Université de M'sila

Faculté des Mathématiques et de l’Informatique

Département d’informatique
Spécialité: Master Réseaux

Attaques Informatique

Université de M’sila
Département d’informatique:2014-2015
Niveau : master2
Préparé et présenté par: SAOUDI Lalia
 Attaque Informatique
•
Une attaque peut être définit comme toute
action ou ensemble d’actions qui peut porter
atteinte la sécurité des informations d’un
système ou d’un réseau informatique.

07/18/24 2
 Objectifs des attaques

• Désinformer
• Empêcher l'accès à une ressource
• Prendre le contrôle d'une ressource
• Récupérer de l'information présente sur le
système
• Constituer un réseau de « botnet » (ou réseau
de machines zombies

07/18/24 3
 Les hackers

•
Mais alors qui sont ces hackers ? et comment
s’organisent-ils ?
•
1- les newbies (débutants) : ce sont généralement des adolescents
fascinés par les exploits de certains hackers.
•
2- les Whites Hat Hackers: des élites en hacking qui programment à longueur
de journée et ne font que rechercher des failles dans les systèmes, logiciels…
•
3- les Blacks Hat Hackers: des élites qui préfèrent détruire tout
•
système qui leur tombent sous la main.
•
4-les crackers : ce sont des personnes piratant les logiciels payants de façon à
pouvoir les utiliser indéfiniment sans dépenser d'argent.
•
les hacktivistes : ce sont des hackers utilisant leurs connaissances pour défendre
ce en quoi il pensent et se battre pour un but (les droits de l'homme, la non
commercialisation de l'Internet…).
 Faut-il apprendre les attaques?
•
avant de sécuriser un système, il faut faire des
tests de pénétration (appelés Pen-Test) pour
cibler les failles…
•
De plus pour contrer efficacement une
personne, il faut soit penser comme elle, soit
connaître ses limites.
•
En gros pour sécuriser un système, il faut se
mettre à la place d’un pirate.
 Les « botnets »
(réseau de machines zombies)

• Réseau de machines contrôlées par un « bot herder » ou « botmaster ».

• Un quart des ordinateurs du monde, dont, probablement, le vôtre, serait
compromis à l'insu de leurs propriétaires, et exploités par des
cybercriminels qui les regrouppent pour former de puissants réseaux
d'attaques.
•
" Bot " est un raccourci pour " Robot " et désigne l'agent logiciel implanté
(le parasite).

•
" Net " signifie " réseau " en anglais.

•
" Botnet " est l'ensemble, actif à un instant, de tous les exemplaires d'un
agent logiciel donné, constituant un réseau communiquant.

•
" Zombie " est un terme qualifiant un ordinateur compromis car il n'est
plus sous le contrôle de son propriétaire mais sous celui d'un tiers inconnu
à cause de l'agent logiciel (le virus, le malware) implanté.

07/18/24 6
 Cible des pirates

• Les états
• Serveurs militaires
• Banques
• Universités
• Tout le monde

07/18/24 7
 II.Classification des attaques
•
II.1- Interne- externe:
•
Un système informatique peut être attaqué
soit par un utilisateur interne , soit par un
utilisateur externe.

07/18/24 8
 II.2 ème
classification
C’est la classification la plus classique, elle
regroupe quatre types d’attaques. Ainsi une
attaque peut porter atteinte à :
• la confidentialité des informations: en brisant
des règles privées,
• l’intégrité, en altérant les données,
• l’authenticité des données,
• la disponibilité, en rendant un système ou
réseau informatique indisponible. On parle
alors d’attaque de déni de service
07/18/24 9
 II.3 ème
classification
les attaques passives / les attaques actives.
1. Les attaques passives regroupent les attaques portant atteinte à la confidentialité. Il en exist
e deux types :
• la lecture de contenus de messages confidentiels : courrier électronique, fichier transféré ;
• l’analyse de trafic pour déterminer la nature d’une communication : identité des "hosts" co
mmuniquant, fréquence et longueur des messages échangés.
Les attaques passives ne sont pas facilement détectables car elles n’impliquent aucune altération
des informations.

2. Les attaques actives concernent celles qui entraînent une modification des données ou créatio
n de données incorrectes. Autrement dit, celles qui portent atteinte à l’intégrité, l’authenticit
é et la disponibilité. On retrouve alors quatre types d’attaques actives :
• l’usurpation : c’est lorsqu’une entité se fait passer pour une autre,
• le rejeu : retransmission de messages capturés lors d’une communications, et cela à des fins illé
gitimes,
• la modification de messages,
• le déni de service.

07/18/24 10
 II.4 4 ème
classification
Attaques réseaux / Attaques système
• attaques réseaux : leur but principal est d’empêcher
les utilisateurs d’utiliser une connexion réseau, de
rendre indisponible un service et de surveiller le
trafic réseau dans le but de l’analyser et d’en
récupérer des informations pertinentes.
• attaques systèmes : ce sont des attaques qui portent
atteinte au système, comme par exemple effacer des
fichiers critiques (tel que le fichier "password") ou
modifier la page web d’un site dans le but de le
discréditer ou tout simplement le ridiculiser.
07/18/24 11
 III.Attaques systèmes
III.1 Virus:
Portion de code inoffensive ou destructrice capable de se reproduire
et de se propager.
• Différents types de virus:
– Virus boot
– Virus dissimulé dans les exécutables
– Macro virus
• Différentes contaminations possibles:
– Échange de flash disques.
– Pièces jointes au courrier électronique
– Exécutables récupérés sur Internet
– etc.
 III.2Vers
•
Un ver informatique (en anglais worm) est un
programme qui peut s'auto-reproduire et se
déplacer à travers un réseau en utilisant les
mécanismes réseau, sans avoir réellement besoin
d'un support physique ou logique (disque dur,
programme hôte, fichier, etc.) pour se propager; un
ver est donc un virus réseau
•
Quelques exemples:
•
Code Red, SirCam, Nidam
•
Plus récemment: sobig, blaster
 III.2Vers
•
En Août 1961, trois jeunes programmeurs des célèbres Bell Laboratories (ATT), Robert Thoma
s Morris, Douglas McIlory et Victor Vysottsky, développent un jeu appelé Darwin qui se joue
sur mainframe IBM 7090 à l'ère des cartes perforées.
•
Le jeu est composé d'un programme « umpire » ainsi que d'une section de la mémoire de l'or
dinateur, appelée l'arène dans laquelle 2 programmes ou plus, écrits par les joueurs sont cha
rgés.
•
Les programmes sont écrits dans le but d'occuper d'autres emplacements dans l'arène, de tu
er les programmes ennemis et de remplir toute la mémoire libre par des copies d'eux même.
•
Le jeu peut se terminer après une durée prédéfinie ou quand il ne reste plus qu'un seul progr
amme en vie : le joueur qui a écrit le programme qui reste le dernier survivant est déclaré vai
nqueur.
•
Cependant, le jeu ne perdure pas car Robert Thomas Morris réussi alors à développer un co
mbattant composé de 44 instructions, capable d'adapter sa stratégie et de se protéger, que
personne n'arrive à vaincre
 III.3Chevaux de troie
•
c’est un programme qui se cache lui-même dans un autre programme
apparemment au-dessus de tout soupçon.
•
les plus célèbres sont Back Orifice, Netbus et SubSeven.
•
Ces programmes sont composés de deux parties :
•
un module serveur : l'équivalent des soldats grecs cachés dans le célèbre
cheval. En informatique, ce module doit sembler, lui aussi, anodin. Il peut
se présenter sous la forme d'un jeu ou d'une pièce jointe à un courriel.
•
un module client : l'équivalent de l'armée grecque entrant dans la ville
une fois les portes ouvertes. Concernant un ordinateur, il s'agit d'un code
malveillant. Une fois mis en place, l'infection peut consister à récupérer
des données, détruire des fichiers ou encore « suivre » l'enregistrement
des touches du clavier, etc.
 III.4 Les logiciels espions

•
Les logiciels espions, aussi appelés spywares, sont des petits
programmes dont le but est d'obtenir le plus d'informations
possibles sur les habitudes de l'internaute, afin d'afficher des
petites fenêtres publicitaires (pop-up) sur le bureau de son
ordinateur, ou de récupérer des données confidentielles.
•
ces programmes doivent être installés sans que l'utilisateur le
remarque. Ils utilisent principalement deux méthodes pour
s'immiscer. La première consiste à être caché dans un logiciel
gratuit, une version de démonstration par exemple. La
seconde technique consiste à être camouflé derrière un
fichier anodin (une photo ou une petite vidéo d'un artiste à la
mode par exemple) joint à un courriel ou à une invitation
reçue via un réseau social comme Facebook.

07/18/24 16
 III.5 Les bombes logiques
•
Les bombes logiques sont des programmes
infectants, qui s'installent dans le système
d'exploitation et attendent un événement
(date, action, donnée...) pour exécuter leur
fonction offensive. C'est la raison pour
laquelle les antivirus ont beaucoup de
difficultés à les repérer avant qu'ils n'agissent.

07/18/24 17
IV.Attaques Réseaux: Méthodologie d’une
attaque
•
Nous ne connaissons rien sur le système
cible, ni l'architecture, ni les services, ni
l'organisme.
•
1-Collecte des informations:
•
2-Repérage de failles.
•
3- Intrusion
•
4-Exploitation
 IV. 1- Collecte des informations :Se
renseigner sur un système
•
a- connaitre sa cible:
* Via google , les différents réseaux sociaux et
professionnels: facebook , Copains d'avant,
123people, etc: en quelques clics, on peut
tracer un profil précis de sa cible.
* Les humains sont bavards.

07/18/24 19
 1- Collecte des informations :Se
renseigner sur un système
•
B- Quelque commandes utiles:
•
de nombreux outils peuvent nous renseigner sur l'architecture d'un résea
u cible:
Whois:
–

•
Par exemple, la commande whois, disponible sur les plates-formes Linux o
u sur le site www.whois.net.
•
il est possible d'accéder à des informations qui peuvent nous donner une
•
première idée de la cible.
•
1 $ whois editions-eni.fr
•
Les bases de prestataires de domaine sont consultables gratuitement
•
www.allwhois.com ; www.betterwhois.com
•
Infogreffe.fr ou Societe.com.
•
Il est vital de donner le minimum de renseignements vous concernant lors
de votre enregistrement.
http://www.afrinic.net/
 B- Quelque commandes utiles:
Traceroute
Fonction traceroute
•
La commande traceroute, disponible dans le
Gestionnaire de paquets des systèmes Linux
ou tracert sous Windows, peut également
s'avérer utile, en listant les nœuds
intermédiaires entre un point de départ et un
point d'arrivée, elle nous informe sur le
routage des paquets, et donc nous aide à
situer le routeur dans le réseau.
•
1 $ traceroute editions-eni.fr
B- Quelque commandes utiles:
Traceroute
 c- Collecte des informations: La prise
d'empreinte par pile Tcp/lP
•
Nmap
•
Nmap: permet quant à lui de faire le scan des machines d'un
sous-réseau, d'en connaître les ports ouverts, et donc
probablement de connaître les services lancés sur chaque
machine, de connaître leurs versions et potentiellement les
vulnérabilités.
•
En interrogeant la pile TCP /IP d'un serveur, on peut en effet
apprendre de nombreuses informations utiles lors d'une
attaque.
•
Tout d'abord, la connaissance du système d'exploitation d'un
serveur est évidemment cruciale pour un attaquant.
Beaucoup de failles sont spécifiques aux systèmes
d'exploitation, et les façons d'y pénétrer sont également
différentes.

07/18/24 25 25
 c- Collecte des informations: La prise
d'empreinte par pile Tcp/lP
•
Le fait de balayer un réseau, de le scanner, permet de connaître sa
topologie. Le scanneur de ports va détecter les IP actives sur le réseau,
détecter les ports ouverts et les services potentiels qui tournent derrière
chaque port ouvert.
•
Dans la pratique, pour découvrir par exemple la topologie d'un réseau
192.168.0.0/24, dont l'adresse réseau est 192.168.0 et pouvant contenir
jusqu'à 254 machines, nous utiliserons la commande:
•
1 # nmap - sS - su -0 -oN nmap.log 192.168.0.1-254
•
sS = précise que l'on veut faire un SYN scan
•
- sU = scanne également les ports UDP
•
- 0 = tente ainsi d'identifier le système d'exploitation des machines
scannées
•
- oN nmap.log = demande à nmap d'enregistrer la sortie dans un fichier
nmap.log précisé.

07/18/24 26
 c- Collecte des informations: La prise
d'empreinte par pile Tcp/lP

07/18/24 27
 d.Interroger les services lancés

•
Nous allons interroger chaque service susceptible de nous
offrir des informations intéressantes afin d'en connaître
davantage
•
nous allons nous arrêter sur quelques services intéressants
comme les serveurs DNS (port 53), les serveurs NFS
(2049)},les serveurs NetBIOS (139), les serveurs mail (25) et
les serveurs SNMP (ports UDP 161, 162).
•
Ces services sont susceptibles de nous apporter des
informations intéressantes et des comptes utilisateurs valides
qui vont nous permettre de passer à l'étape suivante de
l'attaque.
•
Obtenir des informations sur un service est généralement
assez facile. Par exemple, essayons de voir quel serveur web
tourne derrière un site web:

07/18/24 28
 TELNET
•
Tel net permet à une machine client de se
connecter à un serveur, il permet une
connexion TCP sur n’importe quel port d’une
machine distante.
•
TELNET adresse de machine PORT
•
Avec IP Scanner vous pouvez trouver les ports
disponible sur la machine cible
•
Les ports ouvertes nous donnent une idée sur
la nature de système ciblé.
 TELNET

07/18/24 30
•
Exemple:
•
$ telnet www.microsoft.com 80
•
Trying 207.46.156.188...
•
Connected to www2.microsoft.akadns.net.
•
Escape character is ’^]’.
•
HEAD / HTTP/1.0
•
HTTP/1.1 200 OK
•
Connection: close
•
Date: Fri, 21 May 2004 06:53:14 GMT
•
Server: Microsoft-IIS/6.0

07/18/24 31
•
Avec cette simple commande, nous connaissons le
serveur web (Apache) sa version (2.2.3), le système
d'exploitation (CentOS), et l'heure du serveur

•
L'empreinte de pile permet donc d'identifier un
système d'exploitation de manière relativement
sûre.
•
Contre mesure: il est indispensable de cacher le
maximum d'informations au public, dans la
configuration des services ou du système.
07/18/24 32
 social engeneering et trashing :
•
est une technique servant à se faire passer
pour une autre personne grâce à la parole.
•
Cette technique est très souvent utilisée par
les pirates dans le but d'obtenir des
identifiant, des mots de passe, des numéros
de cartes de crédit ou pour que les personnes
contactées exécutent ou fournissent ce qu’ils
recherchent
 IV.2-Repérage de failles.

•
IV.2.1 Consulter les failles recensées
•
Une fois que nous possédons suffisamment
d'informations intéressantes sur un système, nous
allons essayer de repérer une faille par laquelle
s'insérer dans le système.
•
Une faille correspond à une vulnérabilité nuisible à la
sécurité du système.
•
Elle peut se situer dans le système d'exploitation lui-
même, dans une application, un service, un
protocole, ou tout simplement dans une erreur
humaine.

07/18/24 34
 Scanner de vulnérabilité
•
En sécurité informatique, un scanneur de
vulnérabilité est un programme conçu pour identifier
des vulnérabilités dans une application, un
système d'exploitation, ou un réseau.
•
Les scanneurs de vulnérabilité peuvent être utilisés dans
des objectifs licites ou illicites :
objectifs licites : les experts utilisent les scanneurs de
–

vulnérabilité pour trouver les failles de sécurité des systèmes

informatiques .
objectifs illicites : les pirates utilisent les mêmes équipements
–

pour trouver les failles dans les systèmes des entreprises pour les
exploiter à leur avantage.

07/18/24 35
 Scanner de vulnérabilité
•
Il est donc préférable d'interroger plutôt les bases
de données en ligne telles que sur le site
SecurityFocus qui met à jour régulièrement sa
base de données de vulnérabilités.
•
Chaque vulnérabilité possède sa propre technique
d'exploitation.
•
Le but ici est de trouver un "exploit’ sur des sites
spécialisés

07/18/24 36
 IV.3. Intrusion dans le système
•
Une intrusion est une opération qui consiste à
accéder, sans autorisation, aux données d'un
système informatique ou d'un réseau .
•
Extension des privilèges: si l'accès est un accès
utilisateur, l’attaquant devoir continuer sa requête
du mot de passe root ou d'un autre utilisateur
permettant d'avoir plus d'informations.
•
la dernière étape consiste à effacer les traces:
modifier les fichiers journaux , Plusieurs logiciels
permettent cela, comme cloak2.c .

07/18/24 37
Le schéma récapitule de la méthodologie
complète :
 V.Attaques permettant d’écouter le trafic
réseau
•
Cette technique est généralement utilisée par
les pirates pour capturer les mots de passe.
•
Lorsqu’on se connecte à un réseau qui utilise
le mode broadcast, toutes les données en
transit arrivent à toutes les cartes réseau
connectées à ce réseau.
•
En temps normal, seules les trames destinées
à la machine sont lues, les autres étant
ignorées.
 V.1 Attaque par sniffing

•
Définition: Les sniffers réseau sont très souvent utilisés par les
administrateurs réseau pour capturer le trafic à des fins d'archives (
pour une analyse future) ou d'analyse de problèmes. Mais ces outils sont
également utilisés par des pirates à des fins bien moins éthiques, comme
le vol de mot de passe .
•
Le système pirate se situe sur le réseau local et capture tous les paquets
réseau transitant sur ce réseau afin d’obtenir des mots de passe, etc.

•
Grâce à des outils tels qu’Ethereal ou WinDump/TCPDump, le sniffer peut
analyser tous les paquets IP ainsi que les protocoles contenus dans les
données du paquet.
•
En revanche, lorsque le réseau s’appuie sur une étoile commutée,( switch)
les choses deviennent un peu plus difficiles.
Exemple:cain
 V.2 Attaque d’un commutateur
•
le commutateur gère une table dynamique des
adresses MAC physiques des machines situées sur
chaque port. Lorsque la donnée part d’une machine
A vers une machine B, le commutateur reçoit en fait
un paquet destiné à une adresse MAC particulière.
•
Un intrus branché sur un commutateur ne doit voir
que :
–
les données qui sont destinées à une machine branchée
sur le même port que lui, donc lui-même ou une autre s’il
est branché sur un répéteur branché au commutateur ;
–
es données envoyées sous forme de broadcast ou
multicast. Dans ce cas, le commutateur envoie les données
à tous les ports hébergeant des machines.
 V.2 Attaque d’un commutateur
a-Le switch jamming
•
Saturation de la mémoire d'un switch
•
Pour router le trafic, les switches maintiennent une
table de correspondance appelée Content
Adressable Memory (CAM). Il est possible d'exploiter
un dépassement de mémoire de certains
équipements en saturant la table d'adresses MAC,
afin de capturer les paquets.
•
lorsque la mémoire est pleine, certains switches se
comportent en hubs et envoient les paquets à tous
les hôtes connectés.
 V.2 Attaque d’un commutateur
b- La reconfiguration du port moniteur/SPAN

•
La plupart des commutateurs permettent à des ports d'être
configurés en tant que port moniteur (ou SPAN) et de copier
une partie ou la totalité du trafic transitant par le
commutateur, dans un but d'administration.
•
ces ports sont conçus pour exécuter des sniffers de paquets
lorsque l'administrateur réseau doit résoudre un problème.

•
Beaucoup de commutateurs sont installés par défaut. Un
intrus peut donc faire un Telnet sur le commutateur ou le
reconfigurer avec le protocole SNMP, dans le but d'assigner
ce type de port au numéro de port sur lequel le pirate est
branché.
 V.2 Attaque d’un commutateur
c- La manipulation des tables de commutation (les tables CAM)

•
Le principe est simple : envoyer une trame avec pour adresse
source MAC l'adresse MAC de la victime. Ou encore plus
simple : changer sa propre adresse MAC en l'adresse MAC de
la victime avant de se connecter au switch.
•
cette technique est très limitée. D'abord parce que la victime
émet encore des paquets, ce qui place le commutateur face à
un conflit .

•
Cette technique est donc inutilisable pour écouter une
connexion entre deux hôtes. Mais, elle est très intéressante
dans le cas d'une attaque de déni de service - La machine
victime ne pourra plus communiquer avec le réseau- .
 V.2 Attaque d’un
commutateur
Top 5 packet sniffers
•
1- Wireshark
Wireshark (anciennement Ethereal) est un
logiciel libre d'analyse de protocole, ou « packet
sniffer » sous lunix et windows, utilisé dans le
dépannage et l'analyse de réseaux
informatiques, le développement de protocoles,
l'éducation et la rétro-ingénierie, mais aussi le
piratage.
 V.2 Attaque d’un
commutateur
Top 5 packet sniffers
•
2 Kismet
•
Kismet est un logiciel libre de détection de
réseaux, un sniffeur, et un système de détection
d'intrusion pour réseau sans fil 802.11. Kismet
fonctionne avec les cartes réseau qui
supportent le mode moniteur, et tout protocole
802.11 (802.11a, 802.11b, 802.11g et 802.11n)
 V.2 Attaque d’un
commutateur
Top 5 packet sniffers
•
3- TCPdump

tcpdump est un sniffer de Paquets en ligne de

commande. Il permet d'obtenir le détail du
trafic visible depuis une interface réseau.
C'est un outil de mise au point apprécié pour sa
puissance ; les nombreuses informations qu'il
faut trier conduisent à utiliser le filtre BPF.
 V.2 Attaque d’un
commutateur
Top 5 packet sniffers
•
4 Cain et Abel

Cain & Abel est un outil gratuit de récupération

de mot de passe fonctionnant sous Windows. Il
permet la récupération facile de divers genres
de mots de passe en sniffant le réseau, cassant
des mots de passe hachés en utilisant des
attaques par dictionnaire, par recherche
exhaustive ou encore via des tables arc-en-ciel.
Son code source n'est pas fourni.
 V.2 Attaque d’un
commutateur
Top 5 packet sniffers
•
5 Ettercap

Ettercap est un logiciel libre d'analyse du réseau

informatique. Il est capable d'intercepter le
trafic sur un segment réseau, de capturer les
mots de passe, et de réaliser des attaques dites
de l'homme du milieu (Man In The Middle)
contre un certain nombre de protocoles de
communication usuels tels que HTTP, FTP et
certains protocoles chiffrés.
 VI .Attaques permettant d’interférer avec une session
réseau

•
La plupart des protocoles réseau n’ayant
prévu aucun mécanisme d’authentification
véritable, ils subissent des attaques qui
s’appuient sur ces faiblesses
d’authentification, au premier rang desquelles
les attaques ARP spoofing et man-in-the-
middle.
 VI .1 Spoofing (mystification)
•
Définition: Attaque vers la sécurité, lorsqu’une
machine se présente comme étant une autre.
•
Spoofing des adresses MAC
–
Modification de l’adresse MAC de la carte
réseau
–
Difficile d’être capturé.
 VI.1 Attaque ARP spoofing
•
l’attaque ARP spoofing s’appuie sur le protocole
ARP(Address Resolution Protocol), qui implémente le
mécanisme de résolution d’une adresse IP (32 bits)
en une adresse MAC (48 bits) pour rediriger le trafic
réseau de un ou plusieurs systèmes vers le système
pirate.
•
Lorsqu’un système désire communiquer avec ses
voisins sur un même réseau (incluant la passerelle
d’accès à d’autres réseaux), des messages ARP sont
envoyés afin de connaître l’adresse MAC des
systèmes voisins et d’établir ainsi une
communication avec un système donné.
 VI.1 Attaque ARP spoofing
•
Sachant que chaque système possède localement une t
able de correspondance entre les adresses IP et MAC d
es systèmes voisins.
•
ARP permet à un système pirate d’envoyer des paquet
s ARP réponse au système cible indiquant que la nouve
lle adresse MAC correspondant à l’adresse IP d’une pas
serelle est la sienne.
•
Le système du pirate reçoit donc tout le trafic à destina
tion de la passerelle. Il lui suffit d’écouter ou de modifi
er passivement le trafic et de router ensuite les paquet
s vers leur véritable destination, comme l’illustre la figu
re
 VI.1 Attaque ARP spoofing

Utiliser des enregistrements statiques dans le tableau ARP de la machine

• arp –s 192.168.1.5 aa-00-04-00-bc-06
• Effacer l’enregistrement compromis dans le tableau ARP de la machine
•arp –d 192.168.1.25
VI.1 Attaque ARP spoofing
 VI.2 Attaque IP spoofing
•
La plupart des moyens d’authentification s’appuyant de nos
jours sur les adresses IP, ce moyen faible d’authentification
peut entraîner de graves problèmes de sécurité si
l’authentification ne recourt qu’à ce mécanisme.
•
Si un système peut donner des privilèges particuliers à un
ensemble d’adresses IP sources, un paquet IP forgé avec une
telle adresse IP est reçu par ce système avec les privilèges
associés.
•
L’attaque IP spoofing consiste à se faire passer pour un autre
système en falsifiant son adresse IP.
•
Le pirate commence par choisir le système qu’il veut
attaquer. Après avoir obtenu le maximum de détails sur ce
système cible, il détermine les systèmes ou adresses IP
autorisés à se connecter au système cible.
 VI.2 Attaque IP spoofing
•
Ce type d’attaque s’utilise de deux manières
différentes :
–
La première utilité de l'IP Spoofing est la
falsification de la source d'une attaque, lors d'une
attaque de type déni de service.
–
La seconde utilisation de l'IP Spoofing permet de
profiter d'une relation de confiance entre deux
machines pour prendre la main sur l'une des deux.
VI.2 session TCP
 Définition des différents champs

•
- Port source: Le champ Port source est codé sur 16 bits et correspond au port relatif à
l'application en cours sur la machine source.

- Port destination: Le champ Port destination est codé sur 16 bits et correspond au port relatif
à l'application en cours sur la machine de destination.

•
Vous trouverez la liste des ports TCP officialisées par l'IANA, organisation gérant mondialemen
t les adressage IP.

•
Numéro de séquence: Le champ Numéro de séquence est codé sur 32 bits et correspond au numéro d
u paquet. Cette valeur permet de situer à quel endroit du flux de données le paquet, qui est ar
rivé, doit se situer par rapport aux autres paquets.

•
Numéro de l'accusé de réception: Le champ Numéro de séquence est codé sur 32 bits et définit u
n acquittement pour les paquets reçus. Cette valeur signale le prochain numéro de paquet attend
u. Par exemple, si il vaut 1500, cela signifie que tous les Datagrammes <1500 ont été reçus

•
Flags

•
Le champ URG est codé sur 1 bit et indique que le champ Pointeur de donnée urgente est utilisé.
•
Le champ ACK est codé sur 1 bit et indique que le numéro de séquence pour les acquittements es
t valide.
•
Le champ PSH est codé sur 1 bit et indique au récepteur de délivrer les données à l'application
et de ne pas attendre le remplissage des tampons.
•
- Le champ RST est codé sur 1 bit et demande la réinitialisation de la connexion.
•
- Le champ SYN est codé sur 1 bit et indique la synchronisation des numéros de séquence.
•
- Le champ FIN est codé sur 1 bit et indique fin de transmission.

•
Fenêtre: Le champ Fenêtre "Windows" est codé sur 16 bits et correspond au nombre d'octets à par
tir de la position marquée dans l'accusé de réception que le récepteur est capable de recevoir.
Le destinataire ne doit donc pas envoyer les paquets après Numéro de séquence + Window.
•
3 - Mode de transfert
•
- Ouverture de session

•
==> SYN=1 - ACK=0 - SeqNum=100 - AckNum=xxx
•
<== SYN=1 - ACK=1 - SeqNum=300 - AckNum=101
•
==> SYN=0 - ACK=1 - SeqNum=101 - AckNum=301

•
- Transfert des données

•
==> ACK=1 - SeqNum=101 - AckNum=301 - Data=30 octets
•
<== ACK=1 - SeqNum=301 - AckNum=131 - Data=10 octets
•
==> ACK=1 - SeqNum=131 - AckNum=311 - Data=5 octets
•
<== ACK=1 - SeqNum=311 - AckNum=136 - Data=10 octets

•
- Fermeture de session

•
<== ACK=1 - FIN=1 - SeqNum=321 - AckNum=136
•
==> ACK=1 - FIN=0 - SeqNum=136 - AckNum=321

•
- Fermeture brutale de connexion

•
1ère cas possible :

•
==> ACK=1 - RST=0 - SeqNum=200 - AckNum=400
•
<== ACK=0 - RST=1 - SeqNum=400 - ACKNum=xxx

•
2nd cas possible :

•
<== ACK=0 - RST=0 - SeqNum=200 - Data=30 octets
•
==> ACK=0 - RST=1 - SeqNum=230 - Data=xxx
VI.2 session TCP
 L’attaque se déroule de la façon suivante :

1. Le pirate essaye de prévoir le numéro de séquence des paquets du

serveur cible envoyant plusieurs paquets et en analysant l’algorithme
d’incrémentation de ce numéro.
2. Le pirate rend inopérante la machine A autorisée à accéder au serveur
cible, de façon à s’assurer qu’elle ne répond pas au serveur cible.
3. Le pirate falsifie son adresse IP en la remplaçant par celle de la machine
invalidée et envoie une demande de connexion au serveur cible.
4. Le serveur envoie une trame SYN|ACK à la machine qu’il pense être
l’émettrice.
5. Celle-ci ne pouvant répondre, le pirate acquitte cette connexion par une
trame ACK, avec le numéro de séquence prévu. Il établit de la sorte en
toute impunité la connexion avec le serveur cible.
Remarque: L’IP spoofing est une menace moins importante aujourd’hui en
raison des patches de sécurité appliqués
 VI .3 Attaque man-in-the-middle
•
Un pirate, pour être efficace, doit rester discret et
indétecté, voire indétectable. Pour cela, la méthode
idéale est de se placer entre deux machines comme
un équipement normal du réseau (tel qu’un routeur
par exemple).
•
L’attaque man-in-the-middle consiste à faire passer
les échanges réseau entre deux systèmes par le biais
d’un troisième, sous le contrôle du pirate. Ce dernier
peut transformer à sa guise les données à la volée,
tout en masquant à chaque acteur de l’échange la
réalité de son interlocuteur.
•
Il existe différentes architectures pour cette attaque.
 1-Relais applicatif

•
Le relais applicatif n’est pas à proprement parler une technique d’attaque,
mais plutôt une « architecture » que l’intrus désire obtenir pour
augmenter l’efficacité et la discrétion de son piratage. Cette architecture
présente l’énorme avantage de ne pas obliger le pirate à se trouver
logiquement entre le client et le serveur. Le principe du relais applicatif
est obligatoire lorsque le pirate a besoin de décoder des flux chiffrés entre
deux machines.
•
L’intrus cherche donc à se placer dans les flux circulant entre le client et le
serveur afin d’avoir la visibilité de tous les flux en transit, mais également
afin d’être à même de modifier ces flux .
•
Prenons par exemple le cas de l’espionnage de flux HTTPS entre client et
serveur. L’intrus, ne pouvant espérer déchiffrer une clé de 128 bits (par
exemple) dans un délai raisonnable, peut préférer une meilleure tactique
qui consiste à se placer sur le flux entre le client et le serveur. L’intrus joue
alors le rôle de relais applicatif (proxy ) HTTPS
1-Relais applicatif
 1-Relais applicatif

1.le client envoie sa requête HTTPS vers

l’intrus qui n’est pas du tout sur le
chemin logique entre le client et le
serveur HTTPS. Il négocie donc sa session
chiffrée avec lui ;
2. l’intrus déchiffre la requête et la
renvoie vers le serveur HTTPS. Il négocie
donc sa session avec le serveur ;
3. le serveur HTTPS répond à l’intrus ;
4. l’intrus répond au client.
Cette architecture peut aisément être reproduite pour tous les services du réseau qui sont
naturellement bâtis pour être relayés tels que HTTP, HTTPS, SMTP...
Notons tout de même que la discrétion n’est pas encore idéale car tant le client que le
serveur HTTPS peuvent facilement se rendre compte qu’ils ne se parlent pas directement. Il
suffit donc au serveur HTTPS de comparer l’adresse de provenance des paquets du client et
l’adresse source indiquée dans les requêtes
 Relais Transparent
Ici, le pirate peut être complètement indétectable car il intercepte le trafic du
client et le réachemine vers le serveur en tant que client par usurpation de
son adresse IP. Bien sûr, cela implique que l’intrus soit logiquement sur le
chemin réseau entre le client et le serveur. Ce type d’architecture doit donc
être associé à des attaques visant à modifier le comportement du réseau telles
que les attaques contre le commutateur
La machine du pirate transforme les données à la volée. Elle veut rester la plus
transparente possible et se comporte comme un routeur, conservant toutes
les caractéristiques des paquets dont elle assure le transit, à l’exception du
contenu.

Cependant, l’intrus peut vouloir faire mieux que de modifier à la volée les
données échangées. En effet, les modifications engendrées peuvent être
détectées immédiatement par le client, qui peut constater une différence
entre la réponse fournie et celle attendue .
 Le vol de session ( Hijacking)
•
La machine du pirate utilise la session engagée
entre les deux machines A et B afin que ce soit
elle (la machine du pirate) qui soit en session
avec la machine B.
•
A perd la session avec B, et la machine du
pirate continue la session engagée par A sur B
nous voyons le client en session sur le serveur (étape 1).
L’intrus est en position de relais transparent et se contente de
réacheminer les paquets.
Dans l’étape 2, l’intrus décide de voler la session. Il arrête donc de
répondre au client ou lui renvoie des réponses qui le satisfont et continue
la session établie avec le serveur en tant que client.
Enfin, dans l’étape 3, l’intrus termine proprement (afin de réduire les
soupçons de piratage) la session que le client avait avec le serveur. Pour
cela, l’intrus renvoie au client une demande de fin de session (paquet FIN)
en tant que serveur. Le client voit sa session interrompue et pense qu’il
s’agit d’un problème ponctuel du réseau
 VII.Attaques permettant de mettre le
réseau en déni de service
•
Le déni de service, ou DoS (Denial of Service),
est une attaque qui vise à rendre indisponible
un service, un système ou un réseau.
•
Les premières attaques par déni de service
sont apparues entre 1998 et l’an 2000. Elles
visaient de grands sites Internet (Yahoo, eBay,
eTrade, etc.). Le site Yahoo, a été attaqué en
février 2000