP est un protocole en mode fiable réalisant un contrôle de séquencement →

fonctions assurées grâce aux champs:

8

Numéro de séquence : c'est le numéro du segment TCP.
13
23/03/2022

8

Égal au numéro du premier octet de données applicatives transportées.

8

Numéro d'acquittement : il indique au destinataire le numéro du prochain octet de

données attendu.
14
23/03/2022

8


données attendu.
Indique donc que les octets précédents ont été correctement reçus.

8


données attendu.
Indique donc que les octets précédents ont été correctement reçus.
15
23/03/2022

9
TCP est en mode connecté : l'ouverture de connexion est réalisée par des
segments ne transportant pas de données.

9
Segments SYN, SYN/ACK, ACK.
Ces segments sont aussi numérotés (champ numéro de séquence).
Le champ numéro d'acquittement n'a pas de sens pour le 1er de ces segments.
16
23/03/2022

9
Comment savoir si le champ numéro d'acquittement a un sens ou non ?

9

→ grâce au bit ACK (ou flag ACK) de l'en-tête TCP.
17
23/03/2022

9

→ grâce au bit ACK (ou flag ACK) de l'en-tête TCP.
Flag ACK = 0 : le numéro d'acquittement n'a pas de sens (bourrage).
Flag ACK = 1 : le numéro d'acquittement a du sens.

10
18
23/03/2022

10
Conséquences :

10
Conséquences :
Quand on parle de segments SYN, SYN/ACK et ACK, on veut dire :
19
23/03/2022

10
Conséquences :
« segment dont le flag SYN vaut 1 »,
« segment dont les flags SYN et ACK valent 1 »,
« segment dont le flag ACK vaut 1 »

10
Conséquences :
Dans une connexion TCP, seul le premier segment d'ouverture (segment SYN) a le bit ACK à 0
20
23/03/2022

10
Conséquences :
Dans une connexion TCP, seul le premier segment d'ouverture (segment SYN) a le bit ACK à 0
→ utilisé par les firewalls pour bloquer les ouvertures de connexion
L'ouverture de connexion TCP : flags et numéros

11
21
23/03/2022
Introduction
15
Introduction
15
les attaques touchent généralement les trois composantes suivantes d’un système:
22
23/03/2022
Introduction
15
Introduction
15
la couche réseau, en charge de

connecter le système au réseau,
le système d’exploitation, en charge

d’offrir un noyau de fonction au
système,
la couche applicative, en charge

d’offrir des services spécifiques.
23
23/03/2022
Introduction
16
les attaques réseau s’appuient sur divers types de faiblesses, que l’on peut
classifier par catégorie:
Introduction
16
les attaques réseau s’appuient sur divers types de faiblesses, que l’on peut
classifier par catégorie:
24
23/03/2022
Introduction
17
Les protocoles réseau sont encore jeunes : ne comporte pas de couche

sécurité (protocole IP).
Introduction
17

La plupart des protocoles utilisés dans un réseau, tels SNMP (Simple Network
Management Protocol) pour la supervision ou BGP (Border Gateway Protocol)
pour le routage, n’implémentent pas de véritable couche de sécurité et
s’exposent à diverses attaques, comme les attaques par fragmentation, déni
de service, etc.
25
23/03/2022
Introduction
17

La plupart des protocoles utilisés dans un réseau, tels SNMP (Simple Network
Management Protocol) pour la supervision ou BGP (Border Gateway Protocol)
pour le routage, n’implémentent pas de véritable couche de sécurité et
s’exposent à diverses attaques, comme les attaques par fragmentation, déni
de service, etc.
les protocoles réseau n’ont prévu aucun mécanisme d’authentification
véritable et subissent des attaques qui s’appuient sur ces faiblesses
d’authentification, comme les attaques de type spoofing, man-in-the-middle,
etc.
Introduction
18
Les faiblesses d’implémentation ou bogues des programmes (système

d’exploitation, application de routage, etc.) exposent à d’autres attaques, de
loin les plus importantes en nombre.
26
23/03/2022
Introduction
18

La raison à cela est que le développement des logiciels et des piles réseau se
fait de plus en plus rapidement et sans règles strictes.
Introduction
18

Parmi les innombrables attaques qui utilisent de mauvaises implémentations ou des
erreurs de programmation, citons les attaques de type SYN flooding et ping-of-death.
27
23/03/2022
Introduction
18

Parmi les innombrables attaques qui utilisent de mauvaises implémentations ou des
erreurs de programmation, citons les attaques de type SYN flooding et ping-of-death.
Les faiblesses de configuration des équipements réseau peuvent provenir d’une
mauvaise configuration d’un pare-feu, laissant passer du trafic non autorisé par
la politique de sécurité, ou d’un équipement réseau, permettant à un attaquant
d’y accéder, etc.
Introduction
19
28
23/03/2022
Introduction
19
En s’appuyant sur ces faiblesses, le pirate peut lancer un ensemble

d’attaques permettant
Introduction
19

29
23/03/2022
Introduction
19

d’influencer le comportement du réseau
Introduction
19

d’influencer le comportement du réseau
ou
30
23/03/2022
Introduction
19

d’influencerle comportement du réseau
ou
de récolter des informations importantes.
Introduction
19

ou
Les attaques réseau peuvent être lancées directement, le pirate

attaquant sa victime et exposant ainsi son identité:
31
23/03/2022
Introduction
19

ou
Les attaques réseau peuvent être lancées directement, le pirate

attaquant sa victime et exposant ainsi son identité:
Introduction
20
Les attaques réseau peuvent aussi être lancées indirectement par

l’intermédiaire d’un système rebond afin de masquer l’identité (adresse IP)
du pirate et d’utiliser les ressources du système intermédiaire.
32
23/03/2022
Introduction
20

Les paquets d’attaque sont dans ce cas envoyés au système intermédiaire,
lequel répercute l’attaque vers le système cible:
Introduction
20

Les paquets d’attaque sont dans ce cas envoyés au système intermédiaire,
lequel répercute l’attaque vers le système cible:
33
23/03/2022
Introduction
21
Les attaques indirectes par réponse, offrent au pirate les mêmes avantages que
les attaques par rebond.
Introduction
21
Au lieu d’envoyer l’attaque au système intermédiaire pour qu’il la répercute,
l’attaquant lui envoie une requête, et c’est la réponse à cette requête qui est
envoyée au système cible:
34
23/03/2022
Introduction
21
Au lieu d’envoyer l’attaque au système intermédiaire pour qu’il la répercute,
l’attaquant lui envoie une requête, et c’est la réponse à cette requête qui est
envoyée au système cible:
Attaques permettant de dévoiler le réseau

22
Attaque par cartographie du réseau
Attaques par identification des systèmes réseau
Attaque par identification des routeurs
Attaques par traversée des équipements filtrants
35
23/03/2022

23
But: dresser les artères de communication des futurs systèmes cibles.

Outils de diagnostic : Traceroute, qui permet de visualiser le chemin
suivi par un paquet IP d’un hôte à un autre.

23

36
23/03/2022

23

TTL (Time To Live) du paquet IP pour émettre

un message ICMP time_exceeded (temps
dépassé) pour chaque routeur qu’il traverse.

24
L’établissement de la topologie réseau représente la première étape d’une

future attaque des systèmes réseau.
37
23/03/2022

24
L’établissement de la topologie réseau représente la première étape d’une

future attaque des systèmes réseau.
Dans le cas le plus fréquent, le pirate utilise plutôt la technique du balayage
(scanning) pour construire l’image du réseau, car elle fournit des informations
plus rapidement.

25
But: dresser les futurs moyens de pénétration du réseau ou des systèmes qui le
composent.
Différentes techniques de balayage des systèmes:
38
23/03/2022

25
But: dresser les futurs moyens de pénétration du réseau ou des systèmes qui le
composent.
Différentes techniques de balayage des systèmes:
Attaque par balayage ICMP

26
La méthode la plus simple:
39
23/03/2022

26

Utilise le protocole ICMP et sa fonction request, plus connue sous le nom de ping.

26

Utilisele protocole ICMP et sa fonction request, plus connue sous le nom de ping.
Le client envoie vers le serveur un paquet ICMP echo-request, le serveur répondant
(normalement) par un paquet ICMP echo-reply.
40
23/03/2022

26

Toute machine ayant une adresse IP est un serveur ICMP.

26

Toute machine ayant une adresse IP est un serveur ICMP.
41
23/03/2022

27
Il existe deux méthodes pour cartographier le réseau par cette technique :

27

1. En balayant (scanning) le réseau et en interrogeant chaque adresse IP
possible, ce qui n’est pas très discret.
42
23/03/2022

27

2. En visant une seule fois l’adresse de broadcast du réseau, ce qui fait
répondre toutes les machines présentes. Une seule demande permet ainsi
d’engendrer l’envoi de toutes les réponses.

27

2. En visant une seule fois l’adresse de broadcast du réseau, ce qui fait
répondre toutes les machines présentes. Une seule demande permet ainsi
d’engendrer l’envoi de toutes les réponses.
Les administrateurs de pare-feu doivent prendre l’initiative de ne pas laisser

passer les réponses à de telles demandes.
43
23/03/2022
Attaque par balayage TCP

28
Similaire au balayage ICMP, sa spécificité est de s’appuyer sur le protocole TCP.

28

Le client envoie un paquet SYN vers un port réseau particulier de l’adresse IP du
serveur.
44
23/03/2022

28

serveur.
Si le port est en écoute, un paquet SYN/ACK est reçu en retour.

28

serveur.
Sinon, la réception d’un paquet RST signifie qu’il n’y a pas de service en écoute
sur le port.
45
23/03/2022

28

serveur.
sur le port.
Le client envoie en réponse un paquet RST pour terminer la connexion.

28

serveur.
sur le port.
46
23/03/2022

28

serveur.
sur le port.
Si aucune réponse n’est reçue en retour, c’est qu’il existe un équipement filtrant
entre le serveur et le client ou qu’il n’y a aucune machine derrière l’adresse IP
visée.

29
Découvrir les équipements assurant des fonctions de routage.
47
23/03/2022

29

L’écoute d’un réseau, par exemple, peut permettre:

29

d’analyser les trames échangées,
48
23/03/2022

29

de capturer les mises à jour des tables de routage,

29

de capturer les mises à jour des tables de routage,
d’identifier les routeurs participant au routage du réseau.
49
23/03/2022

30

30
Il est également possible de lancer des requêtes spécifiques afin de

forcer ces mêmes routeurs à répondre.
50
23/03/2022

30

Par exemple:

30

Par exemple:
des requêtes peuvent s’appuyer sur une demande ICMP de découverte de routeur
(ICMP router discovery)
51
23/03/2022

30

Par exemple:
des requêtes de routage (OSPF, BGP, etc.).

30

Par exemple:
des requêtes de routage (OSPF, BGP, etc.).
Un pirate peut aussi envoyer des requêtes IRDP (ICMP Router

Discovery Protocol), également appelées sollicitations de routeur
(router solicitations), vers l’adresse de broadcast afin de connaître la
route par défaut du réseau.
52
23/03/2022

31

31
Lorsqu’un pirate désire établir la cartographie d’un réseau, il

rencontre généralement sur son chemin un équipement filtrant.
53
23/03/2022

31

il est possible de passer outre les règles de filtrage appliquées en usurpant
(spoofing) le port source du paquet émis (source porting).

31

Dans les deux cas, des techniques permettent de traverser les filtres
de cet équipement:
54
23/03/2022

31

Dans les deux cas, des techniques permettent de traverser les filtres
de cet équipement:
l’exploitation d’un bogue ou d’une faiblesse de configuration.
Attaque par modification du port source

32
Lorsqu’un pare-feu n’est qu’un simple routeur utilisant des listes de contrôle
d’accès (ACL) ou un pare-feu qui ne peut détecter qu’un flux correspond au
trafic retour d’une session sortante déjà initiée.
55
23/03/2022

33

33
le pare-feu a pour mission d’autoriser les flux sortants pour n’importe quel port
source TCP associé au serveur SMTP situé sur le réseau de l’entreprise, à condition
que ces flux visent n’importe quelle machine sur Internet sur le port destination
25/TCP (le port utilisé par le service SMTP).
56
23/03/2022

33
le pare-feu a pour mission d’autoriser les flux sortants pour n’importe quel port
source TCP associé au serveur SMTP situé sur le réseau de l’entreprise, à condition
que ces flux visent n’importe quelle machine sur Internet sur le port destination
Il s’agit d’une règle typique pour le trafic SMTP permettant aux serveurs de
messagerie d’envoyer des messages électroniques vers l’extérieur.

33
le pare-feu a pour missionpeut

Un pirate d’autoriser
donc accéderlesaux
fluxports
sortants
TCP dupour n’importe
serveur SMTP situéquel
dansport
le
source TCP associéréseau
au serveur SMTP en
de l’entreprise situé sur le avec
attaquant réseau de source
le port l’entreprise,
25/TCP.à condition
Il peut atteindre, par exemple, le port Telnet (23/TCP)
que ces flux visent n’importe quelle machine sur Internet sur le port
du serveur distant.
destination
Il s’agit d’une règle typique pour le trafic SMTP permettant aux serveurs de
messagerie d’envoyer des messages électroniques vers l’extérieur.
57
23/03/2022
Attaques par fragmentation des paquets IP

34
Deux techniques permettent de jouer sur la fragmentation des paquets :
Attaques par fragmentation des paquets IP

34
Deux techniques permettent de jouer sur la fragmentation des paquets :
Tiny Fragments
Fragment Overlapping.
58
23/03/2022
Attaque par Tiny Fragments

35
L’attaque par Tiny Fragments consiste à fragmenter sur deux paquets IP une
demande de connexion TCP ou d’autres demandes sur une machine cible tout en
traversant et en déjouant (par le mécanisme de fragmentation) un filtrage IP.

35
59
23/03/2022

35
1. Les premiers filtres IP appliquaient la même règle de filtrage à tous les

fragments d’un paquet.
2. Le premier fragment n’indiquant aucune demande de connexion explicite, le
filtrage le laissait passer, de même que tous les fragments associés, sans
davantage de contrôle sur les autres fragments.
3. Lors de la défragmentation au niveau IP de la machine cible, le paquet de
demande de connexion était reconstitué et passé à la couche TCP.
4. La connexion s’établissait alors malgré le filtre IP.

35
1. Les premiers filtres IP appliquaient la même règle de filtrage à tous les

fragments d’un paquet.
Les filtres IP actuels prennent en compte les
2. Le premier fragment n’indiquant aucune demande de connexion explicite, le
paquets fragmentés et inspectent tous les
filtrage le laissait passer, de même que tous les fragments associés, sans
fragments de la même manière afin de se
davantage de contrôle sur les autres fragments.
prémunir de ce type d’attaque.
3. Lors de la défragmentation au niveau IP de la machine cible, le paquet de
demande de connexion était reconstitué et passé à la couche TCP.
4. La connexion s’établissait alors malgré le filtre IP.
60
23/03/2022
Attaque par Fragment Overlapping

36
L’attaque par Fragment Overlapping consiste à fragmenter deux paquets IP au

moyen de l’option Overlapping pour faire une demande de connexion TCP ou
une autre demande sur une machine cible tout en traversant un filtrage IP.

36

61
23/03/2022

36

la demande de connexion est fragmentée en deux paquets IP contenant les

fragments 0 et 1.
chacun d’eux passant le système de filtrage et étant à nouveau assemblé par
le système cible reconstituant un mauvais paquet TCP dû au chevauchement
(overlapping) des fragments 0 et 1.
Attaques permettant d’écouter le trafic réseau

37
Cette technique est généralement utilisée par les pirates pour capturer les mots
de passe.
62
23/03/2022

37
de passe.
Lorsqu’on se connecte à un réseau qui utilise le mode broadcast, toutes les
données en transit arrivent à toutes les cartes réseau connectées à ce réseau.

37
de passe.
En temps normal, seules les trames destinées à la machine sont lues, les autres
étant ignorées.
63
23/03/2022

37
de passe.
En temps normal, seules les trames destinées à la machine sont lues, les autres
étant ignorées.
Attaque par sniffing

38
64
23/03/2022

38
Grâce à une table d’écoute (sniffer), il est possible d’intercepter les trames
reçues par la carte réseau d’un système pirate et qui ne lui sont pas destinées.

38
Le système pirate se situe sur le réseau local et capture tous les paquets réseau
transitant sur ce réseau afin d’obtenir des mots de passe, etc.
65
23/03/2022

38
Il n’est pas nécessaire que le sniffer possède une adresse IP sur le réseau qu’il
écoute.

38
Il n’est pas nécessaire que le sniffer possède une adresse IP sur le réseau qu’il
écoute.
L’écoute est alors totalement indécelable au niveau ARP.
66
23/03/2022

39
Grâce à des outils tels qu’Ethereal ou WinDump/TCPDump, le sniffer peut analyser

tous les paquets IP ainsi que les protocoles contenus dans les données du paquet.

39

Exemple:
67
23/03/2022

39

Exemple:
un sniffer peut analyser un paquet Ethernet susceptible de contenir un paquet IP,

39

Exemple:
qui lui même pourrait contenir un paquet de type TCP,
68
23/03/2022

39

Exemple:
qui lui même pourrait contenir un paquet de type TCP,
lequel à son tour pourrait contenir un paquet HTTP renfermant des données HTML.

40
Si une personne établit une session authentifiée sur un flux réseau non chiffré
(Telnet, etc.), son mot de passe transite en clair sur le réseau.
69
23/03/2022

40
Si une personne établit une session authentifiée sur un flux réseau non chiffré
(Telnet, etc.), son mot de passe transite en clair sur le réseau.
Il est possible de connaître à tout moment les personnes connectées au réseau, les
sessions de routage en cours, etc., par une analyse des paquets qui transitent sur
le réseau et qui contiennent toutes les informations nécessaires à cette analyse.

41
Dans un réseau commuté, il n’est théoriquement pas possible d’écouter le

réseau, car le commutateur envoie à chaque machine uniquement les paquets de
données qui lui sont destinés.
70
23/03/2022

41

Mais comme tout équipement réseau, les commutateurs ont leurs faiblesses. Ainsi,
un client qui enverrait des paquets usurpant l’adresse MAC du serveur qu’il
désire écouter pourrait recevoir ces données.

41

Mais comme tout équipement réseau, les commutateurs ont leurs faiblesses. Ainsi,
un client qui enverrait des paquets usurpant l’adresse MAC du serveur qu’il
désire écouter pourrait recevoir ces données.
Selon les marques et les modèles de commutateur, le comportement diffère
totalement.
71
23/03/2022
Attaques permettant d’interférer avec une session réseau

42
La plupart des protocoles réseau n’ayant prévu aucun mécanisme

d’authentification véritable, ils subissent des attaques qui s’appuient sur
ces faiblesses d’authentification :
Attaques permettant d’interférer avec une session réseau

42
La plupart des protocoles réseau n’ayant prévu aucun mécanisme

d’authentification véritable, ils subissent des attaques qui s’appuient sur
ces faiblesses d’authentification :
Attaque ARP spoofing

Attaque IP spoofing
Attaque man-in-the-middle
72
23/03/2022

43
s’appuie sur le protocole ARP (Address Resolution Protocol), qui

implémente le mécanisme de résolution d’une adresse IP (32 bits) en
une adresse MAC (48 bits).

43

rediriger le trafic réseau de un ou plusieurs systèmes vers le système
pirate.
73
23/03/2022

43

rediriger le trafic réseau de un ou plusieurs systèmes vers le système
pirate.
Lorsqu’un système désire communiquer avec ses voisins sur un même
réseau (incluant la passerelle d’accès à d’autres réseaux), des
messages ARP sont envoyés afin de connaître l’adresse MAC des
systèmes voisins et d’établir ainsi une communication avec un système
donné.

44
Sachant que chaque système possède localement une table de correspondance

entre les adresses IP et MAC des systèmes voisins, la faiblesse d’authentification
du protocole ARP permet à un système pirate d’envoyer des paquets ARP
réponse au système cible indiquant que la nouvelle adresse MAC correspondant
à l’adresse IP d’une passerelle est la sienne.
74
23/03/2022

44

Le système du pirate reçoit donc tout le trafic à destination de la passerelle.

44

Il lui suffit d’écouter ou de modifier passivement le trafic et de router ensuite les
paquets vers leur véritable destination.
75
23/03/2022

44

Il lui suffit d’écouter ou de modifier passivement le trafic et de router ensuite les
paquets vers leur véritable destination.
Attaque IP spoofing
45
76
23/03/2022
Attaque IP spoofing
45
L’attaque IP spoofing consiste à se faire passer pour un autre système en

falsifiant son adresse IP.
Attaque IP spoofing
45

Le pirate commence par choisir le système qu’il veut attaquer.
77
23/03/2022
Attaque IP spoofing
45

Après avoir obtenu le maximum de détails sur ce système cible, il détermine les
systèmes ou adresses IP autorisés à se connecter au système cible.
Attaque IP spoofing
45

Le pirate procède ensuite aux différentes étapes pour mener à bien son
attaque sur le serveur cible en utilisant l’adresse IP de la machine A.
78
23/03/2022
Attaque IP spoofing
45

Attaque IP spoofing
45

1.falsifiant
Le pirateson adresse
essaye IP.
de prévoir le numéro de séquence des paquets du serveur cible en
Leenvoyant
pirate commence
plusieurs paquets et leensystème
par choisir qu’ill’algorithme
analysant veut attaquer.
d’incrémentation de ce
numéro.
2.systèmes
Le pirateourend inopérante
adresses la machine
IP autorisés A autorisée
à se connecter auàsystème
accédercible.
au serveur cible, de
façon à s’assurer qu’elle ne répond pas au serveur cible.
3. Le pirate falsifie son adresse IP en la remplaçant par celle de la machine invalidée
et envoie une demande de connexion au serveur cible.
4. Le serveur envoie une trame SYN|ACK à la machine qu’il pense être l’émettrice.
5. Celle-ci ne pouvant répondre, le pirate acquitte cette connexion par une trame ACK,
avec le numéro de séquence prévu. Il établit de la sorte en toute indépendance la
connexion avec le serveur cible.
79
23/03/2022
46
L’attaque man-in-the-middle consiste à faire passer les échanges réseau entre

deux systèmes par le biais d’un troisième, sous le contrôle du pirate.
46

Le pirate peut transformer à sa guise les données à la volée, tout en masquant

à chaque acteur de l’échange la réalité de son interlocuteur.
80
23/03/2022
46


Pour mettre en œuvre l’échange réseau approprié, il faut soit que :
46



la machine du pirate se trouve physiquement sur le chemin réseau emprunté par les
flux de données.
81
23/03/2022
46



la machine du pirate se trouve physiquement sur le chemin réseau emprunté par les
flux de données.
lepirate réussisse à modifier le chemin réseau afin que sa machine devienne un des
points de passage.
47
l’échange se présente sous l’une des trois formes suivantes :
82
23/03/2022
47
l’échange se présente sous l’une des trois formes suivantes :

Relais transparent
Relais applicatif
Hijacking
Relais transparent
48
La machine du pirate transforme les données à la volée.
83
23/03/2022
Relais transparent
48

Elle veut rester la plus transparente possible et se comporte comme un routeur,
conservant toutes les caractéristiques des paquets dont elle assure le transit, à
l’exception du contenu.
Relais transparent
48

En termes d’adresses IP, A et B sont réellement en relation l’une avec l’autre
84
23/03/2022
Relais transparent
48

En termes d’adresses IP, A et B sont réellement en relation l’une avec l’autre
Relais applicatif
49
La machine du pirate assure l’échange entre les deux machines A et B.

A parle avec la machine du pirate, laquelle parle avec B.
A et B n’échangent jamais de données directement.
Cette méthode est nécessaire pour les attaques vers SSL, par exemple
85
23/03/2022
Hijacking (vol de session TCP)

50
La machine du pirate utilise la session engagée entre les deux machines A et B

afin que ce soit elle (la machine du pirate) qui soit en session avec la machine B.
A perd la session avec B, et la machine du pirate continue la session engagée
par A sur B.

51
Le détournement (hijacking) des sessions TCP permet de rediriger un flux TCP en

outrepassant les authentifications nécessaires à l’établissement des sessions
(Telnet, FTP, etc.).
86
23/03/2022

51

Cette attaque porte de manière plus spécifique sur l’analyse des numéros de
séquences et des numéros d’acquittements relatifs aux paquets TCP.

51

Cette attaque porte de manière plus spécifique sur l’analyse des numéros de
séquences et des numéros d’acquittements relatifs aux paquets TCP.
La première étape consiste à écouter le trafic réseau entre deux systèmes et à

analyser les numéros de séquences et d’acquittements, ainsi que les indicateurs
TCP, à l’aide d’un sniffer tel que tcpdump
87
23/03/2022

52
Lorsqu’un pirate avec une machine système_c veut voler une session Telnet établie
entre système_a et système_b, il procède de la façon suivante:

52
1. Le pirate (système_c) sniffe le trafic Telnet (port TCP 23) entre système_a et
système_b.
88
23/03/2022

52
système_b.
2. Une fois qu’il estime que système_b s’est s’authentifié auprès du service Telnet
de la machine système_a, il désynchronise la machine système_a par rapport
à système_b en forgeant un paquet avec comme adresse IP source celle de
système_a et comme numéro d’acquittement TCP celui attendu par système_b.

52
système_b.
2. Une fois qu’il estime que système_b s’est s’authentifié auprès du service Telnet
de la machine système_a, il désynchronise la machine système_a par rapport
à système_b en forgeant un paquet avec comme adresse IP source celle de
système_a et comme numéro d’acquittement TCP celui attendu par système_b.
3. système_b accepte ce paquet et permet au pirate de s’insérer dans la session
préalablement établie par système_a.
89
23/03/2022

53
Si système_a envoie un paquet à système_b, celui-ci n’est pas accepté du fait

que le numéro de séquence n’est pas celui attendu par système_b.

53

Cette attaque peut alors engendrer une série d’envois de paquets ACK entre
système_a et système_b, qui les refusent tous deux du fait de la
désynchronisation du numéro de séquence.
90
23/03/2022

53

Pour pallier ce problème dit du ACK storm, système_c peut utiliser l’attaque
ARP spoofing vers système_a pour lui affirmer que l’adresse IP de système_b
correspond à l’adresse MAC de système_c.

53

Pour pallier ce problème dit du ACK storm, système_c peut utiliser l’attaque
ARP spoofing vers système_a pour lui affirmer que l’adresse IP de système_b
correspond à l’adresse MAC de système_c.
91
23/03/2022
Attaque man-in-the-middle sur le chiffrement SSL

54
le trafic vers le port SSL (HTTPS sur le port 443 TCP) est dévié de
manière transparente vers la machine du pirate,
cette dernière assurant les fonctions d’un serveur HTTPS (HyperText
Transfer Protocol Secure sockets).

55
Le principe de fonctionnement de cette attaque est :
92
23/03/2022

55
1. La machine client A se connecte au serveur pirate.

55
2. Ce dernier lui fournit un certificat apparemment digne de confiance (surtout

lorsqu’il est accepté par un navigateur ou un utilisateur trop confiant).
93
23/03/2022

55

3. Le serveur HTTPS du pirate, qui assure toutes les fonctions d’un relais
applicatif, reçoit les demandes de A de manière chiffrée.

55

4. Le serveur du pirate les déchiffre et les réachemine vers le serveur B (la

machine pirate s’est connectée au service HTTPS du serveur B et simule la
connexion de la machine A).
94
23/03/2022

55

Machine B
4. Le serveur du pirate les déchiffre et les réachemine vers le serveur B (la

machine pirate s’est connectée au service HTTPS du serveur B et simule la
connexion de la machine A).
Buts des attaques

56
Interruption. vise la disponibilité des informations (DoS, . . . )
Interception. vise la confidentialité des informations (capture de contenu,

analyse de traffic, . . . )
95
23/03/2022
Buts des attaques

57
Modification. vise l’intégrité des informations (modification, rejeu, . . . )
Fabrication. vise l’authenticité des informations (mascarade, . . . )
Technique de recherche d’information

58
Recherche d’informations publiques.

DNS, whois, . . .
Découverte du réseau et du filtrage IP.
traceroute, ping, hping, netcat, . . .

Découverte des systèmes d’exploitation.
nessus, nmap, xprobe, queso, . . .

Découverte de services ouverts.
nmap, udp-scan, nessus, . . .

Découverte des versions logicielles.
telnet, netcat, .
96

Chapitre 1 Les Attaques Réseau

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chapitre 1 Les Attaques Réseau

Transféré par

Droits d'auteur :

Formats disponibles

23/03/2022

Les attaques réseau

Les attaques et les techniques

Les attaques et les techniques

Approfondissements sur TCP et UDP

Approfondissements sur TCP et UDP

Approfondissements sur TCP et UDP

Approfondissements sur TCP et UDP

Approfondissements sur TCP et UDP

Les numéros de port TCP et UDP

Les numéros de port TCP et UDP

Les numéros de port TCP et UDP

Les numéros de port TCP et UDP

Ports des applications les plus courantes :

Les numéros de port TCP et UDP

Les numéros de port TCP et UDP

Ports des applications les plus courantes :

(@IPclient, port client, @IPserveur, port serveur)

Les numéros de port TCP et UDP

Les numéros de port TCP et UDP

Les numéros de port TCP et UDP

Les numéros de port TCP et UDP

Les numéros de port TCP : exemple

Les numéros de port TCP : exemple

Les en-têtes TCP et UDP

Les en-têtes TCP et UDP

Les en-têtes TCP et UDP

Les en-têtes TCP et UDP

Les champs de l'en-tête TCP

TCP est un protocole en mode fiable réalisant un contrôle de séquencement →

Les champs de l'en-tête TCP

TCP est un protocole en mode fiable réalisant un contrôle de séquencement →

Les champs de l'en-tête TCP

TCP est un protocole en mode fiable réalisant un contrôle de séquencement →

Les champs de l'en-tête TCP

TCP est un protocole en mode fiable réalisant un contrôle de séquencement →

Numéro d'acquittement : il indique au destinataire le numéro du prochain octet de

Les champs de l'en-tête TCP

TCP est un protocole en mode fiable réalisant un contrôle de séquencement →

Numéro d'acquittement : il indique au destinataire le numéro du prochain octet de

Les champs de l'en-tête TCP

TCP est un protocole en mode fiable réalisant un contrôle de séquencement →

Numéro d'acquittement : il indique au destinataire le numéro du prochain octet de

Les champs de l'en-tête TCP

Les champs de l'en-tête TCP

Les champs de l'en-tête TCP

Comment savoir si le champ numéro d'acquittement a un sens ou non ?

Les champs de l'en-tête TCP

Comment savoir si le champ numéro d'acquittement a un sens ou non ?

→ grâce au bit ACK (ou flag ACK) de l'en-tête TCP.

Les champs de l'en-tête TCP

Comment savoir si le champ numéro d'acquittement a un sens ou non ?

Les champs de l'en-tête TCP

Les champs de l'en-tête TCP

Les champs de l'en-tête TCP

Les champs de l'en-tête TCP

Les champs de l'en-tête TCP

Les champs de l'en-tête TCP

L'ouverture de connexion TCP : flags et numéros

la couche réseau, en charge de

le système d’exploitation, en charge

la couche applicative, en charge

Les protocoles réseau sont encore jeunes : ne comporte pas de couche

Les administrateurs de pare-feu doivent prendre l’initiative de ne pas laisser