TP n°1: LES ATTAQUES

Sécurité des Réseaux Informatiques

Khodjet.ghazi@gmail.com
 ARP spoofing

Le principe est d’envoyer des données truquées, à un réseau

Ethernet.

le but est:
associer l’Adresse MAC de l’attaquant à l’adresse IP d’un autre
nœud. (attaque man-in the-middle).

associerune adresse MAC inexistant à l’adresse IP de routage

par défaut de la victime. (attaque déni de service DoS).
 Rappel ARP
C’est de mettre en corrélation l’adresse IP avec l’adresse MAC. il n’opère qu’entre les niveaux 2 et 3 de la couche
réseau. Et il convertit les IPs en Adresse MAC.

Ilcomprend quatre messages de base :

1. Une requête ARP: L’ordinateur A demande sur le réseau (en broadcast) «quelle est l’adresse MAC correspondant à

l’adresse IP adresseIP ? »

2. Une réponse ARP: L’ordinateur B répond a l’ordinateur A : « J’ai cette adresse IP et mon adresse Mac est .. » 

3. Une requête RARP (ARP inversé): Même principe que le 1. sauf que l’ordinateur A demande : “Qui a cette adresse
mac

4. Une réponse RARP: L’ordinateur B répond a l’ordinateur A: “J’ai cette adresse IP:..” 

Puisqu’il s’agit de broadcast, tous les ordinateurs connectés au support physique vont recevoir la requête. Les autres
machines recevront aussi le message et pourrons analyser les messages pour stocker dans leur cache une liste des
adresses IP/MAC.
 ARP VS CAM
Comme le montre l'image ci-contre, le protocole ARP et les tables
CAM n'interviennent pas sur les mêmes couches du modèle OSI. En
effet, le protocole ARP assure la jointure entre les couches 3
(couche réseau, adresse IP) et 2 (couche liaison, adresse MAC),
alors que les tables CAM le font entre les couches 2 (liaison,
adresse MAC) et 1 (physique, numéro du port physique du switch).
 Table ARP

Machine 1 Machine 2 Machine 1 Machine 2

@IP @Mac @IP @Mac @IP @Mac @IP @Mac
IP 2 Mac2 IP 1 Mac 1 IP 2 MacAtt IP 1 Mac Att
IP Att MacAtt IP Att MacAtt IP Att MacAtt IP Att MacAtt

Attaquant Attaquant
@IP @Mac @IP @Mac
IP 1 Mac 1 IP 1 Mac 1
IP 2 Mac 2 IP 2 Mac 2
 Configuration VM
Installer 3 Machine virtuelle (XP 1,XP 2, BT)
Créer une team avec ces 3 machines
Démarrer les trois machines

XP 1 XP 2 BT
Ouvrir invite de
Désactiver le firewall Désactiver le firewall commande
Mettre Mettre ifconfig eth0
IP:10.0.0.1 IP:10.0.0.2 10.0.0.3 netmask
Masque:255.255.255.0 Masque:255.255.255.0 255.255.255.0 up

Faire sur XP 1 un ping de xp 2

Faire sur XP 2 un ping de xp 1
Noter les tables ARP de chaque machine : ARP – a
 Attaque de ARP SPOOF

Sur la machine BT
arpspoof -t 10.0.0.1 10.0.0.2
arpspoof -t 10.0.0.2 10.0.0.1
Sur les machines XP
Vérifier à nouveau les tables ARP correspondantes
Sur la machine BT
pour activer le forwarding : echo 1 >
/proc/sys/net/ipv4/ip_forward
 Solutions de l’attaque ARP SPOOF

Mappage statique des correspondances

MAC --> IP

Sécurité sur les ports de switch

Arpwatch

IDS
Vulnérabilités des protocoles
Les protocoles non sécurisés (FTP, Telnet,
...) font circuler des données en clair sur
le réseau. Un sniffer peut facilement les
intercepter.
 Sniffing

 Le sniffing a pour but de récolter le maximum

d'informations transitant sur les réseaux (mots
de passe, compte, information à potentiel...).

Toutes les informations(Trames) qui se diffusent

au travers d'un réseau peuvent être interceptées.
 Type d’Attaques de sniffing
Saturation d'une table CAM

Pour router le trafic, les switches maintiennent une table de correspondance

appelée Content Adressable Memory (CAM).
Lorsque la mémoire est pleine, certains switches se comportent en hubs et
envoient les paquets broadcast.

Etape de l’attaque

Le switch alimente sa table de correspondance CAM en analysant les en-

têtes Ethernet du trafic.
Le pirate sature la mémoire de la table CAM avec de fausses adresses MAC.
Le switch envoie les paquets à tous les hôtes.

 La fonction « macof » du sniffer dsniff tente de passer les commutateurs en mode répétiteur (hub). Elle inonde le commutateur de réponses MAC
falsifiées (spoofed MAC replies flooding) à une vitesse tellement rapide que la table de commutation du commutateur se trouve engorgée.
 Type d’Attaques de sniffing
Attaque d'un switch avec des messages ARP

Arp spoofing + redirection

 Type d’Attaques de sniffing

Vol de port

Le pirate envoie des paquets sur le réseau avec une

fausse information, afin de modifier la table CAM

Changer la correspondance entre @Mac et n°port

@Mac destinataire -- n° port Machine Hacker

 Configuration VM
Installer un serveur FTP sur XP1
Créer un utilisateur dans ce serveur(login:admin, pass: esprit)
Vérifier que les réponses ARP sont encore actives

XP 1 XP 2 BT
Lancer wireshark
Laisser le serveur en Ouvrir un explorateur > Menu Capture >
état de marche et mettre: Boutton Options >
ftp://10.0.0.1 Fitrage TCP >
Mettre le login et pw Cliquer sur Start

Analyser les trame et trouver la chaine : USER admin et PASS :

esprit
 Solutions de l’attaque Sniffing

Les solutions utilisées pour ARP spoofing

Utiliser des protocoles de communication

chiffrés
 Le Scanner

il permet de trouver tous les ports ouverts sur une

machine distante ou locale.

Il existe différents types de scan:

la liste des ports ouverts
type et version de l'OS tournant sur la machine
 NMAP
Il est conçu pour détecter les ports ouverts, identifier les services hébergés et
obtenir des informations sur le système d'exploitation d'un ordinateur distant.
Ce logiciel est devenu une référence pour les administrateurs réseaux car
l'audit des résultats de Nmap fournit des indications sur la sécurité d'un
réseau.

Quelques options utilisées avec le nmap:

-sP: Ping Scan
-PO [num de protocole]: Ping IP (par type)
-sS/sT/sA/sW/sM: Scans TCP SYN/Connect()
-p <plage de ports>: Ne scanne que les ports spécifiés
-sV: Teste les ports ouverts pour déterminer le service en écoute et sa
version
-O: Active la détection d'OS
-f; --mtu <val>: Fragmente les paquets (en spécifiant éventuellement la
MTU)
 Configuration VM

Dans la machine BT
- scan for hosts : nmap -sP 10.0.0.0/24
- scan for ports : nmap -sS 10.0.0.0/24
- O/S fingerprinting and version detection :
nmap -O 10.0.0.0/24
 TCP & UDP

En mode TCP il faut passer par En mode UDP les messages sont
une demande de connexion en libre transport
TCP & UDP
 ATTAQUE SYN FLOODING
 C’est saturer un serveur en envoyant des
paquets TCP (SYN).
 Le serveur répond (SYN + ACK).
 le client malveillant (hacker) ne renvoie pas de
confirmation (ACK).
 Le serveur attend la réponse et consomme alors
des ressources.
 En multipliant ce type de connexions, le hacker
peut arriver à créer un déni de service.
ATTAQUE SYN FLOODING

DoS
 Configuration VM
XP 1
Laisser le serveur en
état de marche

Dans la machine BT
- hping2 10.0.0.1 -I eth0 -i u1 -S --rand-source -p
80 &
XP 2

Ouvrir un explorateur Que remarquez vous??

et mettre:
ftp://10.0.0.1 puis
ping 10.0.01
Solutions de l’attaque Synflooding

FIREWALL
 ATTAQUE Password attaks
Les mots de passe sont stockés de 2 manières :

Mots de passe cryptés

Chiffre clé (Hash code) des mots de passe

 ATTAQUE Password attaks
 Décrypter les mots de passe cryptés.
Lorsque l'on sait la légèreté des algorithmes de
cryptographie des mots de passe de Windows, par
exemple, il ne suffit que de quelques secondes
pour tous les décrypter.

 Casser les chiffres clés (les Hash code).

Ils sont pourtant irréversibles mais on attaquera
par dictionnaires ou en force brute

 http://www.dcode.fr
 http://sectools.org/crackers.html
 Configuration VM

 ajouter un nouvel user avec login et password:

htpasswd -cb /test admin admin
 ajouter un deuxième user avec la commande :
htpasswd -b /test admin2 3a1
 afficher le contenu du ce dossier: cat /test
 lancer john the ripper :
cd /pentest/passwords/jtr puis ./john /test
TO BE CONTINUED… 