DoS / DDoS

Présentation Dénie de service -1-

 Une attaque déni de service (DoS) consiste à
rendre indisponible un service :
Empécher les utilisateurs pour accéder à un
service
Bloquer un serveur web, DHCP, Fichiers...
Saturation d’un réseau
Interrompre la connexion entre machines
Présentation Dénie de service -2-
 Il existe une différente variété d’attaque de DoS tel
que le Syn Flood, UDP flood…
 Type d’attaque de dénie de service se compose en :
Attaque qui exploite les faiblesses d’une
application (buffer over flow)
Attaque DoS réseau
Les technique d’attaque
 Attaque Direct.
 Attaque indirectes par rebond.
 Attaque indirectes par réponses.
 Attaque distribué DDoS.
Les attaques directes
 Le Hacker lance une attaque directement a partir de
sont pc vers la victime.
 En envoyant les paquets à la victime.
 L’identité de l’attaquant peut être facilement
identifiée en remontant à l’origine de l’attaque.
Les attaques directes
Les attaques indirectes par rebond
 
 Utilisé les ressources du pc intermédiaire qui à en
principe une performance supérieure a celle de
l’ordinateur du HACKER (bande passante,
mémoire, cpu…).
 Les paquets sont envoyés vers l’ordinateur
intermédiaire.
 L’ordinateur intermédiaire répercute l’attaque vers
la victime.
Les attaques indirectes par rebond
 
 Masquer l’identité ou l’adresse IP de HACKER
 Ce n’est pas facile d’identifier l’identité de la
source d’attaque.
 En remontrer à l’ordinateur intermédiaire .
Les attaques indirectes par rebond
 
Les attaques indirectes par réponse

 Cette attaque est un dérivé de l’attaque indirect par

rebond.
 Offre le même avantage que l’attaque indirecte par
rebond.
 Envoyé une requête à l’ordinateur intermédiaire et
c’est la réponse à cette requête qui va être envoyé a
la victime.
Les attaques indirectes par réponse

 Générant des paquets spoofés avec comme adresse

source celle de la victime
 Ce n’est pas facile d’identifier l’identité de la
source d’attaque.
 En remontrer à l’ordinateur intermédiaire .
Les attaques indirectes par réponse
DoS distribué
 L’attaquant dirige plusieurs machines pour
amplifier l’attaque.
 Elle repose sur l’utilisation d’agent aussi appelé
daemons
 L’agent est installé sur des machines mal sécurisé
(utilisation du ver...)
DoS distribué
 L’attaquant efface ces traces après l’installation des
daemons
 Les Agents prennent la forme de chevaux de Troie
ou combinées avec les fonctionnalisées de virus et
de ver.
 le démon annonce sa présence au maitre prédéfini
après sont installation
 Il se met en attente des commandes du maitre
DoS distribué
 Le maître peut émettre des requêtes d´attaque.
 Ces requêtes contiennent des informations sur l
´attaque demandée (adresse de la victime, la durée
de l´attaque)
 Le démon attaque la victime, souvent par saturation
avec des paquets dés la réception d’une demande
d’attaque par le maitre
DoS distribué
 Souvent le maître et ses esclaves (démons)
communiquent par le biais des protocoles ICMP,
TCP, SSH, Telnet, UDP…
 Ces communications peuvent également dans
certains cas être chiffrées.
Architecture DDoS (2-tiers)
 Un client qui prend le contrôle de plusieurs agents.
 Les agents restent en écoute en attendant les commandes du
client pour attaquer la cible
 L’outil d’attaque TFN (tribal flood network) utilise une
architecture 2-tiers
 Les agents TFN fonctionnent comme des services réseaux
cachés sur les machines piratées
 TFN2K c’est la version évolué du TFN
 chiffrement de ces communications entre le client et ses
agents
Architecture DDoS (2-tiers)
Architecture DDoS (3-tiers)
 Une architecture à trois couches avec un
client/intrus, qui envoie des commandes (y compris
les cibles à attaquer) à des servers masters/handlers.
 masters/handlers se chargent chacun dans sous
réseau d'agents/démons.
 Cette couche intermédiaire rend plus difficile à
identifier l'origine de l'attaque.
Architecture DDoS (3-tiers)
 L’outil Trin00 utilise cette architecture.
 Trin00 n'utilise qu'une seule forme d'attaque DoS
(UDP), contrairement à TFN.
 L’outil d’attaque Stacheldraht est un mélange entre
Trin00 et TFN
 Stacheldraht cache les adresses source de sont trafic
Architecture DDoS (3-tiers)
Quelques Attaques – ARP
poisoning
 envoi d'informations ARP falsifiés
 les différents équipements du LAN apprennent des
mauvaises correspondances adresses IP avec MAC
 La conséquence est de rompre toutes
communications entre deux équipements IP.
Quelques Attaques – Attaque par
fragmentation
 L'objectif est de planter la pile IP de la cible en
modifiant les numéros de séquences.
 modifier les numéros de séquence afin de générer
des blancs ou des recouvrement lors du
réassemblage
Quelques Attaques – Attaque
ICMP Unreachable
 Cette attaque envoie des messages ICMP de type
"Host Unreachable" à une cible
 provoquant la déconnexion des sessions et paralyse
ainsi la victime.
Quelques Attaques – Attaque
ICMP Unreachable
Quelques Attaques – Attaque
Session flood
 Saturer un service distant en montant un plus grand
nombres de connexions TCP que peut en supporter
la cible.
 La conséquence pour la cible est de plus pouvoir
accepter aucune session TCP (SYN - SYN/ACK -
ACK) supplémentaire.
Quelques Attaques – Attaque
Ping of death
Quelques Attaques – Attaque
Smurf