Sodapdf

AKHAM Omar
IT Talents School
Les attaques Réseaux
Formation PIRATAGE ETHIQUE 2

Les réseaux IP: Choix protocolaires
• Simple
• Léger
Pas ou peu de contrôle
Formation Transfer - PIRATAGE ETHIQUE 3

Les réseaux IP: Implications
• Les attaques sur les protocoles de communications
– exploiter les failles des protocoles IP, ICMP, TCP, UDP
• Les attaques sur les applications
– Attaquer les applications SMTP, DNS, SNMP, X-Window, NFS, HTTP, FTP
• Les attaques sur l’information
– L’écoute de données communiquées sur le réseau
– La modification des données communiquées sur le réseau
• Les attaques sur les systèmes
– Le vol de mot de passe
– L’accès aux fichiers et répertoires sans autorisation

Attaques Réseaux: Risques
• Usurpation pour la Compromission
de l’information échangée
Flux normal
• Ajout, altération ou destruction
de l’information échangée
• Interruption de service réseau source destination
mascarade
interception
modification interruption

Attaques Réseaux: Menace
• Accidentelles ou Intentionnelles
– Passives
• Pas de modification du contenu de l’information
une ligne de transmission, capture de signaux hertziens, etc)

– Actives
• Modification du contenu de l’information ou du
comportement des systèmes de traitement
données

Les catégories de menaces (1/3)
• La collecte d’information: Recherche des ports ouverts
pour déterminer la structure du réseau.
rechercher des données en texte clair (mots de passe

non codés, informations de configuration…)
identification volée ou une fausse adresse IP pour

accéder au système en tant qu’utilisateur ou hôte
légitime.
serveur en lui faisant croire que l’hôte connecté est

légitime.

• Le Tampering (falsification de données): Consiste à
modifier les données, soit directement sur les machines,
soit par interception puis modification et renvoi des
paquets.
rendre un système ou une application indisponible par

l’envoi d’un flot de données/requêtes sur un serveur afin
d’utiliser toutes les ressources disponibles du système.
• Le flooding et le TCP/SYN flooding : Consiste à envoyer
très rapidement de gros paquets de données afin de
saturer la bande passante ou de la mémoire.

• Le mail bombing : Consiste à envoyer plusieurs milliers
de messages identique sur une Boite à Lettres pour la
saturer.
sollicité, générant des gaspillage de ressources (perte de

temps, engorgement de la bande passante, pièces
jointes dangereuses…).
demandant de se connecter à un faux site pour mettre à

jour des informations le concernant.

Partie I
Les attaques par

Déni de Service
(DoS)

Déni de Service: Introduction
• Dans la perspective des trois principaux domaines de la
sécurité, à savoir la confidentialité, l'intégrité et la
disponibilité, les attaques DoS sont dirigées contre le
3ème élément: La disponibilité
de l'ordinateur par l'envoi d'informations en trop grande

quantité, au crash de la machine par l'envoi des données
inattendues.
utilisées et possible des mois, voire des années après

leur découverte :
– Solution non-encore disponible ou non déployée

Déni de Service: Principe
• Rendre le service inopérant en exploitant
(continuellement) une faille dans le réseau, le système,
le service ou l’application ou en détruisant des
informations
vue de saturer le système d’une machine cible. Cette

méthode d’attaque se nomme aussi Flooding car il s’agit
d’inonder un système pour le noyer sous le flot
d’information.
mémoire, etc) pour rendre le service lent ou indisponible

• Le but est d’empêcher la cible d’accomplir sa tâche
habituelle. L'utilisateur légitime ne peut pas alors
accéder aux informations dont il a besoin.
Types de dénis de services
• Attaque depuis une seule source (mono-source) ou
attaque « mutualisée » ou multi-sources (Distributed
DoS, DDoS) depuis un grand nombre de sources
distribuées
(« stepping stone ») pour :

– Masquer la source
– Rendre le filtrage de la source impossible

– Faire croire qu’un « concurrent » attaque

Taxonomie des attaques DOS et DDOS
• Attaque DOS par saturation («flooding DOS»)
service est toujours fonctionnel, mais ses ressources sont

saturées par l’avalanche de fausses requêtes.
• Attaque DOS par vulnérabilité («crippling DOS»)
– Une attaque DOS par vulnérabilité se sert d’une vulnérabilité au
niveau du code de la ou des machines ciblées qui fait en sorte
qu’après avoir reçu une ou plusieurs requêtes malignes, le
service ne soit plus du tout disponible, p.ex. parce que le logiciel
fournissant le service a «planté».

Attaques DoS Simples

Déni de Service: Attaques simples
• Quelques Méthodes:
– TCP SYN Flooding
– UDP Bombing
– Email-Bombing

TCP SYN Flooding
• Exploite le protocole d'initialisation de connexion TCP
• SYN flood
– Envoi en grand nombre de paquets TCP SYN avec des adresses
aléatoires (IP spoofing) ou à partir de plusieurs machines
(DDoS)
• Utilisation de combinaisons de drapeaux
(FIN/SYN/RST/PSH/ACK/URG)
– Le serveur renvoie des SYN/ACK et maintient les connexions

ouvertes
• Exemple applicatif : attaques de serveurs Web

TCP SYN Flooding

TCP SYN Flooding
• Effet:
• La victime perd partiellement ou totalement ses
ressources (ralentissement des opérations ou fin des
opérations).
• saturation si débit d’envoi < temps de demi-connexion.
• Parade :
– réduction du timer,
– augmentation du nombre de connexions semi-ouvertes,

– désactivations des ports inutiles,

UDP bombing
• Faire conserver deux ports qui générent du trafic (ex:
chargen port 19, echo port 7)
le port 7 de la deuxième victime

• Effets :
celle-ci se dégradent
la congestion du réseau
• Parades :
(DNS)

Email Bombing/Spamming
• Le spamming désigne l'action d'envoyer un message non
souhaité et dérangeant - appelé "spam" - à une personne
promotionnel ou publicitaire.
système de messagerie électronique ou de traitement

automatisé de données destiné à exposer délibérément et
utilisateurs à des messages ou à des contenus non

pertinents et non sollicités couramment appelés "spams“.
instantanée, SMS, forum, moteur de recherche, etc.), de

même que le nombre de messages envoyés par le
• Le mailbombing est une technique d'attaque basique qui
consiste à envoyer des centaines, des milliers voire des
dizaines de milliers de messages appelés "mailbombs" à
un unique destinataire, dans un but évidemment
malveillant.
potentiellement accompagnés de fichiers volumineux

selon que l'objectif est une attaque DoS du serveur de
messagerie ou la saturation de la boîte aux lettres de la
victime.
le mailbombing, et sont ainsi capables de s'envoyer en

plusieurs centaines d'exemplaires à la même personne en
un temps réduit.

Email Bombing: Dark Mail Bomber
• La possibilité d'attacher
une pièce jointe est une
sérieuse menace,
puisqu'elle permet à
l'expéditeur d'insérer
virus et troyens dans les
messages.

• Effets :
– crash du serveur de messagerie
– indisponibilité du serveur, des ressources physique, et

de l’entrée syslog
• Parades :
– filtrage,
– proxy

Buffer Overflow
• Attaques sur les OS multitâches (unix, WNT)
• Pour obtenir des droits d’accès privilégiés
• Processus en mémoire: zones (code ou texte, données, pile)

• La pile est allouée de façon dynamique:
– variables locales et pointeur sur l ’adresse retour après exécution
• Appel à une fonction qui fait déborder la pile
• Adresse retour réécrite par ce procédé
• Effet :
• Parades:
– vérification du remplissage des tampons,
–
fonctions vulnérables: copie et concaténation)

Déni de Service: Attaques « par
amplification » ou « par réflexion »
• Attaque « simple », mais amplifiée (facteur 10-1000:1) et/ou « par
rebond » (facteur 1 pour 1) :
– smurf, clients/serveurs P2P, serveurs DNS, implémentations TCP aux NSI
(ISN) prévisibles, etc.
Attaquant Victime
Ensemble amplificateur
Hôte
compromis

Smurf
• Utilisation d’un serveur de diffusion
• Mascarade d’une adresse IP
Envoi d’une commande type ping ou echo vers une
adresse broadcast dont l’adresse source est celle de la
• Chaque machine du réseau de diffusion envoie une

requête réponse à l’adresse falsifiée => saturation de la

Smurf
• Etapes clefs :
– L’utilisateur malveillant envoie de nombreuses requêtes ICMP à
l’adresse de diffusion.
de diffusion entrant.
qui répondent. On pourrait arriver au même résultat en utilisant

de nombreux sites intermédiaires plus petits.
précis, elle doit être susceptible d’être débordée par un nombre

de paquets trop grand pour la bande passante supportée. Il est
Internet avec suffisamment de trafic, mais les connexions lentes

sont bien sûr plus vulnérables.

Smurf: Illustration

Fraggle
• Fraggle est une variante de l'attaque Smurf. Il
utilise des paquets d'écho UDP à la place de
paquets de requête d'écho ICMP.
• Effet de Smurf et Fraggle:
• Parades :
– OS: ne pas répondre pour des adresses broadcast

Smurf: Amplificateurs Smurf
• Etant donné le grand nombre de machines
connectés à Internet et le manque de sécurité qui
elles peuvent servir d'amplificateur Smurf (smurf

amplifier).
les requêtes d'écho ICMP et autorise l'envoi des

répliques d'écho ICMP.
d'amplificateur Smurf a été publiée à l'adresse:

http://www.pulltheplug.com.
Smurf: Amplificateurs Smurf

Les réseaux de zombies
(botnets)

Les botnets: Historique
• Les premiers bots furent programmés pour automatiser d'ingrates
tâches d'administration sur des gros serveurs publics IRC, comme
respectueux de la Netiquette.
• Le terme botnet désigna par la suite tout simplement un réseau

de bots (robot network) EggDrop œuvrant de concert.
construites sur la base d'EggDrop ou de clients IRC détournés de

leur utilisation première.
lancer contre un serveur IRC une attaque en déni de service pour

venger une expulsion mal vécue.

Les botnets: Principe
• Les Botnets réutilisent la technologie existante: IRC
(Internet Relay Chat)
Botnet Controller (Attacker)
Attack Commands
Botnet:
Attack Actions
Victim

Les botnets: Composants d’un Botnet
• Nœud(s) maître(s) : ce sont les super-utilisateurs du
botnet appelé botmaster ou bien encore botherder. On
classe dans cette catégorie les utilisateurs physiques
mais aussi les composants logiques (machines et
logiciels) utilisés pour administrer le botnet ;
service et distribuent la charge utile du botnet ;
gérer le botnet.

Les botnets: Les bots – RoBots
• On appelle bot le logiciel (sous forme d’un code
dormant) installé sur chaque machine du botnet à
appelée zombie, agent ou drone.
grâce à ce code (lancement d’un spyware, attaque de

déni de service, propagation de virus, spam, phishing,
• L’ordinateur infecté devient un véritable zombie aux

ordres de l’attaquant.

Les botnets: Les bots IRC
• Les bots IRC « inoffensifs » sont déclenchés et contrôlés
par des commandes données dans un «CHANNEL» par
• Les bots IRC malicieux sont exécutés sur des systèmes

piratés. Le bot malicieux se connecte automatiquement
botnet; le système peut dès lors être piloté à distance par

l'IRC command master.

Les botnets:
Caractéristiques d’un Bot IRC
• Les systèmes impliqués sont en général tous piratés, y
compris les Command Masters.
• peut avoir plusieurs Command Masters.
• Les bots peuvent utiliser des noms différents pour se
machine)
• de passe est en général nécessaire pour
rejoindre un CHANNEL IRC.
•
– Bonne bande passante (débits élevés)
– Haute disponibilité (rarement arrêtés)
Les botnets: Exemple d'un botnet IRC

Les botnets: Vecteurs d'attaques
• Les vecteurs d'attaques des botnets sont classiques:
Vulnérabilités connues.
– Vulnérabilités pas encore connues ou corrigées (0-day
– Partages ouverts (open shares).

–
Facteur humain:
• Clic sur une pièce jointe.
•
– Social engineering.

Les botnets: La propagation d’un Bot
1. L’utilisateur est infecté à son insu via Internet
2.
Télécharge potentiellement des fonctions
supplémentaires
4. Le bot se propage sur d’autres machines
Command
Source
Sourceof Serveur Additional
Autres
& Control
deInfection
l’infection de Contrôle Payload
Postes
Server

Attaques DoS Distribuées

DDoS: Attaques « mutualisée »
• Plusieurs sources coordonnées pour inonder un récepteur (DOS
distribué ou DDOS)
• Fréquemment une seule cible
Agent Victime(s)
Attaquant
maître
Ensemble d’agents esclaves
Hôte
compromis
Tiers non impliqués

Exemple d’une attaque DDOS
Demande maître esclave
d’attaque Demande
d’attaque Attaque
Attaquant
1.34.150.37 Attaque
Demande
d’attaque
Demande
d’attaque esclave
Attaque
Demande
d’attaque
maître esclave

Déni de Service: Détection
• Définissez des métriques et modélisez le comportement
(a)normal de vos réseaux, systèmes et applications
• Au niveau réseau
– De nouveaux flux SMTP et/ou HTTP
– Taille et fragmentation des paquets
– Charge de la ligne réseau
• Au niveau système/applicatif
– Pare-feu, xIDS, NMS
– Journaux
– Tables d’état (« état » des sessions TCP par exemple)

Partie II
Ecoute sur un réseau

(Sniffing)

Sniffing ou eavesdropping
• Sniffing ou reniflement de paquets
– Ecoute des données sur un réseau
• Écouter une ligne par laquelle transitent des paquets de

données pour récupérer à la volée (et illégalement) les
par exemple le mot «password»...)

• Ex : C sniffe les paquets de B
A C
src:B dest:A payload

B

Authentifications vulnérables à
• telnet (port 23)
FTP (port 21)
• HTTP (port 80)
• IMAP (port 143)
• Rexec (port 512)

rlogin (port 513)
• X11 (port 6000+)

Techniques d'écoutes réseau
• Il existe deux techniques d'écoute:
– Ecoute passive (passive sniffing):
Ecoute à travers un HUB
Ecoute à travers un Switch

Ecoute passive
• Les ordinateurs étaient connectés via un média partagé
(HUB).
totalité du trafic était visible par chacun.

Les sniffers: Définition
• Un sniffer est un outil qui surveille un réseau informatique
en vue de trouver des informations susceptibles
• Ces informations sont généralement relatives à

l'authentification (les noms des utilisateurs et les mots de
d'accéder à des ressources.
instantanées, fichiers échangés, …

Les sniffers: Principe (I)
• Lorsque du trafic réseau entre dans une machine, il est
tout d'abord pris en charge par le pilote Ethernet. Celui-ci
TCP/IP, laquelle les envoie aux applications.
niveau du matériel, de manière à ce que l'ordinateur relié

ne voit que le trafic qui lui était destiné et non pas celui

Les sniffers: Principe (II)
• Un logiciel de sniffing désactive le filtrage au niveau du
matériel et met la carte réseau dans un mode appelé

Outils de sniffing: TCPDump
• TCPDump est l'outil de diagnostic et d'analyse réseau sous
UNIX le plus populaire.
UDP et ICMP, ainsi que certaines données de la couche

application.
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
22:00:11.625995 IP (tos 0x0, ttl 128, id 30917, offset 0, flags [none], proto: UDP (17), length:
81) 192.168.1.2.1034 > valve-68-142-64-164.phx3.llnw.net.27014: UDP, length 53

22:00:26.201715 arp who-has 192.168.1.2 tell 192.168.1.1

Outils de sniffing:
Commandes TCPDump

Outils de sniffing: WireShark
• WireShark est un analyseur réseau (sniffer) pour
UNIX et Windows, c'est-à-dire un logiciel capable
de capturer les paquets de données circulant sur le
réseau et ce, de manière totalement transparente.

Outils de sniffing: WireShark

Outils de sniffing:
Display Filters in WireShark

Outils de sniffing
WireShark - Suivi du flot TCP
• Exemple de suivi du
flot TCP.
les mots de passe

d'une session telnet,
• Il permet également de
surveiller une session
sortie dans un fichier.

Ce qui permet plus
pages HTML et de les

consulter hors ligne.
Outils de sniffing:
WireShark - Suivi du flot TCP

Ecoute active
• De nos jours, de plus en plus d'ordinateurs sont reliés par
des commutateurs.
ces commutateurs filtrent le trafic eux-mêmes, ce qui

empêche de voir le trafic des autres, même en mode de
• En conséquence, les pirates doivent attaquer le dispositif

commutateur/routeur afin de rediriger les flux de trafic ou
ont compromis.

Ecoute active

Ecoute active: Types d’Attaque

Rappel sur le protocole de résolution
d'adresses (ARP)
Le protocole ARP (Address Resolution Protocol):
48 bits encodé à l'usine;
datagramme, l'ordinateur source transmet une trame à

diffusion générale demandant à qui l'adresse IP spécifique
• l'ordinateur en question
répond alors à cette
numéro de carte
Ethernet.
Rappel sur le protocole de résolution
d'adresses (ARP)
• Utiliser un cache pour conserver les adresses
Ethernet des machines les plus souvent accédées.
d’adresses au démarrage  permet la mise à jour
réseau (réponse si une autre machine possède

déjà la même adresse IP).

ARP spoofing: Principe
• Pour nombreux systèmes d'exploitation, il est possible
de modifier le cache ARP.
l'adresse IP de la passerelle par défaut.
de l'hôte cible vous est transmis.

ARP spoofing (ou ARP Poisoning)
• Répondre à une trame ARP who is? Par une trame ARP
reply avec une adresse MAC qui ne correspond pas à
• Possibilité de prendre en compte un ARP reply sans qu’il

y ait eu auparavant de ARP who is?
– Modification du cache ARP
requêtes
• Effets :
– redirection du trafic

ARP spoofing: Illustration

ARP spoofing: Explication
1. Les cibles A et B s'échangent des informations
normalement
2. une requête ARP empoisonnée
3. La cible B met à jour sa table de correspondance
s'adresser à la cible A
5.
en mettant sa réelle adresse MAC source afin de
s'assurer de recevoir les réponses

ARP spoofing: Menace
• En utilisant des faux messages ARP, un pirate peut
intercepter tout le trafic qui s’échange entre deux
• Quelques menaces de l’empoisonnement ARP:

Attaque d’un réseau en utilisant un
Sniffer

Outil de ARP Spoofing: Ettercap

Outil de ARP Spoofing: Cain and Abel

Commutateur: Principe
• Les commutateurs possèdent une liste interne des
adresses MAC des hôtes affectés à chaque port.
destinataire est signalé comme étant présent sur ce

port.
– CAM = Content Addressable Memory

– Une table ayant une taille fixe
physique du switch ainsi que les paramètres du VLAN associé.

Commutateur: Mode de
fonctionnement

Saturation MAC (MAC Flooding)
• Cette attaque est basée sur l'envoi massif de requête
et réponse ARP.
différente, ainsi les différents Switchs du LAN vont

apprendre cette correspondance entre l'adresse MAC
• Avec un envoi massif, le Switch saturera rapidement sa

mémoire qui est limitée.

Saturation MAC (MAC Flooding)
• Le résultat dépend du constructeur, de l'équipement et
de la version:
(cette conséquence n'est plus réaliste de nos jours)
de trame
d'effectuer de l'écoute.
• Le commutateur envoie des copies des trames destinées à la nouvelle
adresse MAC sur tous ses ports;

Saturation MAC: Illustration

Saturation MAC: Explication
1. Les cibles A et B s'échangent des informations
normalement
2.
adresses MAC différentes
3.
jusqu'à saturation de la mémoire
4. des informations, mais
le pirate les reçoit aussi du fait que le Switch

Outils de Saturation MAC: Macof

DHCP: Rappel
• Le Dynamic Host Configuration Protocol permet à un
système d’obtenir sa configuration réseau afin qu’il
– Adresse IP, Masque du réseau, Routeur par défaut, Serveur

DHCP, Serveur DNS
• Le protocole est encapsulé dans le protocole IP.

DHCP: Messages

Attaques DHCP: DHCP Starvation
• Épuisement des adresses IP – DHCP Starvation
• Vulnérabilité: Les requêtes DHCP ne sont pas
• Menace: L’attaquant inonde le serveur DHCP.

L’attaquant inonde le serveur avec des messages DHCP
Request afin de réserver toutes les adresses IP disponibles.
• L’attaquant se doit d’utiliser de nouvelles adresses MAC pour chaque
requête.
• Risque:
Dénis de service.

Attaques DHCP: DHCP Starvation

Attaques DHCP: Faux serveur DHCP
• Vulnérabilité: Les requêtes DHCP ne sont pas
authentifiées.
• L’attaquant personnifie le serveur DCHP.
– L’attaquant répond avec un DHCP Offer afin de fournir de
fausses indications à l’usager.
• Fausses adresses IP et réseau
• Faux routeur par défaut
L’adresse de l’attaquant si celui veut voir tout le trafic de la victime.
• Faux serveur DHCP
– L’attaquant a peut-être effectué un déni de service sur le
serveur légitime afin qu’il n’interfère pas avec cette attaque.


Attaques DHCP: outil de DHCP
Starvation - Gobbler

• Risque:
Dénis de service.
– (p.ex. mots de passe)
qui ne devraient pas être envoyées sur un port.
• Contre-mesures
Certains commutateurs CISCO offrent la fonctionnalité
DHCP Snooping permettant de déterminer quel port peut
• Limite l’impact de l’attaque.

Attaques DHCP: Contre-mesures
• Contre-mesures:
Limiter le nombre d’adresses MAC permises sur un port
donné.
– L’accès à un port n’est permis
qu’après une authentification.

Outils d'écoute pour les pirates: dsniff
• Dsniff comprend un ensemble d'outils dédiés au sniffing
écrits par Dug Song.
• surtout connu pour ses capacités d'interception
des paquets d'authentification (noms d'utilisateur et mots
– AOL Instant Messenger, Citrix, FTP, HTTP, ICQ, IMAP, IRC, LDAP, NNTP,
Oracle, OSPF, POP, PostgreSQL, RIP, rlogin, SMB, SMNP, Socks, telnet,
X11, …
• Avec les réseaux commutés et les protocoles chiffrés
actuels, l'espionnage de mots de passe ne fonctionne pas
toujours aussi bien qu'on pourrait le souhaiter. Dsniff
type MITM qui permettent de rediriger le flux du trafic et de

déchiffrer des sessions.
Outils d'écoute pour les pirates:
dsniff

Outils d'écoute pour les pirates:
dsniff

SPAN port d’un switch
• Un span port est un port configuré pour recevoir une copie de
chaque paquet qui passe à travers le switch

Détection et Protection

Mesures de protection
• Restreindre et contrôler l'accès physique au réseau
pour éviter l'installation d'un sniffer par un attaquant.
• des communications
– IPSec pour l'échange dans un canal sécurisé
– SSH au lieu de telnet
– PGP et S/MIME pour le chiffrement des e-mail

• Utilisation des commutateurs pour éviter les écoutes
passives.
•
• Utilisation de IPv6
Mesures de protection: Port Security
• Le Port Security (sécurité de port) est une
fonctionnalité de sécurité disponible sur certains
switchs.
• va permettre aux équipements possédant seulement
certaines adresses MAC de se connecter aux ports
d'un switch. Au cas où une machine n'est pas
autorisée, le switch peut prendre des actions comme
alerter l'administrateur par une trap SNMP ou
désactiver le port immédiatement.
•
n'empêche pas l'usurpation ARP mais la possibilité
pour le pirate de se connecter au réseau.

• Par exemple, il est possible:
De n'autoriser qu'une liste d'adresses MAC prédéfinie par
port.
mac-address H.H.H
– un filtre sur le nombre de correspondance
maximum par port. 3 modes existent qui sont "protect",

• Ci-dessous, un exemple avec un switch Cisco sur lequel
le premier port (FastEthernet 0/1) est configuré en tant
que port-security:
Switch# configure terminal
Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security violation shutdown
• Le port du switch va accepter seulement une seule et

unique MAC adresse et cette MAC adresse sera la
première vue par le port du switch (mot-clef "sticky").
Si le port du switch voit une autre adresse MAC sur son
premier port, elle va immédiatement désactiver le
port.

Mesures de protection: ARP STATIQUE
• La mise en place d'ARP statique signifie que vous
configurez manuellement les correspondances IP-MAC.
MAC va prévenir l'usurpation ARP mais a tout de même

deux gros désavantages:
Cela va générer une grosse charge de travail pour
l'administrateur et n'est pas applicable dans un
environnement où les utilisateurs doivent se déplacer avec
leur portable (Adéquate dans une petite entreprise).
– ARP
comme le "port stealing"

Mesures de protection: ARP STATIQUE

Mesures de protection: DHCP
Snooping & Dynamic ARP Inspection

Mesures de protection: DHCP Snooping
& Dynamic ARP Inspection
• Configuration sur les switches CISCO:

Techniques de détection:
Détection locale
• De nombreux systèmes d'exploitation fournissent un
mécanisme permettant de déterminer si une carte
• Il s'agit d'un indicateur d'état associé à chaque carte

réseau et géré par le noyau.
• UNIX, on peut l'utiliser à l'aide de la commande
ifconfig.
• clé
PROMISC apparaît dans la section des attributs.

Détection locale
• Exemple:
[root@titan ~]# ifconfig
inet addr:10.2.1.100 Bcast:10.2.255.255 Mask:255.255.0.0

inet6 addr: fe80::203:47ff:fe4c:57c1/64 Scope:Link
RX packets:3576939 errors:0 dropped:0 overruns:0 frame:0

TX packets:4648115 errors:0 dropped:0 overruns:0 carrier:0
RX bytes:563051843 (536.9 MiB) TX bytes:1450979251 (1.3 GiB)

Détection réseau
• Il existe plusieurs techniques, plus ou moins fiables,
destinées à déterminer si un hôte surveille le trafic
– Résolution DNS
– Latence
– Utilisation des IDS

Détection réseau: Résolution DNS
• La plupart des programmes de surveillance de
réseaux émettent des requêtes de résolution DNS
hôtes émetteurs et destinataires d'une connexion

réseau.
•
surveillance consiste à générer une fausse
connexion réseau à partir d'une adresse qui n'a
• Il suffit ensuite de surveiller le réseau et d'observer

les requêtes DNS qui tentent de résoudre la fausse
– cela permet de détecter l'hôte qui fait de l'écoute.
Détection réseau: Latence
• Un autre procédé peut être utilisé pour découvrir l'hôte qui
surveille le réseau:
– détecter les variations de latence des réponses de cet hôte (c'est-à-dire
faire des commandes ping).
• Cette technique est sujette à caution (la latence d'un hôte
peut être affectée par une opération normale), mais peut tout
• Il faut d'abord sonder l'hôte, puis mesurer les temps de

réponse.
• réseau très important est ensuite généré pour
appâter l'hôte qui scrute le réseau à des fins de recherche
d'informations d'authentification.
• hôte est de nouveau mesurée afin de
déterminer si elle a changé de manière significative.

OUTILS DE SURVEILLANCE: ARPWatch
• Arpwatch est un outil pour surveiller l'activité ARP sur
un réseau et particulièrement lorsqu'un changement
dans l'association de correspondances adresse IP -
adresse MAC.
•
MAC Ethernet vues sur le réseau, avec leur(s)
adresse(s) IP associée(s).
• envoie un mail (à l’utilisateur root mais cela est
paramétrable avec l’option -m) à chaque fois qu’une
nouvelle machine (identifiée par son adresse MAC) se
branche sur le réseau.
• cette raison, il peut être utile pour détecter de
attaques ARP comme l'usurpation ARP (ARP spoofing)
et peut alerter l'administrateur par mail en cas
d'activités ARP suspicieuses.
Système de détection d'intrusion
• Un système de détection d'intrusion comme l'IDS
Snort peut détecter des activités ARP anormales et
• Snort peut être lancé en quatre modes:

mode sniffer: Snort va lire le trafic réseau et le montrer à
l'écran.
– logger: Snort va enregistrer le trafic réseau sur
un fichier.
– mode IDS: le trafic réseau correspondant aux règles de
– mode IPS: aussi connu sous le nom de Snort-Inline (IPS=

Intrusion Prevention System)

Partie III
Les attaques par usurpation

(Spoofing)

Les types d’usurpation
• L’usurpation de l’adresse IP: Un attaquant se sert de
l’adresse IP d’un autre ordinateur pour se procurer des
informations ou obtenir un accès.
e-mail semble provenir de Fréderic mais qu’en fait,

Fréderic n’a pas envoyé l’e-mail. Quelqu’un s’est servi de
son adresse pour envoyer ce courrier.
pour le commerce en ligne. Afin d’acheter sur les sites

commerciaux, les gens doivent s’identifier. Le risque
d’usurpation surgit à chaque fois qu’il est question de
relation d’approbation.
concentre sur la compromission de l’élément humain

dans une entreprise. L’attaquant a recours aux
techniques de l’ingénierie sociale.
IP Spoofing: Illustration

Utilité de l'IP Spoofing
• Cette attaque peut être utilisée de deux
manières différentes :
la source d'une attaque. Par exemple, lors d'une
attaque de type déni de service, l'adresse IP source
localiser la provenance de l'attaque.
profiter d'une relation de confiance entre deux

machines pour prendre la main sur l'une des deux.

Blind Spoofing
• Il existe plusieurs types d'IP Spoofing. La première est
dite Blind Spoofing, c'est une attaque "en aveugle".
les paquets réponses iront vers cette adresse.

• Il sera donc impossible
à l'attaquant de
récupérer ces
paquets.

DNS: Rappel

DNS Spoofing
• Lorsque vous allez sur un site Web tel que
http://www.google.com, votre ordinateur envoie une
requête à votre serveur DNS local pour lui demander
• Cette requête demande habituellement un certain délai

pour être résolue; un outil comme dnsspoof en profite
• La victime prend la première réponse et ignore la

seconde.
de la machine de l'attaquant.
DNS Cache Poisoning
• Pour mener à bien une attaque par empoisonnement
de cache, l'attaquant exploite une vulnérabilité du
incorrectes.
qu'il ne vérifie pas qu'elles proviennent d'une source

fiable, alors il stockera dans son cache ces informations
• Il les transmettra par la suite aux utilisateurs qui

effectuent la requête visée par l'attaque.

Email spoofing
• Description :
il aboutit toujours au même résultat.
personne alors qu’il est réellement envoyé par une autre

personne
avec une adresse expéditeur choisie au préalable.

– Exemple :
• Un email qui semble être envoyé par l’administrateur du serveur de
messagerie qui incite le destinataire à changer son mot de passe en une
=> Email
spoofing est ainsi une technique d’attaque du type «social
engineering»: capter des mots de passe ou autre information de

Email spoofing
• Cette attaque est facile à réaliser
des messages) ne permet pas l’authentification de

l’expéditeur
– Pas de garantie d’intégrité de message: Toute personne

interceptant le message peut en modifier le contenu
• N’importe qui peut se connecter à un serveur SMTP via
des commandes pour réaliser cette attaque

Email spoofing
• Il existe trois grandes techniques permettant d'envoyer
des e-mails aux adresses usurpées:
– La modification de la configuration du logiciel courrier client.

– L'utilisation de similarités dans les adresses.

Email spoofing
• Connexion telnet sur le port 25
telnet mail.yourdomain.com 25
Trying 64.26.21.198...
Connected to mail.yourdomain.com.
Escape character is '^]'.
220 mail.yourdomain.com ESMTP Sendmail 8.9.3/8.9.3; Tue, 27
Aug 2002 16:20:32 -0500
ehlo myhost.mydomain.com
pleased to meet you

250-8BITMIME
250-SIZE 10000000
250-DSN
250-ONEX
250-ETRN
250-XUSR
250 HELP
Email spoofing
• Connexion telnet sur le port 25 (Suite)
mail from: someone@mydomain.com
rcpt to: person@somewhere.com
data
To: John Thomas <person@somewhere.com> Optional

From: Jane Smith <someone@mydomain.com> Headers
Subject: Testing SMTP Mail Relay
Dear John
This is the body of the message.
.
quit
221 mail.yourdomain.com closing connection
Connection closed by foreign host.
Email spoofing
Modification d’un client connu

Email spoofing
• L’utilisation de similarités dans les adresses e-mail:
– L’attaquant commence par se procurer le nom d’un responsable
de l’entreprise
• De nombreuses entreprises affichent leur organigramme sur leur site
Web.
– L’attaquant peut enregistrer une adresse e-mail affichant le nom
et le prénom de ce responsable
• Il se rend sur un site offrant des e-mails gratuits comme hotmail et
s’enregistre comme utilisateur du nom du responsable (exemple Frédéric
Frédérico )
(F. Frederico, Frederic.frederico, …)

Email spoofing
• L’utilisation de similarités dans les adresses e-mail (Suite):
– Le plus important est que le champ Alias de l’e-mail, le nom
complet (exemple Frédéric Frédérico ) soit mentionné.
envoyer un courrier à un employé avec cette adresse. Dans le

corps de l’e-mail, il peut lui demander de lui envoyer la liste des
clients par exemple.
l’employé voit uniquement ce qu’affiche le champ et qu’il

n’aperçoive même pas l’adresse e-mail. Même s’il contrôlait
l’adresse, il s’apercevrait qu’elle est apparemment correcte.

Email spoofing

Email spoofing
• Effets :
sensible)
• Parades :
configuration du mail delivery deamon

Web spoofing
• Attaque de type man in middle: le serveur de l’attaquant détourne
les requêtes HTTP de la victime
• Initialisation de l ’attaque:
– l’attaquant amène la victime à visiter son site (par email ou par sa figuration
dans une indexation d ’un moteur de recherche)
– Ce java script détourne toutes les requêtes de la victime vers l’attaquant

• Effets :
– surveillance de l’activité de la victime, et vol de données
– altération des données,
• Parades :
– désactivation de javascript
proxy : repère et refuse des échanges HTTP avec réécriture des URL

Sodapdf

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sodapdf

Transféré par

Droits d'auteur :

Formats disponibles

AKHAM Omar

Formation PIRATAGE ETHIQUE 2

Formation Transfer - PIRATAGE ETHIQUE 3

Formation PIRATAGE ETHIQUE 4

Formation PIRATAGE ETHIQUE 5

une ligne de transmission, capture de signaux hertziens, etc)

Formation PIRATAGE ETHIQUE 6

rechercher des données en texte clair (mots de passe

identification volée ou une fausse adresse IP pour

serveur en lui faisant croire que l’hôte connecté est

Formation PIRATAGE ETHIQUE 7

rendre un système ou une application indisponible par

Formation PIRATAGE ETHIQUE 8

sollicité, générant des gaspillage de ressources (perte de

demandant de se connecter à un faux site pour mettre à

Formation PIRATAGE ETHIQUE 9

Les attaques par

Formation PIRATAGE ETHIQUE 10

de l'ordinateur par l'envoi d'informations en trop grande

utilisées et possible des mois, voire des années après

– Solution non-encore disponible ou non déployée

Formation PIRATAGE ETHIQUE 11

vue de saturer le système d’une machine cible. Cette

mémoire, etc) pour rendre le service lent ou indisponible

(« stepping stone ») pour :

– Rendre le filtrage de la source impossible

Formation PIRATAGE ETHIQUE 13

service est toujours fonctionnel, mais ses ressources sont

Formation PIRATAGE ETHIQUE 14

Formation PIRATAGE ETHIQUE 15

Formation PIRATAGE ETHIQUE 16

– Le serveur renvoie des SYN/ACK et maintient les connexions

Formation PIRATAGE ETHIQUE 17

Formation PIRATAGE ETHIQUE 18

– augmentation du nombre de connexions semi-ouvertes,

Formation PIRATAGE ETHIQUE 19

le port 7 de la deuxième victime

Formation PIRATAGE ETHIQUE 20

système de messagerie électronique ou de traitement

utilisateurs à des messages ou à des contenus non

instantanée, SMS, forum, moteur de recherche, etc.), de

potentiellement accompagnés de fichiers volumineux

le mailbombing, et sont ainsi capables de s'envoyer en

Formation PIRATAGE ETHIQUE 22

Formation PIRATAGE ETHIQUE 23

– crash du serveur de messagerie

– indisponibilité du serveur, des ressources physique, et

Formation PIRATAGE ETHIQUE 24

• Processus en mémoire: zones (code ou texte, données, pile)

Formation PIRATAGE ETHIQUE 25

Formation PIRATAGE ETHIQUE 26

• Chaque machine du réseau de diffusion envoie une

Formation PIRATAGE ETHIQUE 27

qui répondent. On pourrait arriver au même résultat en utilisant

précis, elle doit être susceptible d’être débordée par un nombre

Internet avec suffisamment de trafic, mais les connexions lentes

Formation PIRATAGE ETHIQUE 28

Formation PIRATAGE ETHIQUE 29

• Effet de Smurf et Fraggle:

– OS: ne pas répondre pour des adresses broadcast

Formation PIRATAGE ETHIQUE 30

elles peuvent servir d'amplificateur Smurf (smurf

les requêtes d'écho ICMP et autorise l'envoi des