UNIVERSITE DE FIANARANTSOA

ECOLE NATIONALE D’INFORMATIQUE

Mention : Intelligence Artificielle

Parcours : Gouvernance et Ingénierie de Données

Intitulé :

ATTAQUE DDOS, SYN

FLOOD

Présenté par
RANDRIANATOANDRO i Ilo Mahomby, 2329, GID
MAHARETANIFARANY Santatraniaina Candy Pascaline, 1047 H-F, GID
RAMAMIHARIVELO Marihasina, 2310, GID
ANDRIATSILANIZO Manjakanavaly Odilon Douglas, 3396

Année Universitaire 2023-2024

 SOMMAIRE
SOMMAIRE .......................................................................................................................................... 1
INTRODUCTION ................................................................................................................................. 2
I. Définition attaque DDoS ........................................................................................................... 3
II. Types d’attaques DDoS ............................................................................................................... 3
1. Attaques volumétriques ......................................................................................................... 3
2. Attaques par épuisement des ressources .............................................................................. 3
3. Attaques par amplification ..................................................................................................... 3
4. Attaques de la couche application ......................................................................................... 4
III. Présentation de l’attaque DDoS SYN Flood ........................................................................... 4
1) Etablissement normal d’une connexion TCP : ....................................................................... 4
2) Attaque SYN Flood : ............................................................................................................. 4
IV. Objectif de l’attaquant :........................................................................................................ 5
V. Conséquences d’une attaque SYN Flood ................................................................................. 5
1. Indisponibilité des services ................................................................................................... 6
2. Dégradation des performances ............................................................................................. 6
3. Saturation des ressources...................................................................................................... 6
4. Atteinte à la réputation ......................................................................................................... 6
5. Coûts financiers ..................................................................................................................... 6
VI. Réalisation............................................................................................................................... 7
A. Installation des machines virtuelles ..................................................................................... 7
B. Connection des 02 machines ............................................................................................... 11
C. Lancement de l’attaque....................................................................................................... 12
VII. Protection contre les attaques DDoS SYN Flood .............................................................. 17
CONCLUSION .................................................................................................................................... 17

1
 INTRODUCTION
Dans un paysage numérique en constante évolution, caractérisé par une connectivité
omniprésente, la sécurité des systèmes et des réseaux informatiques est devenue une
préoccupation vitale pour les organisations du monde entier. Parmi les multiples menaces qui
pèsent sur ces infrastructures, les attaques par déni de service distribué (DDoS) avec SYN
Flood se distinguent comme l'une des plus redoutables et pernicieuses. Ces assauts
malveillants, représentent un danger croissant dans un environnement numérique de plus en
plus interconnecté et vulnérable.
Face à cette menace grandissante, comprendre le fonctionnement de ces attaques et
mettre en place des mesures de protection efficaces est crucial.
Cet ouvrage s'engage à examiner en détail les attaques DDoS SYN Flood, en mettant
en lumière leurs objectifs, leurs conséquences et les meilleures pratiques de sécurité pour
contrer leur impact dévastateur. En explorant ces aspects essentiels, nous visons à fournir aux
lecteurs une compréhension approfondie de la nature de ces attaques, ainsi que des mesures
préventives et défensives nécessaires pour protéger efficacement les systèmes et les réseaux
contre cette menace persistante.

2
 I. Définition attaque DDoS

Une attaque par déni de service distribué (DDoS) ou Distributed Denial Of

Service est une tentative malveillante de submerger un système ou un réseau avec un
trafic superflu, dans le but de le rendre indisponible aux utilisateurs légitimes. En
d'autres termes, une attaque DDoS vise à empêcher les gens d'accéder à un site Web, à
un service en ligne ou à une autre ressource. Le mot "distribué" signifie que l'attaque
est menée à partir de plusieurs ordinateurs ou appareils infectés, appelés "bots".
L'attaquant utilise un botnet, un réseau de bots, pour envoyer un grand nombre de
requêtes simultanées au système ou au réseau cible

II. Types d’attaques DDoS

Les attaquants DDoS disposent d'un arsenal d'outils pour perturber vos
services. Voici quelques types courants d'attaques DDoS, classées par leur objectif :

- Attaques volumétriques
- Attaques par épuisement des ressources
- Attaques par amplification
- Attaques de la couche application

1. Attaques volumétriques

Une attaque volumétrique DDoS vise à submerger votre système avec un

énorme volume de trafic indésirable, semblable à un tsunami de données, rendant
l'accès impossible aux utilisateurs légitimes.

Exemple d’attaques volumétriques : Attaque par inondation UDP, Attaque par

inondation ICMP, Attaque Smurf, Attaque HTTP Flood, Attaque Slowloris, Attaque
SYN Flood.

2. Attaques par épuisement des ressources

Les attaques par épuisement des ressources DDoS visent à accaparer les
ressources de votre système plutôt que la bande passante.

Exemple d’attaques par épuisement des ressources : Attaque Slowloris,

Attaque HTTP POST, Attaque DNS Flood, Attaque NTP Flood, Attaque par injection
SQL.

3. Attaques par amplification

Les attaques par amplification DDoS exploitent des failles dans les protocoles
internet pour amplifier artificiellement le trafic, le rendant beaucoup plus puissant.

Exemple d’attaques par amplification DDoS : Attaque d'amplification DNS,

Attaque d'amplification NTP, Attaque d'amplification SSDP, Attaque d'amplification
SNMP.

3
 4. Attaques de la couche application

Les attaques de la couche application DDoS exploitent les

vulnérabilités des applications web elles-mêmes pour les perturber ou voler des
données.

Exemples d’attaques de la couche applicative : Attaque par injection

SQL, Attaque Cross-Site Scripting (XSS), Attaque par rejeu, Attaque par déni
de service (DoS) de type application, Attaque par botnet.

III. Présentation de l’attaque DDoS SYN Flood

Une attaque SYN Flood est une attaque par déni de service (DDoS) qui
exploite une faille dans le processus de "poignée de main" TCP/IP pour submerger un
serveur de connexions TCP, l'empêchant de répondre aux demandes légitimes.

1) Etablissement normal d’une connexion TCP

Le protocole TCP utilise une "poignée de main" à trois voies pour

établir une connexion fiable entre deux ordinateurs.

a. Demande de connexion (SYN)

Le client envoie un paquet SYN au serveur, indiquant son

intention de se connecter. Ce paquet contient un numéro de séquence
initial (ISN) généré aléatoirement.

b. Confirmation de connexion (SYN/ACK)

Le serveur répond avec un paquet SYN/ACK. Ce paquet

contient son propre numéro de séquence initial (ISN) et un accusé de
réception (ACK) pour le numéro de séquence du client.

c. Acceptation de la connexion (ACK)

Le client envoie un paquet ACK pour confirmer la réception du

SYN/ACK du serveur. La connexion est maintenant établie et les deux
ordinateurs peuvent échanger des données

2) Attaque SYN Flood

a) Faux paquets SYN

L'attaquant envoie un grand nombre de paquets SYN falsifiés au

serveur. Les paquets SYN proviennent d'adresses IP sources différentes.
Les numéros de séquence des paquets SYN sont aléatoires.

b) Ressources du serveur épuisées

Le serveur conserve une demi-connexion ouverte pour chaque

paquet SYN reçu, attendant un ACK qui ne viendra jamais. Le serveur

4
 peut manquer de mémoire et de CPU pour traiter les connexions
légitimes.

c) Deni de service

Le service devient indisponible pour les utilisateurs légitimes.

Le site web peut être inaccessible. Les applications peuvent ne pas
fonctionner.

IV. Objectif de l’attaquant

L'objectif principal d'une attaque SYN Flood est de perturber, voire d'empêcher,
l'utilisation d'un service ou d'un système informatique.

Les motivations de l'attaquant peuvent être diverses :

• Nuisance : Simplement causer du désagrément ou de la frustration aux

utilisateurs.
• Concurrence : Dénigrer un concurrent en perturbant ses services.
• Extorsion : Obtenir un gain financier en menaçant de lancer une attaque.
• Cyberactivisme : Protester contre une politique ou une action d'une
organisation.
• Espionnage ou vol de données : Exploiter l'attaque pour détourner l'attention
et effectuer d'autres actions malveillantes.

V. Conséquences d’une attaque SYN Flood

Une attaque SYN Flood peut avoir de lourdes conséquences pour les entreprises et
les organisations :

- Indisponibilité des services

- Dégradation des performances
- Saturation des ressources

5
 - Atteinte à la réputation
- Coûts financiers

1. Indisponibilité des services

Le service ou le système ciblé devient inaccessible aux utilisateurs légitimes, ce qui peut
entraîner une perte de revenus, de productivité et de confiance.

Exemples :

• Un site web de commerce électronique peut être indisponible pendant la période des
fêtes, ce qui se traduit par une perte de ventes importante.
• Un service bancaire en ligne peut être inaccessible, empêchant les clients d'effectuer
des transactions financières.

2. Dégradation des performances

Le serveur ou le réseau peut être ralenti, ce qui affecte la performance des applications et
des services pour tous les utilisateurs.

Exemples :

• Les temps de chargement des pages web peuvent augmenter de manière significative.
• Les applications en ligne peuvent devenir lentes et réactives.

3. Saturation des ressources

L'attaque peut épuiser les ressources du serveur, comme la mémoire et le processeur, ce qui
peut le rendre inutilisable.

Exemples :

• Le serveur peut planter ou se relancer de manière intempestive.

• D'autres services hébergés sur le même serveur peuvent être affectés.

4. Atteinte à la réputation

Une attaque réussie peut nuire à la réputation de l'entreprise et à la confiance de ses

clients.

Exemples :

• L'entreprise peut être perçue comme étant incapable de protéger ses systèmes
informatiques.

5. Coûts financiers

L'entreprise peut subir des pertes financières importantes en raison de l'indisponibilité des
services, de la dégradation des performances et des coûts de réparation.

6
Exemples :

• L'entreprise peut perdre des clients et des revenus.

• Elle peut devoir investir dans des mesures de sécurité supplémentaires.

VI. Réalisation

Dans le cadre de la simulation d'une attaque SYN flood DDoS, nous avons utilisé deux
machines virtuelles installées sur VirtualBox à savoir Kali Linux comme machine virtuelle
attaquante et Windows 10 comme machine virtuelle cible dans deux machines différentes.
L'objectif de cette simulation est de comprendre le fonctionnement d'une attaque SYN flood
DDoS et d'observer ses effets sur la machine virtuelle cible.

A. Installation des machines virtuelles

i. VirtualBox

VirtualBox est un logiciel de virtualisation gratuit et open-source permettant

d'exécuter plusieurs systèmes d'exploitation sur un même ordinateur physique. Il crée
des machines virtuelles qui fonctionnent comme des ordinateurs distincts, dotées de
leurs propres ressources système (processeur, mémoire, stockage).

ii. Installation de Kali Linux

Kali Linux est une distribution Linux spécialement conçue pour la sécurité
informatique et le pentesting. Elle embarque de nombreux outils, dont celui que nous
utiliserons pour simuler l'attaque SYN flood DDoS. Les captures d'écran suivantes
montrent pas à pas le processus d'installation de Kali Linux sur une machine virtuelle
créée avec VirtualBox.

7
8
9
iii. Installation de Windows
Les captures d’écran suivantes démontrent l’installation de Windows 10 sur
une machine virtuelle créée avec VirtualBox.

10
 B. Connection des 02 machines

Pour simuler une attaque DDoS de type Syn Flood, nous avons utilisé deux machines
physiques connectées à un routeur pour les placer dans le même réseau. La figure suivante
illustre la topologie du réseau dans GNS3.
Cette simulation permet de comprendre les mécanismes et les conséquences d'une
attaque DDoS SYN Flood, ainsi que les mesures de mitigation qui peuvent être mises en place
pour atténuer son impact sur les services en ligne.

11
C. Lancement de l’attaque
• Identification des adresses IP des machines

Avant de lancer l'attaque SYN flood DDoS, nous devons d'abord

identifier les adresses IP des machines que nous voulons cibler. Pour Kali, nous
allons utiliser la commande ifconfig dans un terminal. La figure X démontre
l’identification de l’adresse IP de la machine Kali. Pour déterminer l’adresse IP
de la machine Windows, nous allons utiliser la commande ipconfig comme
démontré dans les figures suivantes.

• Vérification la connectivité des deux machines

Pour vérifier la connectivité des deux machines, utiliser la commande

ping. Sur Kali, ouvrir un terminal et taper "ping [adresse IP de la machine
Windows]". De même, sur la machine Windows, ouvrir une fenêtre d'invite de

12
 commandes et tapez "ping [adresse IP de la machine Kali]". Cela permettra de
vérifier si les deux machines peuvent se communiquer.

• Vérification les ports ouverts sur Windows

L'utilisation de la commande nmap sur un système Windows permet de

vérifier les ports ouverts et d'identifier les services en cours d'exécution sur ces
ports.

• Lancement de l’attaque

La figure suivante démontre la ligne de commande permettant de lancer

l’attaque.

La commande hping3 permet d’envoyer des paquets de données de

manière ciblée et précise.

L'option -S spécifie l'utilisation du protocole TCP pour initier des

connexions et transférer des données de manière fiable et sécurisée.

L'option -k ou --keep permet de conserver le port source inchangé,

garantissant ainsi la cohérence et la stabilité de la communication en préservant le
port source d'origine pour chaque paquet envoyé.

13
 L'option -s ou --baseport spécifie le port source de base à utiliser pour les
connexions sortantes, permettant ainsi de personnaliser et de contrôler la plage de
ports source utilisée lors de l'envoi de paquets.

L'option --flood envoie continuellement des paquets de manière intensive, dans

un mode de submersion, en transmettant de manière répétée des paquets sans attendre
de réponses, jusqu'à l’arrêt manuel du processus.

• Observation des effets

Sur la machine ciblée, on constate que l'attaque est en cours,

provoquant une congestion de la machine cible qui se traduit par un
ralentissement significatif, voire un blocage complet de ses activités normales

La figure suivante illustre les effets de l’attaque sur le CPU de la

machine cible.

La figure suivante illustre moniteur avant l’attaque.

14
La figure suivante montre le moniteur pendant l’attaque.

15
 Wireshark, comme le montre la capture d'écran suivante, montre que la machine de
l'attaquant envoie des paquets à la machine cible.

16
 VII. Protection contre les attaques DDoS SYN Flood

Un pare-feu est crucial pour se protéger des attaques DDoS SYN Flood. Configurez-le
pour limiter les connexions entrantes par seconde et bloquer les adresses IP suspectes et les
outils comme hping3 souvent utilisés dans ces attaques.
Pour une défense renforcée, combinez cela avec un antivirus à jour capable de détecter
les malwares lanceurs d'attaques SYN Flood. Surveillez attentivement l'utilisation des
ressources de votre ordinateur (processeur, mémoire, bande passante) pour identifier des pics
soudains pouvant indiquer une attaque.

17
 CONCLUSION
En guise de conclusion, cet ouvrage s'est engagé dans une exploration approfondie des
attaques DDoS SYN Flood, en scrutant attentivement leurs objectifs, leurs conséquences, et
en présentant des meilleures pratiques de sécurité pour contrer leur impact dévastateur. Ces
attaques exploitent une faille dans le protocole TCP/IP pour paralyser les services ciblés, et la
mise en place d'un pare-feu est souvent recommandée pour s'en protéger.
L'attaque DDoS SYN Flood est effectivement une menace redoutable, capable de causer des
dommages significatifs en submergeant les serveurs ciblés de requêtes SYN et en les rendant
inaccessibles aux utilisateurs légitimes. Cependant, il est important de reconnaître que cette
technique malveillante ne constitue qu'une facette des attaques DDoS.

17