Beruflich Dokumente
Kultur Dokumente
PLAN
Introduction
Les attaques daccs
Les attaques par saturation
Les attaques de rpudiation
Comment sen protger ?
Conclusion
Introduction:
intentionnels
Panne disque
Le vol
Chute de tension
Lcoute
Echange des cd
infects
La fouille
De rpudiation
Daccs
De
De saturation
modification
Le sniffing :
Le reniflage (en anglais Sniffing) est une technique qui
consiste analyser le trafic rseau.
Cette attaque est utilise par les pirates informatiques
pour obtenir des mots de passe. on peut intercepter
toutes les paquets qui circulent sur un rseau mme ceux
qui ne nous sont pas destin.
Cette technologie nest pas forcement illgale car elle
permet aussi de dtecter des failles sur un systme.
10
11
12
13
Porte drobe :
14
15
16
Comment se protger?
Si le risque zro nexiste pas, voici nanmoins quelques bonnes pratiques
qui limiteront les (mal)chances dtre infect par un Backdoor :
Utiliser un antivirus efficace, et le maintenir jour
Effectuer les mises jour de tous ses logiciels ds quelles sont disponibles
Eviter les liens suspect
17
Lingnierie sociale:
Le terme d' ingnierie sociale dsigne l'art de
manipuler des personnes pour obtenir des informations
sur un systme ou des mots de passe.
L'ingnierie sociale peut prendre plusieurs formes :
Par tlphone,
Par courrier lectronique,
Par courrier crit,
18
Comment se protger?
Il est conseill, quel que soit le type de renseignement
demand :
1. de se renseigner sur l'identit de son interlocuteur en lui
demandant des informations prcises (nom et prnom,
socit, numro de tlphone) .
2. de vrifier ventuellement les renseignements fournis .
3. de s'interroger sur la criticit des informations demandes.
19
20
21
22
TCP/SYN Flooding
L' attaque SYN (appele galement
TCP/SYN Flooding ) est une attaque rseau
par saturation (dni de service) exploitant le
mcanisme de poignee de main en trois
temps (en anglais Three-ways handshake)
du protocole TCP.
23
lethree-way handshake
le three-way handshake se droule en trois tapes :
SYN : Le client qui dsire tablir une connexion avec un
serveur va envoyer un premier paquet SYN
(synchronized) au serveur..
SYN-ACK : Le serveur va rpondre au client l'aide d'un
paquet SYN-ACK (synchronize, acknowledge).
ACK : Pour terminer, le client va envoyer un paquet ACK
au serveur qui va servir d'accus de rception.
24
lethree-way handshake
25
26
27
Comment se protger
la limitation du nombre de connexions depuis la
mme source ou la mme plage d'adresses IP
la libration des connexions semi-ouvertes selon
un choix de client et un dlai alatoire
la rorganisation de la gestion des ressources
alloues aux clients en vitant d'allouer des
ressources tant que la connexion n'est pas
compltement tablie
28
UDP flood
De la mme manire que pour le SYN flooding,
l'attaquant envoie un grand nombre de requtes UDP
sur une machine. Le trafic UDP tant prioritaire sur
le trafic TCP, ce type d'attaque peut vite troubler et
saturer le trafic transitant sur le rseau.
29
30
31
Comment se proteger
Il est conseill de dsactiver les services chargen
et echo.
Si vous ne voulez pas dsactiver chargen et echo,
configurez votre firewall pour viter le Chargen
Denial of Service Attack en limitant le traffic
UDP.
32
33
Packet Fragment
Les dnis de service de type Packet Fragment utilisent des faiblesses
dans limplmentation de certaines piles TCP/IP au niveau de la
dfragmentation IP (r-assemblage des fragments IP).
Une attaque connue utilisant ce principe est Teardrop. Loffset de
fragmentation du second fragment est infrieur la taille du premier
ainsi que loffset plus la taille du second. Cela revient dire que le
deuxime fragment est contenu dans le premier (overlapping). Lors de
la dfragmentation, certains systmes ne grent pas cette exception et
cela entrane un dni de service. Il existe des variantes de cette attaque :
bonk, boink et newtear. Le dni de service Ping of Death exploite une
mauvaise gestion de la dfragmentation au niveau ICMP, en envoyant
une quantit de donnes suprieure la taille maximum dun paquet
IP. Ces diffrents dnis de services aboutissent un crash de la machine
cible
34
Attaque Teardrop
Attaque par fragmentation
Une attaque par fragmentation (en anglais fragment attack) est une
attaque rseau par saturation (dni de service) exploitant le principe de
fragmentation du protocole IP.
En effet, le protocole IP est prvu pour fragmenter les paquets de taille
importante en plusieurs paquets IP possdant chacun un numro de
squence et un numro d'identification commun. A rception des donnes, le
destinataire rassemble les paquets grce aux valeurs de dcalage (en
anglais offset) qu'ils contiennent.
L'attaque par fragmentation la plus clbre est l'attaque Teardrop. Le
principe de l'attaqueTeardrop consiste insrer dans des paquets fragments
des informations de dcalage errones. Ainsi, lors du rassemblage il existe
des vides ou des recoupements (overlapping), pouvant provoquer une
instabilit du systme.
A ce jour, les systmes rcents ne sont plus vulnrables cette attaque.
35
LePing de la mort
L attaque du ping de la mort(ping of death)
Le principe du ping de la mort consiste tout
simplement crer un datagramme IP dont la
taille totale excde la taille maximum autorise
(65536 octets). Un tel paquet envoy un
systme possdant une pile TCP/IP vulnrable,
provoquera un plantage.
36
37
Comment se protger
Mettre jour l'OS.
Effectuer un test avant que quelqu'un d'autre le
fasse votre place. Si le systme ragit
correctement, il n'y a pas de problme.
38
39
Cette attaque se base sur une faille du protocole IP. On envoie la machine cible des donnes
dune taille suprieure la capacit dun paquet. Celui-ci sera alors fractionn pour lenvoi et
rassembl par la machine cible. A ce moment, il y aura dbordement des variables internes.
Suite ce dbordement, plusieurs cas se prsentent : la machine se bloque, redmarre ou ce qui
est plus grave, crit sur le code en mmoire.
Buffer OverFlow
Un dbordement de tampon (en anglais Buffer OverFlow ou BoF) est une attaque tres utilise des pirates. Cela consiste utiliser un
programme rsidant sur votre machine en lui envoyant plus de donnes qu'il n'est cens en recevoir afin que ce dernier excute un code
arbitraire. Il n'est pas rare qu'un programme accepte des donnes en paramtre. Ainsi, si le programme ne vrifie pas la longueur de la
chane passe en paramtre, une personne malintentionne peut compromettre la machine en entrant une donne beaucoup trop grande.
Comment a marche ?
Les donnes entres par l'utilisateur sont stockes temporairement dans une zone de la mmoire appele tampon (en anglais buffer).
Prenons l'exemple d'un logiciel qui demande votre prnom. En admettant que le programme prvoit dix caractres pour ce dernier et que
l'utilisateur en mette vingt. Il y aura dbordement de tampons puisque les dix derniers caractres ne seront pas stocks dans la bonne
variable mais dans le tampon pouvant provoquer un crash de la machine. Mais, un pirate exploite cette faille malignement et parvient se
procurer d'un accs la machine avec des droits identiques celle du logiciel. Pour comprendre comment exploiter cette faille, visiter
l'article de rfrence en matire de dbordement de tampon : Smashing the stack for fun and profit par Alephone, Phrack 49.
40
41
42
Principe de fonctionnement
Le principe de fonctionnement d'un dbordement de tampon est fortement li l'architecture du
processeur sur lequel l'application vulnrable est excute.
Les donnes saisies dans une application sont stocke en mmoire vive dans une zone
appeletampon. Un programme correctement conu doit prvoir une taille maximale pour les
donnes en entres et vrifier que les donnes saisies ne dpassent pas cette valeur.
Les instructions et les donnes d'un programme en cours d'excution sont provisoirement stockes
en mmoire de manire contige dans une zone appele pile (en anglais stack). Les donnes situes
aprs le tampon contiennent ainsi une adresse de retour (appele pointeur d'instruction)
permettant au programme de continuer son excution. Si la taille des donnes est suprieure la
taille du tampon, l'adresse de retour est alors crase et le programme lira une adresse mmoire
invalide provoquant une faute de segmentation (en anglais segmentation fault) de l'application.
Un pirate ayant de bonnes connaissance techniques peut s'assurer que l'adresse mmoire cras
corresponde une adresse relle, par exemple situe dans le tampon lui-mme. Ainsi, en crivant
des instructions dans le tampon (code arbitraire), il lui est simple de l'excuter.
Il est ainsi possible d'inclure dans le tampon des instructions ouvrant un interprteur de commande
(en anglais shell) et permettant au pirate de prendre la main sur le systme. Ce code arbitraire
permettant d'excuter l'interprteur de commande est appel shellcode
43
44
Les attaques de
rpudiation
45
46
Le IP Spoofing :
Cette attaque consiste se faire passer pour une autre
machine en falsifiant son adresse IP. Elle est en fait
assez complexe.
L'usurpation d'adresse IP (en anglais : IP
spoofing ou IP address spoofing) est une technique
de Hacking utilise en informatique qui consiste
envoyer des paquets IP en utilisant une adresse
IP source qui n'a pas t attribue l'ordinateur qui
les met. Le but peut tre de masquer sa propre
identit lors d'une attaque d'un serveur, ou d'usurper
en quelque sorte l'identit d'un autre quipement du
rseau pour bnficier des services auxquels il a accs.
47
48
L'IP Spoofing signifie usurpation d'adresse IP. Bien que cette attaque soit ancienne, certaines
formes d'IP Spoofing sont encore d'actualit. Effectivement, cette attaque peut tre utilise de
deux manires diffrentes :La premire utilit de l'IP Spoofing va tre de falsifier la source d'une
attaque. Par exemple, lors d'une attaque de type dni de service, l'adresse IP source des paquets
envoys sera falsifie pour viter de localiser la provenance de l'attaque.
L'autre utilisation de l'IP Spoofing va permettre de profiter d'une relation de confiance entre deux
machines pour prendre la main sur l'une des deux.
Description de l'attaque
Il existe plusieurs types d'IP Spoofing. La premire est dite Blind Spoofing, c'est une attaque "en
aveugle". Les paquets tant forgs avec une adresse IP usurpe, les paquets rponses iront vers
cette adresse. Il sera donc impossible l'attaquant de rcuprer ces paquets. Il sera oblig de les
"deviner". Cependant, il existe une autre technique que le Blind Spoofing. Il s'agit d'utiliser
l'option IP Source Routing qui permet d'imposer une liste d'adresses IP des routeurs que doit
emprunter le paquet IP. Il suffit que l'attaquant route le paquet rponse vers un routeur qu'il
contrle pour le rcuprer. Nanmoins Nanmoins, la grande majorit des routeurs d'aujourd'hui
ne prennent pas en compte cette option IP et jettent tous paquets IP l'utilisant
49
IP spoofing
La meilleure mthode de prvention du problme usurpation d'adresse IP est
d'installer un routeur de filtrage qui limite l'entre votre interface externe
(connu comme un filtre d'entre) en ne permettant pas un paquet travers si
elle dispose d'une adresse source de votre rseau interne. En outre, vous devriez
filtrer les paquets sortants qui ont une adresse source diffrente de votre rseau
interne afin d'viter une source IP spoofing attaque provenant de votre site.
Comment s'en protger ?
50
51
Conclusion
L'norme majorit des menaces sur un systme informatique est
due l'erreur ou la ngligence humaine.
Les hackers ne sont pas tous spcialistes en scurit informatique.
Les quatre plus gros hbergeurs de machines zombie au monde
seraient les tats-Unis, laChine, la Core du Sud et la France.
52