Académique Documents
Professionnel Documents
Culture Documents
2021/2022
Université Abdelmalek Essaâdi
Faculté des Sciences
Tétouan
BENDAHMANE AHMED
Modèle TCP/IP
2
1
23/03/2022
Modèle TCP/IP
2
La notion de service
Sur Internet, les applications fonctionnent en mode client/serveur: le serveur
attend une requête de la part du client pour exécuter l'application qu'il
supporte.
2
23/03/2022
La notion de service
Sur Internet, les applications fonctionnent en mode client/serveur: le serveur
attend une requête de la part du client pour exécuter l'application qu'il
supporte.
Serveur : programme qui rend un service; il attend les requêtes d'un client pour
exécuter le service.
La notion de service
Sur Internet, les applications fonctionnent en mode client/serveur: le serveur
attend une requête de la part du client pour exécuter l'application qu'il
supporte.
Serveur : programme qui rend un service; il attend les requêtes d'un client pour
exécuter le service.
Client : programme qui permet de solliciter un service.
3
23/03/2022
La notion de service
Sur Internet, les applications fonctionnent en mode client/serveur: le serveur
attend une requête de la part du client pour exécuter l'application qu'il
supporte.
Serveur : programme qui rend un service; il attend les requêtes d'un client pour
exécuter le service.
Client : programme qui permet de solliciter un service.
Par abus de langage : serveur = machine qui héberge un ou plusieurs logiciels
serveurs ; client = machine qui héberge un ou plusieurs logiciels clients.
La notion de service
Sur Internet, les applications fonctionnent en mode client/serveur: le serveur
attend une requête de la part du client pour exécuter l'application qu'il
supporte.
Serveur : programme qui rend un service; il attend les requêtes d'un client pour
exécuter le service.
Client : programme qui permet de solliciter un service.
Par abus de langage : serveur = machine qui héberge un ou plusieurs logiciels
serveurs ; client = machine qui héberge un ou plusieurs logiciels clients.
Les services sont des programmes de la couche application qui fonctionnent au
dessus des protocoles de niveau transport TCP ou UDP.
4
23/03/2022
Le numéro de port est un numéro identifiant une application côté serveur et côté client:
5
23/03/2022
Le numéro de port est un numéro identifiant une application côté serveur et côté client:
Codé sur 2 octets et géré par l'IANA (Internet Assigned Numbers Authority)
Entre 0 et 1023 pour les serveurs
Le numéro de port est un numéro identifiant une application côté serveur et côté client:
Codé sur 2 octets et géré par l'IANA (Internet Assigned Numbers Authority)
Entre 0 et 1023 pour les serveurs
6
23/03/2022
Le numéro de port est un numéro identifiant une application côté serveur et côté client:
Codé sur 2 octets et géré par l'IANA (Internet Assigned Numbers Authority)
Entre 0 et 1023 pour les serveurs
Ports des applications les plus courantes :
80 = HTTP 20 et 21 : FTP 22 = SSH 5060 = SIP 25 = SMTP
110 = POP 143 = IMAP 53 = DNS 67 et 68 : DHCP 23 = telnet
Le numéro de port est un numéro identifiant une application côté serveur et côté client:
Codé sur 2 octets et géré par l'IANA (Internet Assigned Numbers Authority)
Entre 0 et 1023 pour les serveurs
7
23/03/2022
Le numéro de port est un numéro identifiant une application côté serveur et côté client:
Codé sur 2 octets et géré par l'IANA (Internet Assigned Numbers Authority)
Entre 0 et 1023 pour les serveurs
Ports des applications les plus courantes :
80 = HTTP 20 et 21 : FTP 22 = SSH 5060 = SIP 25 = SMTP
110 = POP 143 = IMAP 53 = DNS 67 et 68 : DHCP 23 = telnet
Le socket est un quadruplet définissant de manière unique une communication TCP ou UDP =
(@IPclient, port client, @IPserveur, port serveur)
8
23/03/2022
On dit qu'un port est « ouvert » sur une machine lorsqu'il existe un
service actif associé à ce port (TCP ou UDP).
On dit qu'un port est « ouvert » sur une machine lorsqu'il existe un
service actif associé à ce port (TCP ou UDP).
Ex. : un serveur web est démarré sur une machine → on dit que « le port 80
est ouvert » sur la machine.
9
23/03/2022
10
23/03/2022
L'en-tête
UDP
L'en-tête
UDP
11
23/03/2022
L'en-tête
UDP
L'en-tête
TCP
L'en-tête
UDP
L'en-tête
TCP
12
23/03/2022
13
23/03/2022
14
23/03/2022
15
23/03/2022
TCP est en mode connecté : l'ouverture de connexion est réalisée par des
segments ne transportant pas de données.
TCP est en mode connecté : l'ouverture de connexion est réalisée par des
segments ne transportant pas de données.
Segments SYN, SYN/ACK, ACK.
Ces segments sont aussi numérotés (champ numéro de séquence).
Le champ numéro d'acquittement n'a pas de sens pour le 1er de ces segments.
16
23/03/2022
TCP est en mode connecté : l'ouverture de connexion est réalisée par des
segments ne transportant pas de données.
Segments SYN, SYN/ACK, ACK.
Ces segments sont aussi numérotés (champ numéro de séquence).
Le champ numéro d'acquittement n'a pas de sens pour le 1er de ces segments.
TCP est en mode connecté : l'ouverture de connexion est réalisée par des
segments ne transportant pas de données.
Segments SYN, SYN/ACK, ACK.
Ces segments sont aussi numérotés (champ numéro de séquence).
Le champ numéro d'acquittement n'a pas de sens pour le 1er de ces segments.
17
23/03/2022
TCP est en mode connecté : l'ouverture de connexion est réalisée par des
segments ne transportant pas de données.
Segments SYN, SYN/ACK, ACK.
Ces segments sont aussi numérotés (champ numéro de séquence).
Le champ numéro d'acquittement n'a pas de sens pour le 1er de ces segments.
18
23/03/2022
Conséquences :
Conséquences :
Quand on parle de segments SYN, SYN/ACK et ACK, on veut dire :
19
23/03/2022
Conséquences :
Quand on parle de segments SYN, SYN/ACK et ACK, on veut dire :
« segment dont le flag SYN vaut 1 »,
« segment dont les flags SYN et ACK valent 1 »,
« segment dont le flag ACK vaut 1 »
Conséquences :
Quand on parle de segments SYN, SYN/ACK et ACK, on veut dire :
« segment dont le flag SYN vaut 1 »,
« segment dont les flags SYN et ACK valent 1 »,
« segment dont le flag ACK vaut 1 »
Dans une connexion TCP, seul le premier segment d'ouverture (segment SYN) a le bit ACK à 0
20
23/03/2022
Conséquences :
Quand on parle de segments SYN, SYN/ACK et ACK, on veut dire :
« segment dont le flag SYN vaut 1 »,
« segment dont les flags SYN et ACK valent 1 »,
« segment dont le flag ACK vaut 1 »
Dans une connexion TCP, seul le premier segment d'ouverture (segment SYN) a le bit ACK à 0
→ utilisé par les firewalls pour bloquer les ouvertures de connexion
21
23/03/2022
Introduction
15
Introduction
15
les attaques touchent généralement les trois composantes suivantes d’un système:
22
23/03/2022
Introduction
15
les attaques touchent généralement les trois composantes suivantes d’un système:
Introduction
15
les attaques touchent généralement les trois composantes suivantes d’un système:
23
23/03/2022
Introduction
16
les attaques réseau s’appuient sur divers types de faiblesses, que l’on peut
classifier par catégorie:
Introduction
16
les attaques réseau s’appuient sur divers types de faiblesses, que l’on peut
classifier par catégorie:
24
23/03/2022
Introduction
17
Introduction
17
25
23/03/2022
Introduction
17
Introduction
18
26
23/03/2022
Introduction
18
Introduction
18
27
23/03/2022
Introduction
18
Introduction
19
28
23/03/2022
Introduction
19
Introduction
19
29
23/03/2022
Introduction
19
Introduction
19
30
23/03/2022
Introduction
19
Introduction
19
31
23/03/2022
Introduction
19
Introduction
20
32
23/03/2022
Introduction
20
Introduction
20
33
23/03/2022
Introduction
21
Les attaques indirectes par réponse, offrent au pirate les mêmes avantages que
les attaques par rebond.
Introduction
21
Les attaques indirectes par réponse, offrent au pirate les mêmes avantages que
les attaques par rebond.
Au lieu d’envoyer l’attaque au système intermédiaire pour qu’il la répercute,
l’attaquant lui envoie une requête, et c’est la réponse à cette requête qui est
envoyée au système cible:
34
23/03/2022
Introduction
21
Les attaques indirectes par réponse, offrent au pirate les mêmes avantages que
les attaques par rebond.
Au lieu d’envoyer l’attaque au système intermédiaire pour qu’il la répercute,
l’attaquant lui envoie une requête, et c’est la réponse à cette requête qui est
envoyée au système cible:
35
23/03/2022
36
23/03/2022
37
23/03/2022
But: dresser les futurs moyens de pénétration du réseau ou des systèmes qui le
composent.
Différentes techniques de balayage des systèmes:
38
23/03/2022
But: dresser les futurs moyens de pénétration du réseau ou des systèmes qui le
composent.
Différentes techniques de balayage des systèmes:
39
23/03/2022
40
23/03/2022
41
23/03/2022
42
23/03/2022
43
23/03/2022
serveur.
44
23/03/2022
serveur.
Si le port est en écoute, un paquet SYN/ACK est reçu en retour.
Sinon, la réception d’un paquet RST signifie qu’il n’y a pas de service en écoute
sur le port.
45
23/03/2022
Sinon, la réception d’un paquet RST signifie qu’il n’y a pas de service en écoute
sur le port.
Le client envoie en réponse un paquet RST pour terminer la connexion.
serveur.
Si le port est en écoute, un paquet SYN/ACK est reçu en retour.
Sinon, la réception d’un paquet RST signifie qu’il n’y a pas de service en écoute
sur le port.
Le client envoie en réponse un paquet RST pour terminer la connexion.
46
23/03/2022
Sinon, la réception d’un paquet RST signifie qu’il n’y a pas de service en écoute
sur le port.
Le client envoie en réponse un paquet RST pour terminer la connexion.
Si aucune réponse n’est reçue en retour, c’est qu’il existe un équipement filtrant
entre le serveur et le client ou qu’il n’y a aucune machine derrière l’adresse IP
visée.
47
23/03/2022
48
23/03/2022
49
23/03/2022
50
23/03/2022
51
23/03/2022
52
23/03/2022
53
23/03/2022
Dans les deux cas, des techniques permettent de traverser les filtres
de cet équipement:
54
23/03/2022
Dans les deux cas, des techniques permettent de traverser les filtres
de cet équipement:
l’exploitation d’un bogue ou d’une faiblesse de configuration.
Lorsqu’un pare-feu n’est qu’un simple routeur utilisant des listes de contrôle
d’accès (ACL) ou un pare-feu qui ne peut détecter qu’un flux correspond au
trafic retour d’une session sortante déjà initiée.
il est possible de passer outre les règles de filtrage appliquées en usurpant
(spoofing) le port source du paquet émis (source porting).
55
23/03/2022
le pare-feu a pour mission d’autoriser les flux sortants pour n’importe quel port
source TCP associé au serveur SMTP situé sur le réseau de l’entreprise, à condition
que ces flux visent n’importe quelle machine sur Internet sur le port destination
25/TCP (le port utilisé par le service SMTP).
56
23/03/2022
le pare-feu a pour mission d’autoriser les flux sortants pour n’importe quel port
source TCP associé au serveur SMTP situé sur le réseau de l’entreprise, à condition
que ces flux visent n’importe quelle machine sur Internet sur le port destination
25/TCP (le port utilisé par le service SMTP).
Il s’agit d’une règle typique pour le trafic SMTP permettant aux serveurs de
57
23/03/2022
Tiny Fragments
Fragment Overlapping.
58
23/03/2022
L’attaque par Tiny Fragments consiste à fragmenter sur deux paquets IP une
demande de connexion TCP ou d’autres demandes sur une machine cible tout en
traversant et en déjouant (par le mécanisme de fragmentation) un filtrage IP.
L’attaque par Tiny Fragments consiste à fragmenter sur deux paquets IP une
demande de connexion TCP ou d’autres demandes sur une machine cible tout en
traversant et en déjouant (par le mécanisme de fragmentation) un filtrage IP.
59
23/03/2022
L’attaque par Tiny Fragments consiste à fragmenter sur deux paquets IP une
demande de connexion TCP ou d’autres demandes sur une machine cible tout en
traversant et en déjouant (par le mécanisme de fragmentation) un filtrage IP.
L’attaque par Tiny Fragments consiste à fragmenter sur deux paquets IP une
demande de connexion TCP ou d’autres demandes sur une machine cible tout en
traversant et en déjouant (par le mécanisme de fragmentation) un filtrage IP.
60
23/03/2022
61
23/03/2022
Cette technique est généralement utilisée par les pirates pour capturer les mots
de passe.
62
23/03/2022
Cette technique est généralement utilisée par les pirates pour capturer les mots
de passe.
Lorsqu’on se connecte à un réseau qui utilise le mode broadcast, toutes les
données en transit arrivent à toutes les cartes réseau connectées à ce réseau.
Cette technique est généralement utilisée par les pirates pour capturer les mots
de passe.
Lorsqu’on se connecte à un réseau qui utilise le mode broadcast, toutes les
données en transit arrivent à toutes les cartes réseau connectées à ce réseau.
En temps normal, seules les trames destinées à la machine sont lues, les autres
étant ignorées.
63
23/03/2022
Cette technique est généralement utilisée par les pirates pour capturer les mots
de passe.
Lorsqu’on se connecte à un réseau qui utilise le mode broadcast, toutes les
données en transit arrivent à toutes les cartes réseau connectées à ce réseau.
En temps normal, seules les trames destinées à la machine sont lues, les autres
étant ignorées.
64
23/03/2022
Grâce à une table d’écoute (sniffer), il est possible d’intercepter les trames
reçues par la carte réseau d’un système pirate et qui ne lui sont pas destinées.
Grâce à une table d’écoute (sniffer), il est possible d’intercepter les trames
reçues par la carte réseau d’un système pirate et qui ne lui sont pas destinées.
Le système pirate se situe sur le réseau local et capture tous les paquets réseau
transitant sur ce réseau afin d’obtenir des mots de passe, etc.
65
23/03/2022
Grâce à une table d’écoute (sniffer), il est possible d’intercepter les trames
reçues par la carte réseau d’un système pirate et qui ne lui sont pas destinées.
Le système pirate se situe sur le réseau local et capture tous les paquets réseau
transitant sur ce réseau afin d’obtenir des mots de passe, etc.
Il n’est pas nécessaire que le sniffer possède une adresse IP sur le réseau qu’il
écoute.
Grâce à une table d’écoute (sniffer), il est possible d’intercepter les trames
reçues par la carte réseau d’un système pirate et qui ne lui sont pas destinées.
Le système pirate se situe sur le réseau local et capture tous les paquets réseau
transitant sur ce réseau afin d’obtenir des mots de passe, etc.
Il n’est pas nécessaire que le sniffer possède une adresse IP sur le réseau qu’il
écoute.
L’écoute est alors totalement indécelable au niveau ARP.
66
23/03/2022
Exemple:
67
23/03/2022
Exemple:
un sniffer peut analyser un paquet Ethernet susceptible de contenir un paquet IP,
Exemple:
un sniffer peut analyser un paquet Ethernet susceptible de contenir un paquet IP,
68
23/03/2022
Exemple:
un sniffer peut analyser un paquet Ethernet susceptible de contenir un paquet IP,
lequel à son tour pourrait contenir un paquet HTTP renfermant des données HTML.
Si une personne établit une session authentifiée sur un flux réseau non chiffré
(Telnet, etc.), son mot de passe transite en clair sur le réseau.
69
23/03/2022
Si une personne établit une session authentifiée sur un flux réseau non chiffré
(Telnet, etc.), son mot de passe transite en clair sur le réseau.
Il est possible de connaître à tout moment les personnes connectées au réseau, les
sessions de routage en cours, etc., par une analyse des paquets qui transitent sur
le réseau et qui contiennent toutes les informations nécessaires à cette analyse.
70
23/03/2022
71
23/03/2022
72
23/03/2022
73
23/03/2022
74
23/03/2022
75
23/03/2022
Attaque IP spoofing
45
76
23/03/2022
Attaque IP spoofing
45
Attaque IP spoofing
45
77
23/03/2022
Attaque IP spoofing
45
Après avoir obtenu le maximum de détails sur ce système cible, il détermine les
systèmes ou adresses IP autorisés à se connecter au système cible.
Attaque IP spoofing
45
Après avoir obtenu le maximum de détails sur ce système cible, il détermine les
systèmes ou adresses IP autorisés à se connecter au système cible.
Le pirate procède ensuite aux différentes étapes pour mener à bien son
attaque sur le serveur cible en utilisant l’adresse IP de la machine A.
78
23/03/2022
Attaque IP spoofing
45
Après avoir obtenu le maximum de détails sur ce système cible, il détermine les
systèmes ou adresses IP autorisés à se connecter au système cible.
Le pirate procède ensuite aux différentes étapes pour mener à bien son
attaque sur le serveur cible en utilisant l’adresse IP de la machine A.
Attaque IP spoofing
45
79
23/03/2022
Attaque man-in-the-middle
46
Attaque man-in-the-middle
46
80
23/03/2022
Attaque man-in-the-middle
46
Attaque man-in-the-middle
46
81
23/03/2022
Attaque man-in-the-middle
46
lepirate réussisse à modifier le chemin réseau afin que sa machine devienne un des
points de passage.
Attaque man-in-the-middle
47
82
23/03/2022
Attaque man-in-the-middle
47
Hijacking
Relais transparent
48
83
23/03/2022
Relais transparent
48
Relais transparent
48
84
23/03/2022
Relais transparent
48
Relais applicatif
49
85
23/03/2022
86
23/03/2022
Cette attaque porte de manière plus spécifique sur l’analyse des numéros de
séquences et des numéros d’acquittements relatifs aux paquets TCP.
Cette attaque porte de manière plus spécifique sur l’analyse des numéros de
séquences et des numéros d’acquittements relatifs aux paquets TCP.
87
23/03/2022
Lorsqu’un pirate avec une machine système_c veut voler une session Telnet établie
entre système_a et système_b, il procède de la façon suivante:
Lorsqu’un pirate avec une machine système_c veut voler une session Telnet établie
entre système_a et système_b, il procède de la façon suivante:
1. Le pirate (système_c) sniffe le trafic Telnet (port TCP 23) entre système_a et
système_b.
88
23/03/2022
Lorsqu’un pirate avec une machine système_c veut voler une session Telnet établie
entre système_a et système_b, il procède de la façon suivante:
1. Le pirate (système_c) sniffe le trafic Telnet (port TCP 23) entre système_a et
système_b.
2. Une fois qu’il estime que système_b s’est s’authentifié auprès du service Telnet
de la machine système_a, il désynchronise la machine système_a par rapport
à système_b en forgeant un paquet avec comme adresse IP source celle de
système_a et comme numéro d’acquittement TCP celui attendu par système_b.
Lorsqu’un pirate avec une machine système_c veut voler une session Telnet établie
entre système_a et système_b, il procède de la façon suivante:
1. Le pirate (système_c) sniffe le trafic Telnet (port TCP 23) entre système_a et
système_b.
2. Une fois qu’il estime que système_b s’est s’authentifié auprès du service Telnet
de la machine système_a, il désynchronise la machine système_a par rapport
à système_b en forgeant un paquet avec comme adresse IP source celle de
système_a et comme numéro d’acquittement TCP celui attendu par système_b.
3. système_b accepte ce paquet et permet au pirate de s’insérer dans la session
préalablement établie par système_a.
89
23/03/2022
90
23/03/2022
91
23/03/2022
le trafic vers le port SSL (HTTPS sur le port 443 TCP) est dévié de
manière transparente vers la machine du pirate,
cette dernière assurant les fonctions d’un serveur HTTPS (HyperText
Transfer Protocol Secure sockets).
92
23/03/2022
93
23/03/2022
3. Le serveur HTTPS du pirate, qui assure toutes les fonctions d’un relais
applicatif, reçoit les demandes de A de manière chiffrée.
3. Le serveur HTTPS du pirate, qui assure toutes les fonctions d’un relais
applicatif, reçoit les demandes de A de manière chiffrée.
94
23/03/2022
3. Le serveur HTTPS du pirate, qui assure toutes les fonctions d’un relais
applicatif, reçoit les demandes de A de manière chiffrée.
95
23/03/2022
telnet, netcat, .
96