Une attaque déni de service (DoS) consiste à rendre indisponible un service : Empécher les utilisateurs pour accéder à un service Bloquer un serveur web, DHCP, Fichiers... Saturation d’un réseau Interrompre la connexion entre machines Présentation Dénie de service -2- Il existe une différente variété d’attaque de DoS tel que le Syn Flood, UDP flood… Type d’attaque de dénie de service se compose en : Attaque qui exploite les faiblesses d’une application (buffer over flow) Attaque DoS réseau Les technique d’attaque Attaque Direct. Attaque indirectes par rebond. Attaque indirectes par réponses. Attaque distribué DDoS. Les attaques directes Le Hacker lance une attaque directement a partir de sont pc vers la victime. En envoyant les paquets à la victime. L’identité de l’attaquant peut être facilement identifiée en remontant à l’origine de l’attaque. Les attaques directes Les attaques indirectes par rebond
Utilisé les ressources du pc intermédiaire qui à en principe une performance supérieure a celle de l’ordinateur du HACKER (bande passante, mémoire, cpu…). Les paquets sont envoyés vers l’ordinateur intermédiaire. L’ordinateur intermédiaire répercute l’attaque vers la victime. Les attaques indirectes par rebond
Masquer l’identité ou l’adresse IP de HACKER Ce n’est pas facile d’identifier l’identité de la source d’attaque. En remontrer à l’ordinateur intermédiaire . Les attaques indirectes par rebond
Les attaques indirectes par réponse
Cette attaque est un dérivé de l’attaque indirect par
rebond. Offre le même avantage que l’attaque indirecte par rebond. Envoyé une requête à l’ordinateur intermédiaire et c’est la réponse à cette requête qui va être envoyé a la victime. Les attaques indirectes par réponse
Générant des paquets spoofés avec comme adresse
source celle de la victime Ce n’est pas facile d’identifier l’identité de la source d’attaque. En remontrer à l’ordinateur intermédiaire . Les attaques indirectes par réponse DoS distribué L’attaquant dirige plusieurs machines pour amplifier l’attaque. Elle repose sur l’utilisation d’agent aussi appelé daemons L’agent est installé sur des machines mal sécurisé (utilisation du ver...) DoS distribué L’attaquant efface ces traces après l’installation des daemons Les Agents prennent la forme de chevaux de Troie ou combinées avec les fonctionnalisées de virus et de ver. le démon annonce sa présence au maitre prédéfini après sont installation Il se met en attente des commandes du maitre DoS distribué Le maître peut émettre des requêtes d´attaque. Ces requêtes contiennent des informations sur l ´attaque demandée (adresse de la victime, la durée de l´attaque) Le démon attaque la victime, souvent par saturation avec des paquets dés la réception d’une demande d’attaque par le maitre DoS distribué Souvent le maître et ses esclaves (démons) communiquent par le biais des protocoles ICMP, TCP, SSH, Telnet, UDP… Ces communications peuvent également dans certains cas être chiffrées. Architecture DDoS (2-tiers) Un client qui prend le contrôle de plusieurs agents. Les agents restent en écoute en attendant les commandes du client pour attaquer la cible L’outil d’attaque TFN (tribal flood network) utilise une architecture 2-tiers Les agents TFN fonctionnent comme des services réseaux cachés sur les machines piratées TFN2K c’est la version évolué du TFN chiffrement de ces communications entre le client et ses agents Architecture DDoS (2-tiers) Architecture DDoS (3-tiers) Une architecture à trois couches avec un client/intrus, qui envoie des commandes (y compris les cibles à attaquer) à des servers masters/handlers. masters/handlers se chargent chacun dans sous réseau d'agents/démons. Cette couche intermédiaire rend plus difficile à identifier l'origine de l'attaque. Architecture DDoS (3-tiers) L’outil Trin00 utilise cette architecture. Trin00 n'utilise qu'une seule forme d'attaque DoS (UDP), contrairement à TFN. L’outil d’attaque Stacheldraht est un mélange entre Trin00 et TFN Stacheldraht cache les adresses source de sont trafic Architecture DDoS (3-tiers) Quelques Attaques – ARP poisoning envoi d'informations ARP falsifiés les différents équipements du LAN apprennent des mauvaises correspondances adresses IP avec MAC La conséquence est de rompre toutes communications entre deux équipements IP. Quelques Attaques – Attaque par fragmentation L'objectif est de planter la pile IP de la cible en modifiant les numéros de séquences. modifier les numéros de séquence afin de générer des blancs ou des recouvrement lors du réassemblage Quelques Attaques – Attaque ICMP Unreachable Cette attaque envoie des messages ICMP de type "Host Unreachable" à une cible provoquant la déconnexion des sessions et paralyse ainsi la victime. Quelques Attaques – Attaque ICMP Unreachable Quelques Attaques – Attaque Session flood Saturer un service distant en montant un plus grand nombres de connexions TCP que peut en supporter la cible. La conséquence pour la cible est de plus pouvoir accepter aucune session TCP (SYN - SYN/ACK - ACK) supplémentaire. Quelques Attaques – Attaque Ping of death Quelques Attaques – Attaque Smurf