Projet de fin d'études

Distributed Denial-of-service
Réalisé Par :
NABIL EL KARAMI
Encadré par :
Abdelali Badjou et Sidi Karim balghiti
 PLAN
 Attaque par déni de service (DOS,DDOS)
 Types d'attaques
 la bande passante
 Attaque Smurf
 des ressources système
 SYN Flood
 Exploitation des failles de sécurité et erreurs de logiciels
 Attaque Land
 TFN (Tribal Flood Network)
 contrer et réduire les attaques DDoS
 Pratique
 Attaque par déni de service
 Une attaque par déni de service (DoS attack pour Denial of
Service attack en anglais) est une attaque informatique ayant
pour but de rendre indisponible un service, d'empêcher les
utilisateurs légitimes d'un service de l'utiliser. À l’heure actuelle
la grande majorité de ces attaques se font à partir de plusieurs
sources, on parle alors d'attaque par déni de service distribuée
DDoS attack pour Distributed Denial of Service attack. Il peut
s'agir de :
 L’inondation d’un réseau afin d'empêcher son fonctionnement ;
 La perturbation des connexions entre deux machines, empêchant l'accès à un service particulier ;
 L’obstruction d'accès à un service pour une personne en particulier ;
 L'attaque par déni de service peut ainsi bloquer un serveur
de fichiers, rendre impossible l'accès à un serveur web ou
empêcher la distribution de courriel dans une entreprise.
 L'attaquant n'a pas forcément besoin de matériel
sophistiqué. Ainsi, certaines attaques DoS peuvent être
exécutées avec des ressources limitées contre un réseau de
taille plus importante et plus moderne. On appelle parfois
ce type d'attaque « attaque asymétrique » en raison de la
différence de ressources entre les protagonistes.
 Types d'attaques
 Contrairement à d’autres attaques de cybercriminels, les attaques DDoS n’essayent
pas d’infiltrer un système. Cependant elles peuvent faire partie d’une attaque bien
plus importante. Par exemple, lorsqu’un système a été paralysé, les attaques peuvent
être utilisées pour distraire les opérateurs de serveurs sur le fait qu’une attaque est
en cours ailleurs sur un autre système. Si la réactivité d’un système est retardée en
raison d’une attaque DoS ou DDos, les hackers ont alors la possibilité de modifier les
requêtes sur le système surchargé à l’aide de réponses manipulées. Il y trois
catégories de stratégies qui reposent sur ces attaques :

 La surcharge de la bande passante

 La surcharge des ressources
 L’exploitation des erreurs systèmes et des lacunes de sécurité
 la bande passante
Le but de réaliser une surcharge de la bande passante est de rendre l’ordinateur inaccessible. Les
attaques DoS et DDos ciblent directement les réseaux ainsi que leurs périphériques de connexion
respectifs. Un routeur ne peut traiter qu’une certaine quantité de données à la fois, si cette
capacité est dépassée en raison notamment d’une attaque, les services correspondants ne seront
alors plus disponibles pour les autres utilisateurs. Une attaque classique DDoS pour surcharger la
bande passante est l’attaque Smurf.
 Attaque Smurf : la technique de l’attaque Smurf ou attaque par réflexion en français, est une
technique de type DDoS qui profite de l’Internet Control Message Protocol (ICMP), qui permet
l’échange des messages de contrôle et des rapports d’erreurs dans les réseaux informatiques.
L’assaillant envoie alors des paquets d’ICMP modifiés Echo Request (Ping) à l’adresse de diffusion
du réseau et utilise l’adresse IP de la cible comme adresse d‘expédition. La demande de diffusion
est ensuite transmise du routeur à tous les périphériques connectés, ce qui entraine forcément
l’envoie d’une réponse à l’adresse de l’expéditeur (Pong). Un réseau important avec de nombreux
périphériques connectés à celui-ci peut donc nuire énormément à la bande passante ciblée.
Attaque Smurf
 des ressources système
 Une attaque DDos cible les ressources d’un système et les assaillants exploitent le fait que le
serveur Web peut seulement établir un nombre limité de connexions. Et si elles sont utilisées
pour des requêtes non valides, alors le serveur sera bloqué pour les utilisateurs. C’est ce que l’on
nomme Flooding (soit inondation). Les modèles d’attaque DDoS classiques sur les ressources
système sont HTTP Flood, Ping Flood, SYN Flood et UDP Flood.
 HTTP Flood : dans cette variante d’attaque de surcharge de ressources DDoS qui est la plus
simple, l’attaquant inonde le serveur Web de la cible d’un grand nombre de requêtes HTTP. Pour
cela, il doit juste accéder aux pages du projet cible jusqu’à ce que le serveur s’effondre sous la
charge de requêtes.
 Ping Flood : pour ce type d’attaque, les hackers envoient également des paquets ICMP modifiés
Echo Request. Ces derniers sont généralement envoyés par des botnets à grande échelle. Les
conséquences sont donc un ralentissement du système voire un blocage du système puisque ce
dernier doit répondre à ce flux massif de requêtes.
 SYN Flood
 SYN Flood : le SYN flood est une attaque qui vise à provoquer un déni de services et est destinée à
rendre un réseau indisponible. Elle rentre dans le cadre d’un protocole TCP (Transmission Control
Protocol) et le but est de submerger le serveur cible de requêtes SYN (Synchronized) en masse. En
temps normal une connexion TCP est utilisée entre le serveur et un client, un échange de message
doit avoir lieu et la connexion se déroule en trois temps : le SYN, le SYN-ACK et l’ACK. Le client qui
veut se connecter avec le serveur doit auparavant envoyer un premier paquet de SYN au serveur.
Ensuite pour répondre à cette requête, le serveur lui envoie un message SYN-ACK (/Synchronized
Acknowledgment), et le client doit finalement envoyer une réponse ACK (Acknowledgment) afin
de réaliser définitivement la connexion. Si la dernière étape n’est pas réalisée alors le système
sera paralysé depuis le serveur puisqu’il ne dispose pas d’une confirmation finale de connexion et
met ainsi du temps à libérer les ressources et génère un temps d’attente. Si un grand nombre de
connexions semi-ouvertes sans message ACK apparaissent, alors il y a un risque de surcharge et
les ressources du serveur peuvent être épuisées.
SYN Flood
UDP Flood : avec ce type d’attaque les hackers utilisent la connexion UDP (User Datagram
Protocol). Contrairement avec la transmission TCP, les données peuvent être transférées via UDP sans
avoir besoin d’une connexion établie. Concernant les attaques DoS et DDoS, les paquets UDP sont
envoyés à des ports aléatoires sur le système ciblé. Le système essaie alors en vain de déterminer quelles
applications sont en attente des données transférées, il en résulte un envoi à l’expéditeur de paquets
ICMP avec le message « Destination inaccessible ». Si un système rencontre un grand nombre de
requêtes de ce genre, cela provoque une surcharge des ressources et entraine une indisponibilité limitée
pour les utilisateurs.
 Exploitation des failles de
sécurité et erreurs de logiciels

Si un hacker trouve des failles de sécurité dans un programme ou un système, il peut donc planifier des attaques
DoS ou DDoS de telle sorte que les messages d’erreurs entrainent une panne complète du système. Les attaques
Ping of Death (ou Ping de la mort) et Land (local area network denial) font parties de cette catégorie d’attaque.
Ping of Death : ce modèle d’attaque a pour objectif de provoquer un arrêt du système.
Les hackers profitent en effet de l’exécution des erreurs du protocole internet (IP). Les
paquets IP sont généralement envoyés par fragments plus petits que la taille maximale
de 64 Ko. Ainsi le programme qui reçoit les paquets les réassemble et se bloque ou
tombe en panne. Cela peut conduire aussi à un « Buffer Overflow » (dépassement de
tampon), qui peut ainsi endommager fortement un programme en écrivant plus de
données qu’il ne peut contenir, dans le but ensuite d’écraser des parties du code de
l’application et ainsi de rentrer des données nécessaires pour exploiter la panne du
programme
 Attaque Land
Attaque Land : pour ce type d’attaque, l’hacker envoie un paquet SYN en lien avec le
TCP à trois temps (voir ci-dessus). Le paquet SYN a la même cible et adresse d’envoi
que le serveur correspondant qui doit être attaqué. Le serveur répond alors à la
requête en envoyant lui-même une réponse sous la forme d’un paquet SYN/ACK. Ceci
peut donc être interprété comme une nouvelle demande de connexion qui doit ainsi à
nouveau être répondu avec un paquet SYN /ACK. La conséquence est donc une
surcharge de capacité car le système tente en vain de répondre constamment aux
requêtes, ce qui finalement paralyse le système.
 TFN (Tribal Flood Network)

C'est le premier outil d'attaque de type Déni de Service qui ai obtenu un large Visibilité.
Il utilise une architecture à deux couches. Un client qui contrôle des Agents/démons.
Ces agents réalisent l'attaque distribuée sur la victime/cible et Avec le type d'attaque
désiré par le client. Les agents TFN fonctionnent comme Des services réseaux cachés
sur les machines piratées, capables de recevoir les Commandes du client noyées parmi
le flux courant des communications du Réseau. Les adresses du client et des agents
sont falsifiées dans tous les Communications et les attaques.
 IP Traceback
 Allows victim to identify the origin of attackers
 Several approaches
ICMP trace messages, Probabilistic Packet Marking,
Hash-based IP Traceback, etc.
 contrer et réduire
les attaques DDoS

Plusieurs mesures de sécurité ont étés mises au

point afin de contrer les surcharges des
systèmes des attaques DoS et DDoS. Par
exemple, une des solutions peut être
d’identifier des adresses IP critiques et de
combler les failles de sécurité. En sus, il est
nécessaire de fournir suffisamment de
ressources matérielles et logiciels pour pouvoir
compenser des attaques mineures.
 IP-Blacklist : blacklister permet d’identifier les adresses IP critiques et de rejeter les paquets de données.
Cette mesure de sécurité peut être exécutée manuellement et automatiquement grâce à des blacklists
dynamiques via le pare-feu.
 Filtrage : pour filtrer les paquets de donnés anormaux, il est possible de définir des limites des volumes de
données dans une période spécifique. Toutefois, il faut faire attention aux proxys, en effet de nombreux
clients sont enregistrés avec la même adresse IP sur le serveur et peuvent ainsi être potentiellement
bloqués.
 Cookies SYN : pes cookies SYN se concentrent sur les failles de sécurité lors d’une connexion TCP. Si ces
mesures de sécurité sont générées, l’information concernant le paquet SYN ne sera plus enregistré sur le
serveur, mais envoie un Crypto-cookie au client. L’attaque SYN a bien lieu mais ne surcharge pas la
mémoire du système ciblé.
 Load Balancing : une mesure efficace contre la surcharge est de répartir les charges sur plusieurs systèmes,
ce qui est faisable grâce au Load Balancer. Ainsi la capacité matérielle disponible est repartie sur plusieurs
machines physiques. A un certain niveau, cela peut être une parade contre les attaques Dos et DDoS.
 Pratique

Hping3 -p (port) -s (ip address) = linux

ping (IPADDRESS) –t |65500 = windows
Pratique
Pratique
 Conclusion
DDoS Attack est une attaque contre la disponibilité des
ressources et des services qui entraîne des pertes financières,
une perte de réputation de l'organisation et des perturbations
dans l'environnement de flux de travail. La vérité amère est que
les technologies de sécurité comme le pare-feu, les routeurs et
les IDS sont très semaine pour empêcher les DDoS car il ne peut
pas faire la différence entre le trafic d'origine et le faux trafic. Un
autre facteur est qu'il utilise l'usurpation d'adresse IP, difficile à
vérifier avec les paquets d'origine et que le routage impliqué est
sans état. Il en résulte donc une attaque très forte.