Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Protection contre les attaques de déni de service dans les réseaux IP Référant

Protection contre les attaques de déni de service dans les réseaux IP Référant : Osman SALEM HOTTE Marion LUTUN Quentin-Edouard ASCOET Thomas SOMMAIRE Introduction I. Historique II. Algorithmes d‟attaques existants A. Différentes attaques 1. Attaques du type DoS 2. Attaques du type DDoS 3. ARP Spoofing / ARP Poisoning B. SYN Flooding C. UDP Flooding D. Attaque par fragmentation E. Ping of death F. Smurffing III. Logiciels et algorithmes de défense A. IDS / IPS 1. Les IDS 2. Les IPS 3. SYN Cookie / SYN Cache / SYN Proxy B. NETFILTER C. CUSUM D. ALGORITHME ADAPTATIF DE SEUIL IV. Conclusion V. Index 1 Introduction Définition Dos, DDoS : attaque d‟un pirate, sur un serveur informatique, de façon à l‟empêcher d‟offrir le service pour lequel il est destiné. Qui, où, support : les victimes du déni de service ne sont pas uniquement celles qui le subissent, les postes compromis (daemons et masters) et les postes clients qui n‟arrivent pas à accéder aux services désirés sont également les victimes des pirates qui effectuent le DoS. De nos jours, le piratage peut être acquis aisément, l‟attaquant peut donc être un utilisateur lambda tant que son poste est relié au réseau mondial. Pourquoi (but) : but principal : que l‟accès au serveur d‟une entreprise devienne impossible aux clients, le but n‟étant pas d‟altérer les données contenues et échangées ni de voler des informations, mais plutôt de nuire à la réputation de l‟entreprise en empêchant l‟accès aux divers services fournis aux clients en provoquant un ralentissement significatif ou une saturation du système voire le crash du système. A l‟origine, les pirates n‟étaient intéressés que par la renommée d‟avoir réussit à faire tomber un réseau. Aujourd‟hui, la raison de ces attaques est le chantage, en effet ces criminels sont principalement motivés par l‟argent. Deux types de DoS :  Deni de service par saturation : submerger une machine d‟un grand nombre de requête afin qu‟elle ne soit plus apte à répondre aux demandes des clients.  Deni de service par exploitation de vulnérabilités : exploiter une faille du système dans le but de le rendre inutilisable. Comment (principe) : envoyer une très grande quantité de paquets, dont la taille est relativement importante, en même temps, voire sur une longue période. Le principe du Distributed Denial of Service (DDoS) consiste à utiliser une grande quantité de postes « Zombies », préalablement infectées par des « backdoors » ou « troyens », dans l‟intention de paralyser la réponse du serveur attaqué. Les maîtres sont eux-mêmes reliés aux postes « daemons ». Le pirate se sert des postes maîtres pour contrôler les postes daemons qui effectueront l‟attaque, sans cela, le pirate devrait se connecter lui-même à chaque daemons ce qui serait plus long à mettre en place, et plus facilement repérable. Pour utiliser les masters et daemons, il est nécessaire d‟exploiter des failles connues (FTP…). Le pirate se connecte aux masters en TCP pour préparer l‟attaque, ces derniers envoient les commandes aux daemons en UDP. 2 I. Historique Les attaques par déni de service ont commencé dans les années 1980, ce n‟est qu‟en Aout 1992 qu‟aurait eu lieu la première attaque de déni de service distribué dirigée contre les serveurs de l‟Université du Minnesota, à la suite de quoi l‟accès Internet de l‟Université est resté bloqué pendant plus de 2 jours. Historique des attaques de déni de service : En décembre 1996 a eu lieu l'attaque Ping de la mort (Ping Of Death). En juillet 1997, a eu lieu l'attaque Smurf qui, grâce à un serveur de diffusion (« broadcast »), duplique et envoie sur l‟ensemble du réseau le message qu‟il aura reçu de la machine attaquante. Par la suite, les machines du réseau répondent au serveur de diffusion qui redirigera ces réponses sur la machine cible. Cette attaque fut suivie par l‟attaque WinNuke qui provoquait un « blue screen » ou un « reboot » sur les postes Windows 95 et NT. En octobre de la même année a eu lieu l'attaque Land dont le principe est l‟usurpation d‟adresse IP dans le but d‟exploiter une faille du protocole TCP/IP dans les systèmes visés. Cette attaque consiste donc à envoyer dans les champs sources et destination des paquets IP exactement la même adresse et le même numéro de port ce qui avait pour conséquence de déstabiliser ou de faire tomber les systèmes vulnérables tels que les systèmes Windows 95, 98, NT 4.O, FreeBSD etc ... 3 Enfin, en décembre 1997, a été appliquée l‟attaque Teardrop / Overdrop dont le principe est d‟exploiter la fragmentation effectuée par le protocole IP (fragmentation des paquets, de taille trop importante, en plus petits paquets possédant tous un numéro d‟identification et de séquence, à la réception, ils sont réassemblés grâce aux valeurs de décalage). On insère dans les paquets fragmentés de fausses informations de décalage qui, lors du réassemblage provoquaient des vides ou recoupements qui avaient pour conséquence une instabilité sur les stations Linux, Windows NT et 95. En janvier 1998, l'attaque Bonk/Boink qui visait les stations Windows 95 et NT 4.0. Le principe est d‟émettre une grande quantité de paquets UDP corrompus provoquant des blocages ou des plantages du système d'exploitation qui a été visé, suivie par l'attaque Fraggle qui inondait la cible de paquets UDP en utilisant une variante amplifiée de l‟attaque Smurf. Suivit en juin 1998 de l‟attaque Syndrop basée sur le Teardrop en TCP avec le bit SYN et possédant des champs invalides tels que le numéro de séquence par exemple. L'impact de cette attaque est le blocage les postes Windows NT4 SP3 par un Freeze (gèlés, blocage). Le lundi 21 octobre 2002, une attaque de type Ping Flood bloque 9 des 13 serveurs DNS qui ont pour but le routage des requêtes de résolution de nom de domaine, rendant ainsi impossible l‟accès à leurs ressources pendant trois heures. Les pirates ont pu grâce à un parc important de machines de générer un nombre de requêtes entre deux et trois fois supérieur à la capacité des treize serveurs visés. Historique des attaques de déni de service distribué : La première attaque DDOS qui fut médiatisée dans la presse s‟est produite le 7 février 2000 contre Yahoo! L‟attaque a empêché l‟accès à son portail Internet pendant trois heures. Durant ces heures Yahoo aurait subi une perte d‟environ 500 00$. Le lendemain, ce sont Amazon.com, Buy.com, CNN et eBay ont été attaqués au moyen du déni de service distribué provoquant ainsi soit l'arrêt total, soit un fort ralentissement du fonctionnement de leur serveur. Sur les dix heures pendant lesquelles l‟attaque a duré, Amazone aurait subi une perte de 600 000$, eBay est passé de 100 à 9.4% de disponibilité et CNN en dessous de 5% de la capacité habituelle. Le 9 février suivant, E Trade et ZDNet ont à leur tour été victimes de ce type d‟attaques dont la conséquence fut l‟inaccessibilité de leur portail. En septembre 2001, un virus nommé Code Red infecte des milliers de systèmes, suivit par une seconde version, Code Red II, qui installait un agent effectuant le DDOS. Il paraîtrait que cette attaque aurait été lancée contre la Maison Blanche, cette dernière a, par la suite annoncée que les mesures nécessaires à la sécurité seraient entreprises. Dès l'été de l‟année suivante, c'est Internet qui subit une attaque DDOS à l'encontre de ses 13 serveurs racines. Cette attaque n‟a duré qu'une heure mais elle aurait pu paralyser la totalité du réseau Internet. En septembre 2002 est apparue la première version de Slapper qui, en seulement deux semaines, a contaminé plus de 13 000 serveurs Linux. Slapper utilise une faille de sécurité présente dans le module OpenSSL1, et y transfert un agent DDOS. Le 25 janvier 2003, le ver SQL Slammer infecte des serveurs de bases de données MySQL de Microsoft qui étaient alors mal configurés. Seuls 4 des 13 serveurs racines ont été affectés ne provoquant qu‟une réduction de 15% de la performance globale du réseau. 4 II. Algorithmes d‟attaques existants De très nombreuses méthodes permettent d‟arriver à un DoS : - Le SYN Flood consiste à saturer un serveur en envoyant un grand nombre de paquets TCP avec le flag SYN armé. - L‟UDP Flood consiste à saturer le trafic réseau en envoyant le plus grand nombre de paquets UDP à une machine. - Le ping of death utilise aussi une faiblesse de certaines piles TCP/IP lors de la gestion de paquets ICMP trop volumineux. - Le smurfing est aussi une attaque basée sur le protocole ICMP. - Les bombes e-mail consistent à envoyer sur le réseau des mails trop volumineux. Nous allons voir plus en détail, comment fonctionnent les différentes attaques proposées ci- dessous. A. Différentes attaques Contexte : La réalisation d'un déni de service n'est pas très compliquée, mais pas moins efficace. Nous avons vu précédemment que la plupart du temps, elles sont réalisées avec succès car la plupart des dénis de service exploitent des failles liées au protocole TCP/IP. Les contre-mesures sont compliquées à mettre en place, d‟autant plus que ce type d‟attaque uploads/s1/ hotte-lutun-ascoet-pdf.pdf