Beruflich Dokumente
Kultur Dokumente
COM
F R A M E I P. C O M
Partage des connaissances du monde TCP/IP
(https://www.frameip.com/)
Sommaire [Masquer]
https://www.frameip.com/dos-attaque-deny-of-service/ 1/8
15/10/2018 Attaque DOS (Deny of service) - FRAMEIP.COM
https://www.frameip.com/dos-attaque-deny-of-service/ 2/8
15/10/2018 Attaque DOS (Deny of service) - FRAMEIP.COM
Il faut donc essayer se protéger au mieux de certains comportements anormaux, ce qui implique
notamment la vérification de l’intégrité des paquets, la surveillance du trafic, établissement de profils types
et de seuils… On est donc loin de la protection absolue, mais il est tout de même possible de se protéger de
façon intelligente et flexible.
https://www.frameip.com/dos-attaque-deny-of-service/ 3/8
15/10/2018 Attaque DOS (Deny of service) - FRAMEIP.COM
Ping Flood est la plus répandu des attaques par déni de service, car de nombreux particuliers et amateurs
s’amusent simplement à pinguer un host distant. Et bien sur, ils se font plaisir en ajoutant les options
permettant d’augmenter la cadence au maximum. Cependant, Microsoft à limité les options de son Ping
obligeant ainsi à attendre une seconde entre chaque Ping. Ca permet d’éviter aux particuliers de s’amuser
avec cette attaque, mais il faut être réaliste, Windows n’est pas le seul OS et Ping.exe
(http://www.frameip.com/pingicmp/) n’est pas la seule application …
Pour se protéger, il est donc possible de jouer sur ces valeurs afin d’accepter plus de sessions et d’être plus
réactif sur la durée d’attente. Cependant, le fait de modifier ces valeurs peux engendrer un impact de
performance local. De plus, cela ne fait que repousser les limites que l’attaquant se fera un malin plaisir à
atteindre.
Les SynCookies représente une solution technique relativement efficace. Sur le même principe que les
cookies HTTP, le serveur sollicité renvoie un cookie crypté dans le SYN/ACK, puis il efface l’entrée de sa file
d’attente. Si c’est un client régulier il lui renverra un ACK, dont on peut déduire le cookie et reconstitué
ainsi l’entrée dans la file d’attente. La problématique de cette technique est que tout le monde
n’implémente pas ce mécanisme provoquant ainsi des problèmes de compatibilité.
On notera aussi que l’implémentation d’IPSec (http://www.frameip.com/ipsec/) dans IPv6 rendra les ces
attaques DOS difficiles. IPv6 (http://www.frameip.com/entete-ipv6/) compliquera aussi la taches des
pirates par le nombre d’adresses à scanner et par l’affectation unique d’une IP qui augmentera leur
traçabilité.
Vous trouverez sur ce lien web (http://www.frameip.com/saturation-de-syn/) un exemple d’outil
permettant de réaliser cette attaque DOS.
https://www.frameip.com/dos-attaque-deny-of-service/ 4/8
15/10/2018 Attaque DOS (Deny of service) - FRAMEIP.COM
La méthode générale de cette attaque DOS consiste à saturer un service distant en montant un plus grand
nombres de connexions TCP que peut en supporter la cible. Cela ressemble beaucoup à l’attaque SynFlood
excepté le fait qu’elle se base sur le montage complet d’une session TCP (SYN – SYN/ACK – ACK). La
conséquence pour la cible est de plus pouvoir accepter aucune session TCP
(http://www.frameip.com/entete-tcp/) supplémentaire.
Cette attaque DOS à l’avantage d’être très simple à mettre en oeuvre, mais la faiblesse d’être très
rapidement repéré. La force de cette attaque DOS est son couplage en mode distribué.
Du côté cible, les préconisations afin de tenter de l’éviter sont :
Augmenter le nombre de sessions maximums supportées
Dupliquer la cible afin d’obtenir N fois le nombre de sessions maximums
Mettre en oeuvre des boîtiers de repartissions de charge des sessions TCP
Implémenter une console IDS détectant l’attaque afin de bloquer l’IP attaquante
Vous trouverez sur ce lien web (http://www.frameip.com/smurf/) un exemple d’outil permettant de réaliser
cette variante.
4.3 – Le zombie
Cette variante permet de très bien se cacher en exécutant l’attaque DOS à partir d’une machine distantes
ne nous appartenant pas. Pour cela, il faudra donc pirater et prendre la main d’une machine Internet qui
sera appelé Zombie, d’où l’attaque sera lancée. Ainsi, la cible ne verra que le Zombie dans ses logs et pas
la source réelle du hacker.
https://www.frameip.com/dos-attaque-deny-of-service/ 5/8
15/10/2018 Attaque DOS (Deny of service) - FRAMEIP.COM
C’est une technique est simple à réaliser du fait qu’il existe de nombreuses stations de travail de particulier
sans aucune protection ou presque.
Ce camouflage peux facilement se coupler avec toutes les attaques.
https://www.frameip.com/dos-attaque-deny-of-service/ 6/8
15/10/2018 Attaque DOS (Deny of service) - FRAMEIP.COM
Cinq ans de prison et 35000$ d’amende pour l’Américain Jasmine Singh âgé de 17 ans. Il a été accusé
d’avoir à 5 reprises rendus injoignables les sites Internet Jersey-Joe.com et Distant Replays. Il agissait
pour le compte du propriétaire d’une société concurrente, âgé lui de 18 ans. Les plaignants estimaient le
préjudice à 1,5 millions de dollars. Son mode opératoire était de contrôler des milliers de machines dans le
monde à l’aide d’un Virus et ainsi de les utiliser pour inonder de requêtes les sites visés, les rendant
injoignables.
21 mois de prison avec sursis pour l’Allemand Sven Jaschan âgé de 17 ans. Il a été accusé d’avoir crée le
ver Sasser qui c’est très vite propagé sur la planète entière. L’impact fût un redémarrage massive des
stations de travail et serveurs Windows.
Quatre ans de prison pour les deux Américains New-Yorkais Shaun Harrison âgés de 18 ans et Saverio
Mondelli 19. Ils ont été accusé du piratage d’un site communautaire. La sanction fût lourde face au délit
réel. Ils ont illégalement pénétré sur le site MySpace et demandé une rançon de 150 milles dollars à son
propriétaire.
Huit ans de prison pour un groupe de trois russes. Le 28 juillet 2004, ils ont attaqué le site DoubleClick
entraînant le site de ses clients, qui dépendent de sa technologie pour gérer leurs bannières de publicité.
Leurs sites furent fortement ralentis ou complètement paralysés pendant de longues heures, entraînant
dans son infortune les sites de ses clients, qui dépendent de sa technologie pour gérer leurs bannières de
publicité. Ils ont extorqués plus de 4 millions d’Euros repartis sur plus de 54 sites WEB d’une trentaine de
pays. Cette peine est la plus lourde prononcée en Russie, car la justice a considéré l’affaire comme relevant
de l’extorsion en bande organisée et non du seul piratage informatique.
7 – Demande de rançon
Le déni de service occasionne beaucoup de problèmes repartit dans le monde entier souvent exécuté
aléatoirement pour le fun. Aujourd’hui, les braqueurs de banques n’existent presque plus, mais leurs
remplaçant sont arrivés. On voit donc se profiler de plus en plus d’attaque qui sont ciblées représentant
une nouvelle technique de chantage que bons nombres de pirates exercent maintenant allégrement. En
effet, les sociétés dont la principale activité est basée sur un flux d’information Internet, souvent avec des
sommes importantes en jeu, sont menacées.
Les pirates actuels utilisent donc les attaques par déni de service comme nouvelle arme pour exercer un
chantage contre les sociétés connectés à Internet. Le message est clair « La bourse ou l’exploitation de
votre site ». Il est évident que le ralentissement, voir même le blocage de leurs services pendant quelques
heures, pourrait occasionner de grandes pertes d’argent ainsi que beaucoup de désagréments pour leurs
clients. Ces sociétés ont donc tout intérêt à obéir ou à trouver une parade pour s’en protéger, sans quoi les
menaces seraient mises à exécution et ou pourraient perdurer.
Cette nouvelle arme est maintenant utilisée de plus en plus couramment. Toutes les sociétés gérant de
l’argent sont menacées, aucune n’est à l’abri. Toute société accessible par Internet est ouverte est
potentiellement en danger. On remarque d’ailleurs le nombre d’attaques de ce genre augmente chaque
année.
8 – Conclusion
Il ne faut pas sous-estimer la puissance de ces attaques. De plus, il faut aussi prendre conscience qu’il
existe deux catégories d’individus dangereux sur la planète :
Les bandes organisées sont issues des groupes mafieux, des terroristes et etc.
Les adolescents ou jeunes adultes qui sont inconscients. De plus, ils se sentent rassurés et
protégés du fait d’être dans leurs chambres derrière leurs ordinateurs personnels.
Pour se protéger de ce type d’attaque, il est nécessaire d’investir dans la sécurité interne en créant un
poste ou service dédié au sein de l’entreprise. Leurs deux objectifs principaux devront être la prévention et
le curatif. Le premier sera de mener une veille active sur les nouvelles attaques et vulnérabilités. Le second
objectif, le curatif, devra procéder à un suivi régulier des différentes mise à jour et d’être très réactifs sur la
surveillance des événements relatés en supervision de l’architecture sécurité.
La réalité du risque est donc évidente, dans ce cas, il peut être intéressant de contracter une police
d’assurances couvrant les pertes éventuelles engendrées par une attaque de ce type.
9 – Les vidéos
https://www.frameip.com/dos-attaque-deny-of-service/ 7/8
15/10/2018 Attaque DOS (Deny of service) - FRAMEIP.COM
This talk will outline how to use DDoS vulnerable services to develop a honeypot network that will
extract valuable information from the Internet and produce a data feed that can be used to protect
online assets with Kibana, Elasticsearch, Logstash, and AMQP. The speaker will open-source a
monitoring system (a project his team has been developing for the last two years) for reflective
DDoS statistics that are external to any specific network.
(https://www.frameip.com/dos-
attaque-deny-of-service/?video=278#video-278)
10 – Suivi du document
Création et suivi de la documentation par _SebF
Commentaire et discussion
https://www.frameip.com/dos-attaque-deny-of-service/ 8/8