Les techniques utilisées pour les intrusions ICMP
Les phases d’une intrusion
Pour parvenir à s’intégrer dans un réseau, un attaquant doit passer par les étapes ci-dessous :
La collecte d’information
Englobe tout ce qui est connaissance de la cible et ses failles. Appelée aussi «Finger printing», permet à l’attaquant de collecter des informations concernant sa cible. En effet, un moteur de recherche à l’image de Google peut être exploité pour cette tâche vu qu’il est en possession d’une immense base de données contenant des informations sur des personnes, système et défaillance.Souvent des commandes de recherche classiques ou même du système d’exploitation sont utilisées pour cette collecte, de plus des outils logiciels sont actuellement disponible pour effectuer une collecte à distance. [1]
Repérage des failles
Une fois que l’attaquant a collecté suffisamment d’informations intéressantes sur le système tel que l’architecture et le fonctionnement du réseau, il tentera de repérer les failles pour s’insérer dans le système qui peuvent bien se situer dans le système d’exploitation,l’utilisation d’un service ou un protocole. Et grâce à la collecte effectuée l’attaquant identifie les services actifs dans la machine cible, ainsi que les versions des systèmes d’exploitations. L’utilisation des scanneurs de vulnérabilités tels que « NESSUS » ou « SAINT » permet de tester et trouver les portes d’entrées dans le système. [1] Un site WEB mal protégé peut être une bonne porte d’entrée pour les systèmes informatiques.
Intrusion dans les systèmes
Une fois l’attaquant a trouvé sa porte d’entrée dans le système, il doit s’assurer de ne pas laisser de traces pour ne pas être tracé par l’administrateur. Le cas idéal est de s’infiltrer dans le système via un accès administrateur, sauf que si le pirate a pu accéder autant qu’utilisateur, il doit chercher le mot de passe administrateur. Quand l’attaquant accède au système autant qu’un super utilisateur, il a la possibilité de modifier les fichiers ou les détruire. [1]
L’écoute du trafic
Un autre type d’intrusion consiste à écouter le flux dans le réseau. Pour écouter le trafic circulant sur un réseau, l’attaquant doit disposer d’un outil appelé « sniffer », Wireshark en est un bon exemple. La majorité des protocoles font transiter les informations en clair sur Internet, ce qui permet à l’attaquant de les capturer et les exploiter immédiatement. Par exemple, un utilisateur consulte ses e-mails sans utiliser le chiffrement SSL, alors son identifiant et son mot de passe vont transiter sur le réseau et pourront être interceptés par le sniffer. [1]
Exploitation
Maintenant que le pirate s’est intégré dans le système, tout dépend de son objectif principal visé, il peut y avoir plusieurs fins et plusieurs attaques qui seront définies par la suite.
SYN Flooding
L’attaquant demande d’établir une connexion avec la cible en lui envoyant un nombre très important de paquets TCP contenant le flag SYN pour la synchronisation, cela obligera la victime à démarrer une socket pour chaque demande de connexion et donc, envoyer des paquets contenant le flag SYN-ACK sans recevoir de réponse. La cible aura un grand nombre de connexion en attente et arrivera à saturation jusqu’à ne plus pouvoir répondre aux connexions légitimes des autres utilisateurs. Pour éviter de se faire repérer l’attaquant change son adresse IP, ce qui redirigera les réponses de la cible vers une autre destination. Comme il a été cité dans le chapitre précédent, Backtrack possède des outils très performants qui permettent notamment d’effectuer des dénis de service, tels que le SYN Flooding qu’on a déjà réalisé grâce à l’outil Metasploit, qui se trouve dans la catégorie « Exploitation Tools » en tapant les commandes suivantes dans la console :
1- use auxiliary/dos/tcp/synflood
2- Set RHOST @IP de la victime dans notre cas : 192.168.137.1
3- Set RPORT le port cible dans notre cas c’était le port 80
4- Set timeout le temps entre les paquets envoyés nous l’avons mis à 1 sec
5- Run : pour exécuter l’attaque
Connexion Killing
Elle vise à stopper une connexion TCP, précédemment établie entre deux stations. Deux techniques peuvent être mises en œuvre :
• La première utilise le flag RST (Reset) et exige que les numéros de séquences soient corrects. Elle nécessite d’abord d’attendre un paquet en provenance de la station B à la station, puis calculer à partir des paquets reçus le numéro de séquence à indiquer le paquet contenant le flag RST, qui va être envoyé à la station C. Il ne restera plus qu’à envoyer le dit paquet et la connexion sera logiquement rompue.
• utilise le flag RST (Reset) et exige que les numéros de séquences soient corrects. Elle nécessite d’abord d’attendre un paquet en provenance de la station B à la station, puis calculer à partir des paquets reçus le numéro de séquence à indiquer le paquet contenant le flag RST, qui va être envoyé à la station C. Il ne restera plus qu’à envoyer le dit paquet et la connexion sera logiquement rompue.
Le protocole UDP
Un autre protocole qui opère dans la couche Transport est l’UDP « User Datagramme Protocol ». Il gère le fractionnement et le réassemblage en paquets des segments de données.Il est rapide, simple, non fiable mais efficace et réalise une transmission des datagrammes en mode non connecté utilisant le protocole IP. Cela dit, le protocole n’assure pas d’ordonnancement ni de suivi de communication, ni de contrôle de flux. Comme pour le TCP, le protocole UDP permet d’identifier les processus à l’aide des numéros de port, et de vérifier l’intégrité des données avec le total de contrôle. C’est un protocole qui est parfaitement adapté à la transmission d’informations vocales sur le réseau, car si une voix UDP est perdue, la conversation va se poursuivre sans qu’il y ait une grande perte d’information. Contrairement au TCP, il n’utilise pas de « Three Way Hanshake ».Ses inconvénients majeurs, c’est qu’il n’utilise aucun service d’authentification et aucun champ de l’entête n’est chiffré.
|
Table des matières
Introduction générale
Chapitre I : Généralités sur les intrusions
I.1- Introduction
I.2- Définition d’une intrusion réseau
I.3- Les phases d’une intrusion
I.3-a- La collecte d’information
I.3-b- Repérage des failles
I.3-c- Intrusion dans les systèmes
I.3-d- L’écoute du trafic
I.3-e- Exploitation
I.4- Les types d’attaques
I.4-a Les attaques d’accès
Le craquage de mot de passe
i- Attaque par Brute Force
ii- Attaque par dictionnaire
iii-Attaque par rainbow table
Les chevaux de troie
Le sniffing
Ingénierie sociale
I.4-b Les attaques de modification
Les virus informatiques
Les vers informatiques
I.4-c Les attaques par répudiation
Le spoofing
Hijacking
I.4-d Les attaques par saturation ou le déni de service
I.5- Quelques attaques qui ont marqué l’histoire
I.5-a) L’affaire MORRIS
I.5-b) Attaque par sniffing
I.5-c)Attaque par spoofing
I.6- Backtrack
I.7- La pile TCP
I.7-a) La couche application
I.7-b) La couche transport
I.7-c) La couche Internet
I.7-d) La couche d’accès au réseau
I.8- Conclusion
Chapitre II : Intrusion de la couche transport
II.1- Introduction
II.2-Présentation du protocole TCP
Définition
Présentation du segment TCP
Connexion TCP
1- Etablissement d’une connexion TCP
2- L’échange de données
3- La fermeture de connexion TCP
II.3- Les techniques utilisées pour les intrusions TCP
II.3-a Finger printing
Identification des ports
II.3-b SYN Flooding
II.3-c connexion Killing
II.4- Le protocole UDP
II.5- Les attaques exploitant le protocole UDP
UDP Flooding
II.6 Les Systèmes de détection d’intrusions IDS
II.6-a Définition
II.6-b Réponses d’un IDS
II.6-c Avantages et inconvénients des IDS
i- Avantage
ii- Inconvénients
II.7- Les HoneyPot
II.8- SNORT
II.8-a Définition
II.8-b Fonctionnement
II.8-c Architecture
II.8-d Position de SNORT sur le réseau
II.8-e Les règles SNORT
II.9- Détection
II.10- Conclusion
Chapitre III : Intrusion de la couche réseau
III.1-Introduction
III.2- présentation du protocole IP
III.3- Techniques utilisées pour les intrusions IP
III.3-a IP spoofing
III.3-b Teardrop Attack
III.4- Présentation du protocole ICMP
III.5- Les techniques utilisées pour les intrusions ICMP
III.5-a Ping Flooding
III.5-b Ping de la mort
III.5-c Smurf
III.6- Détection
III.7- Conclusion
Chapitre IV: Configuration et exploitation de SNORT
IV.1- Introduction
IV.2- Le fichier de configuration « snort.conf »
IV.2-a Configuration de variables :
IV.2-b Configuration de pré-processeurs
IV.2-c Configuration de la destination des résultats
IV.2-d Utilisation des fichiers spécifiant les règles de détection
V.3- Réalisation d’une application sous Windows
V.4 Conclusion
Conclusion générale
Télécharger le rapport complet