Université Batna2

Chahid Mostefa Benboulaid

Faculté des sciences Département d’informatique CS M2: Sécurité Informatique

Révision
Exercice 1 :
Exercice 2 :
Q1.Dans le centre de calcul de l’université, un étudiant édite et exécute un programme en ligne sur Google
Collab, Supposons qu’une attaque TCP syn flooding a été effectuée par une station userS sur son ordinateur.
a) Quel service, parmi les services
de sécurité, est attaqué ? : La
Disponibilité
b) Expliquez comment ce type
d’attaque épuisent-ils les ressources
de la station victime? :
Dans l’attaque TCP synflooding,
l’attaquant envoie de nombreux
paquets TCP avec l'indicateur SYN
défini sur une victime et ignore les
paquets SYN/ACK en réponse par la
victime. La file d'attente des
connexions à semi-ouvertes de la
victime va se saturé et par
conséquents être incapable de traiter de nouvelles connexions.

c) Quels sont les conséquences de cette attaque sur la machine de l'étudiant ? Indisponibilité
Q2. L’étudiant veut vérifier si une attaque a eu lieu, il utilise Wireshark (un analyseur de paquets) sur son
ordinateur. Le résultat est sur la figure suivante : Identifier le début de l'attaque (justifiez votre réponse).
Le début de l'attaque est identifié par le nombre élevé de paquets SYN sur le même port de destination 80 (http)
provenant de la même adresse IP

Q3.Proposer une solution à l’étudiant pour se protéger contre l’attaque TCP syn flooding.
 Solu 1 :le Firewall doit bloquer une @IP qui envoie un nombre important de SYN
 Solu2 :Attendre pendant un certain temps, si pas d’ACK, l’entrée dans la table sera supprimée

Exercice 2:

Le pirate lance un ARPSpoof comme suit:

[root@pirate -> ~]$ arpspoof -t 10.15.2.171 10.0.0.1
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42: arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f

a) Analysez les lignes ci-dessus et associez chaque IP/MAC à l'une des machine suivantes : la machine pirate,
la machine cible, la machine usurpée.

 10.15.2.171: la machine cible

 10.0.0.1: la machine usurpé
 0:0:86:35:c9:3f : MAC de la machine Pirate
 0:60:8:de:64:f0 : MAC de la machine cible

Enseignante: Nesrine KHERNANE

 Université Batna2
Chahid Mostefa Benboulaid
Faculté des sciences Département d’informatique CS M2: Sécurité Informatique

b) Donnez la table ARP (le cache) de la machine cible si on suppose que l'adresse IP de l'attaquant est
10.15.2.85

IP MAC
10.0.0.1 00:86:35:c9:3f
10.15.2.85 00:86:35:c9:3f

Exercice 3:

(1) A N (10.3.12.22) : ping [IP src : 10.0.12.10]

(2) B 10.3.12.255 : ping [IP src : 10.0.12.22]
(3) C  M (10.3.12.3): SYN [IP dest: 10.3.12.3; dest Port: 80; SYN: 0 ]
(4) D * : ARP_Request [Qui est 10.0.12.10 ? Je suis AE:67@(10.0.12.22)]
(5) B D : ARP_Reply [MAC D: c9:ff @IP: 10.0.12.10)]
(6) C  M(10.3.12.3): SYN [IP src: 10.0.12.2; src Port: 80; protocole: TCP; SYN: 1 ]
(7) B * : ARP_Request [Qui est 10.0.12.10 ? Je suis c9:ff@(10.0.12.3)]
(8) A B : ARP_Reply [Je suis 3f:2E @IP(10.0.12.10)]
(9) B A : ARP_Reply [Je suis c9:ff @(10.0.12.22)]
(10) M  C: SYN/ACK
(11) C  M: ACK (connexion établie)
(12) D C (10.0.12.2) : ping [IP src : 10.0.12.22]

(XY: R) signifie : X envoie à Y la requête R, et (*) signifie un broadcast local.

Analysez les échanges ci dessus est répondez aux questions suivantes.

a) Identifiez les attaques dans les échanges: Smurf, IP fragment, ARP-spoofing

b) Pour chaque attaque, identifiez les étapes ainsi que la machine attaquante est la machine cible

Attaque Smurf Attaque Arp spoofing Attaque IP fragment

Attaquant B B C
Cible(s) D A, D M
Etapes (2) (5), (9) (3),(6)

C) donnez la table ARP de la machine D et A après les échanges.

Enseignante: Nesrine KHERNANE

Université Batna2
Chahid Mostefa Benboulaid
Faculté des sciences Département d’informatique CS M2: Sécurité Informatique

Table ARP D Table ARP A

IP MAC IP MAC
10.0.12.10 C9:ff 10.0.12.3 C9:ff
10.0.12.3 C9:ff 10.0.12.22 C9 :ff
10.0.12.2 3f :A3 10.0.12.1 A6:ff
Exercice 4 :

1- L'entreprise dans laquelle vous travaillez dispose de l'architecture réseau

dans la figure suivante:
La politique de sécurité de votre client est d'autoriser uniquement l'accès
de l'administrateur qui se trouve dans le réseau interne (LAN) à la DMZ sur
le port 22. Tandis que les autres utilisateurs du réseau interne peuvent
uniquement accéder à internet (port 80 et 443). Pour les deux besoins le
protocole utilisé est TCP.
a) Créez une table de filtrage qui permet de respecter le besoin de votre
client.
Règle IP source Port IP Port Protocole
source destination destination

Autorise 12.9.13.23 * 12.9.27.0/24 22 TCP

Interdit 12.9.13.0/24 * 12.9.27.0/24 * TCP

Autorise * * * 80 TCP

Autorise * * * 443 TCP

Interdit * * * * *

b) En utilisant la syntaxe de règles iptables, créez les règles FW permettant de respecter le besoin de votre
client.
iptables -A FORWARD -i eth0 -o eth1 -p TCP -source 12.9.13.23 -d 12.9.27.0/24 -sport all -dport 22 -j
ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p TCP -source 12.9.13.0/24 -d 12.9.27.0/24 -sport all -dport all -j
DROP
iptables -A FORWARD -i eth0 -o eth2 -p TCP -source 12.9.13.0/24 -d all -sport all -dport 80,443 -j ACCEPT
iptables -A FORWARD -i all -o all -p all -source all -d all -sport all -dport all -j DROP

2- Décrivez la politique de sécurité après avoir analysé les règles iptables ci dessous:
iptables -A Forward -i eth2 -o eth1 -s all -d 12.9.27.0/24 -sport all -dport 80 -j ACCEPT
iptables -A Forward -i eth1 -o eth0 -s 12.9.27.0/24 -d all -sport 80 -dport all -state RELATED ESTABLISHED -j
ACCEPT

Les deux règles ci dessus peut être décrite comme suit: autoriser toutes les machines du réseau externe
(internet) à se connecter au serveur web sur le port 80 (http) et autoriser le serveur Web à répondre.

Enseignante: Nesrine KHERNANE

 Université Batna2
Chahid Mostefa Benboulaid
Faculté des sciences Département d’informatique
Exercice 5 :
Q1. Un firewall vous permet de :
a) Bloquer une connexion venant de l'extérieur.
b) Bloquer une connexion vers l'extérieur.
c) protéger votre réseau d'un virus interne.
Q2. Une entreprise souhaite installer un pare-feu pour
se protéger des attaques externes sachant qu'elle ne
possède pas de serveur interne, vous lui proposez:
a) Un pare-feu de type proxy.
b) Un pare-feu de type DMZ,
c) Un pare-feu entre le LAN et le WAN se basant sur
le filtrage au niveau de la couche 3 et 4.
Q3. Un virus informatique est défini en tant que :
a) Tout programme téléchargé sans l’autorisation de
l’administrateur du système,
b) Tout programme ayant un effet nuisible sur le
système informatique,
c) Tout programme qui change les registres
Windows.
Q4. Que ce qu’un malware de type spyware?
a) Tout programme qui prend le contrôle du système
de façon illégal,
b) Tout programme qui enregistre les frappes du
clavier,
c) Tout programme qui se comporte de façon
intelligente.
Q5. Un IPS vous permet de :
a) Détecter les intrusions sans les prévenir.
b) Détecter les intrusions et les prévenir.
c) Bloquer un ping réseau vers l'extérieur.
d) Supprimer les virus d'une machine.
Q6. Une entreprise souhaite installer un système
permettant de détecter et de prévenir les attaques sur
son réseau, vous lui proposez:
a) NIDS.
b) NIPS.
c) HIDS.
d) HIPS.
Enseignante: Nesrine KHERNANE
CS M2: Sécurité Informatique
Q7. Une entreprise souhaite se protéger contre les
virus, vous lui proposez d'installer :
a) Un antispam.
b) Un pare-feu.
c) Un antivirus.
Q8. Votre client vous demande de lui conseiller la
politique de sécurité la plus efficace :
a) Tout interdire et n'autoriser que ce qui nécessaire.
b) Tout autoriser et n'interdire que ce qui n'est pas
nécessaire.
c) Aucune réponse n'est correcte.
Q9. Parmi les notions suivantes, laquelle permet de
contrer l’attaque IP spoofing ?
a) Proxy
b) Pare-feu
c) Protection de mot de passe.
d) VPN
Q10. Le phishing peut être réalisé comme suit:
a) Alice envoie un mail à Bob avec un lien permettant
de télécharger un virus.
b) Alice envoie un mail à Bob avec un lien usurpant
Microsoft et demandant d'entrer le login/mot de
passe du compte Microsoft de Bob.
c) Alice envoie un mail à Bob avec une pièce-jointe
contenant des macros malveillantes.
Q11. Une entreprise souhaite se protéger contre les
attaques de type smurf, vous lui proposez d'installer :
a) Un WAF (Web Application FW).
b) Un pare-feu de la couche réseau.
c) Un antivirus.
d) Un IDS/IPS.
Q12. Une signature numérique :
a) Doit être vérifiée par le RA ensuite l'AC.
b) Doit être vérifiée par l'AC ensuite le RA.
c) Doit être unique.
d) Sa date de validité est indéterminée