Académique Documents
Professionnel Documents
Culture Documents
TP N°1: Les Attaques: Sécurité Des Réseaux Informatiques
TP N°1: Les Attaques: Sécurité Des Réseaux Informatiques
Khodjet.ghazi@gmail.com
ARP spoofing
le but est:
associer l’Adresse MAC de l’attaquant à l’adresse IP d’un autre
nœud. (attaque man-in the-middle).
l’adresse IP adresseIP ? »
2. Une réponse ARP: L’ordinateur B répond a l’ordinateur A : « J’ai cette adresse IP et mon adresse Mac est .. »
3. Une requête RARP (ARP inversé): Même principe que le 1. sauf que l’ordinateur A demande : “Qui a cette adresse
mac
Puisqu’il s’agit de broadcast, tous les ordinateurs connectés au support physique vont recevoir la requête. Les autres
machines recevront aussi le message et pourrons analyser les messages pour stocker dans leur cache une liste des
adresses IP/MAC.
ARP VS CAM
Comme le montre l'image ci-contre, le protocole ARP et les tables
CAM n'interviennent pas sur les mêmes couches du modèle OSI. En
effet, le protocole ARP assure la jointure entre les couches 3
(couche réseau, adresse IP) et 2 (couche liaison, adresse MAC),
alors que les tables CAM le font entre les couches 2 (liaison,
adresse MAC) et 1 (physique, numéro du port physique du switch).
Table ARP
Attaquant Attaquant
@IP @Mac @IP @Mac
IP 1 Mac 1 IP 1 Mac 1
IP 2 Mac 2 IP 2 Mac 2
Configuration VM
Installer 3 Machine virtuelle (XP 1,XP 2, BT)
Créer une team avec ces 3 machines
Démarrer les trois machines
XP 1 XP 2 BT
Ouvrir invite de
Désactiver le firewall Désactiver le firewall commande
Mettre Mettre ifconfig eth0
IP:10.0.0.1 IP:10.0.0.2 10.0.0.3 netmask
Masque:255.255.255.0 Masque:255.255.255.0 255.255.255.0 up
Sur la machine BT
arpspoof -t 10.0.0.1 10.0.0.2
arpspoof -t 10.0.0.2 10.0.0.1
Sur les machines XP
Vérifier à nouveau les tables ARP correspondantes
Sur la machine BT
pour activer le forwarding : echo 1 >
/proc/sys/net/ipv4/ip_forward
Solutions de l’attaque ARP SPOOF
Arpwatch
IDS
Vulnérabilités des protocoles
Les protocoles non sécurisés (FTP, Telnet,
...) font circuler des données en clair sur
le réseau. Un sniffer peut facilement les
intercepter.
Sniffing
Etape de l’attaque
La fonction « macof » du sniffer dsniff tente de passer les commutateurs en mode répétiteur (hub). Elle inonde le commutateur de réponses MAC
falsifiées (spoofed MAC replies flooding) à une vitesse tellement rapide que la table de commutation du commutateur se trouve engorgée.
Type d’Attaques de sniffing
Attaque d'un switch avec des messages ARP
Vol de port
XP 1 XP 2 BT
Lancer wireshark
Laisser le serveur en Ouvrir un explorateur > Menu Capture >
état de marche et mettre: Boutton Options >
ftp://10.0.0.1 Fitrage TCP >
Mettre le login et pw Cliquer sur Start
Dans la machine BT
- scan for hosts : nmap -sP 10.0.0.0/24
- scan for ports : nmap -sS 10.0.0.0/24
- O/S fingerprinting and version detection :
nmap -O 10.0.0.0/24
TCP & UDP
En mode TCP il faut passer par En mode UDP les messages sont
une demande de connexion en libre transport
TCP & UDP
ATTAQUE SYN FLOODING
C’est saturer un serveur en envoyant des
paquets TCP (SYN).
Le serveur répond (SYN + ACK).
le client malveillant (hacker) ne renvoie pas de
confirmation (ACK).
Le serveur attend la réponse et consomme alors
des ressources.
En multipliant ce type de connexions, le hacker
peut arriver à créer un déni de service.
ATTAQUE SYN FLOODING
DoS
Configuration VM
XP 1
Laisser le serveur en
état de marche
Dans la machine BT
- hping2 10.0.0.1 -I eth0 -i u1 -S --rand-source -p
80 &
XP 2
FIREWALL
ATTAQUE Password attaks
Les mots de passe sont stockés de 2 manières :
http://www.dcode.fr
http://sectools.org/crackers.html
Configuration VM