attaques_hacking_header.jpg

Introduction

Une attaque consiste à exploiter une faille d'un système informatique. Le pirate va ainsi chercher à ouvrir une brèche pour avoir un accès total sur la machine.

J'utiliserai le terme "hacker" ou "pirate" (bien que cela ne soit pas bien approprié) par simple commodité, mais il existe en fait plusieurs types d'hackers :

  • White hat hacker ("bon") : améliore la sécurité des réseaux informatiques
  • Black hat hacker ("mauvais") : nuit à la sécurité des systèmes informatiques
  • Grey hat hacker ("neutre / hybride") : à la fois black & white (comme Mickaël Jackson)
  • Script kiddies ("gamins") : jeunes utilisateurs ayant une connaissance sommaire du hacking attaquant des réseaux via des logiciels prêts-à-l'emploi, dans le but de se vanter de leurs "exploits".

Pour chaque type d'attaque, je vous donnerai une description de son fonctionnement et la façon dont vous pourrez la contrer.

Cet article se veut être une présentation des attaques principalement connues. Mes connaissances s'avèrent modestes alors n'hésitez pas à réagir sur certains points pour évoquer par exemple d'autres dénis de service ou solutions qui vous sembleraient pertinents !

Voici le sommaire des différents articles à venir :

  • Partie 1 : Le déni de service (DoS)
  • Partie 2 : Les malwares
  • Partie 3 : Prise de contrôle et détournement de flux
  • Partie 4 : Vulnérabilités des protocoles
  • ...

Partie 1 : Le Déni de Service (Denial of Service : DoS)

Le but du Déni de Service est de saturer (et donc rendre indisponible) un réseau ou un système d'information (S.I) par flood et utilisation de failles système.

Voici les différents types d'attaques auxquelles nous allons nous intéresser :

  • SYN flood
  • UDP flood
  • Fragment Packet
  • Ping of Death
  • Smurf Attack
  • Land Attack
  • DDOS
  • Mail Bombing
  • Buffer Overflow

SYN flood

Cette attaque consiste à envoyer une multitude de demandes de connexions TCP afin de monopoliser les ressources d'un serveur.

Une connexion TCP normale s'établit ainsi :

  • 1. Demande de connexion au serveur en envoyant un message SYN (synchronize)
  • 2. Le serveur accepte la connexion au client en envoyant un message SYN-ACK (synchronize acknowledgment)
  • 3. Le client répond en envoyant un message ACK (acknowledgment) pour établir la connexion.

Le pirate ne renvoie pas le message ACK, une latence du serveur ainsi qu'une consommation excessive des ressources-serveur se fait alors sentir et entraîne un déni de service.

solution :

  • limiter le nombres de requêtes TCP par seconde
  • utiliser SYN cookies

Plus d'informations sur le SYN Flood...

UDP flood

L'UDP flood consiste en une multitude de requêtes UDP envoyées sur un serveur (les paquets UDP sont prioritaires sur les paquets TCP) afin de saturer celui-ci.

Solution :

  • limiter le trafic UDP
  • désactiver les services chargen et echo

Plus d'informations sur l'UDP flood... (en)

Packet Fragment (attaque par fragmentation)

Le pirate va s'attaquer à la fragmentation de la pile TCP/IP en plaçant des informations de décalage (offsets) erronées empêchant la réassemblage des paquets (overlapping).

Solution :

  • Cette attaque ne touche que les anciens OS (Microsoft Windows 95 et 98).

Plus d'informations sur le Packet Fragment... (en)

Ping of Death (Ping de la Mort)

Le Ping of Deatth consiste à envoyer un ping supérieur à 65535 octets (taille maximale) provoquant un freeze ou un crash système.

Solution :

  • Cette attaque touche les anciens OS.

Plus d'informations sur le Ping of Death... (en)

Smurf attack (attaque par réflexion)

Le smurf repose sur l'envoi d'un maximum  de ping (protocole ICMP) à un réseau en broadcast. La cible se fera alors inondée de "réponses ping" par l'ensemble des machines du réseau saturant complètement sa bande passante.

Solution :

  • filtrer les paquets ICMP echo au niveau du firewall
  • limiter le nombre de ces paquets à un pourcentage de la bande passante
  • désactiver le broadcast

Plus d'informations sur le smurf attack... (en)

Land Attack

Le pirate envoie des paquets ayant la même adresse IP (et port) au niveau de son adresse source et de son adresse destination. De plus, cette technique utilise le flag SYN armé (voire SYN flood).

Solution :

  • Cette attaque touche les anciens OS.

Plus d'informations sur le Land... (en)

Buffer overflow (débordement ou dépassement de tampon)

Le buffer overflow consiste à envoyer plus de données qu'un programme est capable d'en gérer. Les instructions en attente d'exécution sont stockées dans un buffer (pile ou stack). Si la taille des données est supérieure à la capacité du buffer, l'application renverra une erreur : une adresse de retour invalide.

Le pirate remplace l'adresse écrasée par une autre pointant vers un code arbitraire (injection de code lui permettant par exemple d'ouvrir un terminal : shellcode) pour prendre le contrôle de l'ordinateur-cible.

Solution :

  • Patcher les failles permettant un buffer overflow
  • utiliser des applications proposant une gestion de la mémoire évoluée (langage évolué)

Plus d'informations sur le Buffer Overflow...

Distributed Denial of Service (DDOS : Déni de Service Distribué)

Le DDOS consiste en une parallélisation d'attaques DOS à l'aide de PC zombies ou botnets (PC infectés par un cheval de Troie) pour accroître les effets de saturation en un temps beaucoup plus réduit.

Plus d'informations sur le DDOS...

Mail Bombing

Cette attaque permet l'envoi massif d'e-mails à un destinataire pour saturer le serveur mail.
Solution :

  • avoir une adresse mail de confiance et une autre pour les mailing-list, etc
  • installer un logiciel anti-spam pouvant repérer une attaque "mail bmbing"

Plus d'informations sur le Mail Bombing...

A suivre...

Source

CommentCaMarche.net : Attaques / arnarques

Mirabellug.org : Un petit guide pour la sécurité (pdf)

SecuriteInfo.com : Notre documentation

Poursuivre votre lecture sur le site