Détection des attaques de Déni de Service

dans les réseaux IP

Elaborée par :
Thaljaoui Nawel
1 Zarai Sabrine
2 Plan :

 Introduction

 Que sont les attaques DOS

 Les types d’attaques

 Les outils d’attaques

 Les techniques de protection

 Conclusion
3 Introduction

Les systèmes d'information sont aujourd'hui de plus en plus ouverts sur Internet. Cette
ouverture, as priori bénéfique, pose néanmoins un problème majeur : il en découle un nombre
croissant d'attaques. Dans une attaque par déni de service, un utilisateur exploite la
connectivité d'Internet pour paralyser les services offerts par le site ciblé. Ce qui se traduit
souvent pas une inondation (flood) de la victime avec de très nombreuses requêtes.
4 Que sont les attaques Dos

Une attaque par déni de service ( DoS attack pour Denial of Service attack en anglais) est une
attaque informatique  ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs
légitimes d'un service de l'utiliser,

 l’inondation d’un réseau afin d'empêcher son fonctionnement 

 la perturbation des connexions entre deux machines, empêchant l'accès à un service particulier 

 l'obstruction d'accès à un service pour une personne en particulier 

 également le fait d'envoyer des milliards d'octets à une box internet.

 Les types d’attaques
5

 Les attaques par surcharge

Une des méthode les plus répandue et une des plus simple a mettre en
œuvre est de surcharger complétement la cible de requetés de toutes sortes

Le SYN flood En envoyant un nombre très important de ces paquets, on

oblige le serveur à démarrer une socket de connexion pour chaque requête,
il enverra donc des paquets contenant les flag SYN,ACK pour établir la
connexion mais ne recevra jamais de réponses. Le serveur aura donc un
grand nombre de connexion en attente et arrivera à saturation jusqu’à ne
plus pouvoir répondre aux connexions légitimes des utilisateurs
6 Le Ping flood

 Une des attaque les plus simple à mettre en place. Elle consiste à simplement envoyer un
nombre maximal de PING simultané jusqu’à saturer la victime. On utilise généralement la
commande Ping sous Linux mais une des conditions pour que l’attaque soit efficace est de
posséder plus de bande passante que la victime.
7 Le smurf

 Les attaques Smurf profite d’une faiblesse de IPv4 et d’une mauvaise configuration pour
profiter des réseaux permettant l’envoi de paquets au broadcast,

 L’attaquant envoie au broadcast des paquets contenant l’IP source de la victime ainsi
chaque machine sur le réseau va répondre à la cible à chaque requête de l’attaquant
8 Les attaques par failles

Un autre moyen de réaliser un Dos consiste à exploiter les nombreuses failles présentes dans
les systèmes d’informations

Teardrop Attack :Elle consiste à envoyer des paquets IP invalides à la cible, ces paquets
peuvent être fragmentés , ou contenir des données corrompues ou qui dépassent la taille
règlementaire
9 Ping of Death

 Elle reprend le principe de l’attaque Teardrop mais avec des paquets ICMP. Les paquets
ICMP possèdent généralement un champ data de 56 octets
10 Permanent DoS

 Ces attaques peuvent s’avérer très dangereuses car elles permettent `a l’attaquant d’altérer
le matériel de la victime de façon irréversible nécessitant le remplacement des
équipements. Elles utilisent des failles dans les pilotes matérielles pour changer les
firmwares matériels et ainsi mettre hors service les machines.
11 Les outils d’attaques
HPing : Cet outil peut s’avérer très puissant et peut être utilisé par exemple pour effectuer une
attaque SYN flood, Ping flood et Smurf
Exemple d’attaques SYN flood HPing 192.168.0.1 -S –fast : pour envoyer 10 paquets par
secondes contenant le flag SYN
TFN2K : Ce programme est destine aux attaques DDoS aussi appelées attaques distribuées. Il
est complexe et très difficile `a contrer. En effet, il utilise un système client serveur
communiquant de façon crypté pour échanger des données sur l’attaque. Il permet d’attaquer
plusieurs client de façon aléatoire grâce a des paquets ICMP, TCP, ou UDP.
Dsniff : Dsniff est une suite d’outils destiné aux attaques de type man-in-the-middle qui permet
entre autres de mettre en pratique l’arp-spoof aussi appeler arp poisoning.

Ettercap : Ettercap est un analyseur de réseau qui permet aussi de mettre en place des attaques
DoS par surcharge ou par ARP poisoning, mais cette fois de façon graphique. Il contient des
plugins pour isoler des machines sur le réseau et de les rendre inefficaces.
12 Les techniques de protection

 La variété et la disponibilité des outils d'attaques augmentent le risque des intrusions. Par
conséquent les administrateurs s'appuient sur diverses solutions comme les pare-feux, les
systèmes de détection d'intrusions, etc.… dans le but de maintenir la protection du réseau
informatique.
13 Pare-feux

 Un pare-feu (Firewall) est un système physique ou logique qui inspecte les paquets entrants et sortants du
réseau afin d'autoriser ou d'interdire leur passage en se basant sur un ensemble de règles appelées ACL. Il
existe principalement trois types de pare-feux :

• Pare-feu avec filtrage des paquets : ce pare feu filtre les paquets en utilisant des règles statiques qui
testent les champs des protocoles jusqu'au niveau transport.

• Pare-feu à filtrage des paquets avec mémoire d'états : ce modèle conserve les informations des services
utilisés et des connexions ouvertes dans une table d'états. Il détecte alors les situations anormales suite à
des violations des standards de protocole,

• Pare-feu proxy : ce pare feu joue le rôle d'une passerelle applicative. En analysant les données jusqu'au
niveau applicatif, il est capable de valider les requêtes et les réponses lors de l'exécution des services
réseaux.
14 Conclusion
 Sur Internet, les pirates emploient de plus en plus diverses stratégies pour dissimuler leurs
caractères intrusifs. Par conséquent, la détection de la reconnaissance active devient plus
difficile mais indispensable afin de comprendre les intentions des attaquants. Dans le cadre
de notre projet TER, nous voulions détecter les attaques de déni de service afin de
sécuriser le réseau contre les attaques.
15