Sujet bibliographique

Transcription

1 Stéphane BOEUF Grégory DANELON DESS Réseaux Année Sujet bibliographique Denial of Service (Déni de service) Mars 2002 Université Claude Bernard Lyon 1 UFR d informatique

2 SOMMAIRE 1. INTRODUCTION PRINCIPE Première approche Classification Consommation de bande passante Déni de connexion Épuisement des ressources Défauts de programmation Historique LA TECHNIQUE DE BASE : IP SPOOFING Principe ICMP Spoofing UDP Spoofing TCP Spoofing Le principe La technique Détermination de la machine de confiance Invalidation de la machine de confiance Echantillonnage des numéros de séquence et prédiction : DENI DE SERVICE DISTRIBUE LES DIFFERENTES ATTAQUES Déni de connexions Le TCP-SYN flooding L attaque Land Click Déni de bande passante L'UDP flooding Le ping flooding Smurf Principe Protection Smack-Bloop Le packet Fragment Ping of Death Principe Protection Teardrop Principe Protection Bonk Principe Protection Boink Déni de messages Attaque par routage Principe Protection DNS Spoofing Principe Protection ARP redirect Principe Protection ICMP type Deux autres attaques Pong...21 Page 2 sur 39

3 Bombardement de courrier Principe Liaison de listes Mail Bomber Protection Les virus Autres types LA PROTECTION Les symptômes d une attaque L'analyse du backscatter Pushback Les firewalls Lutter contre l'ip Spoofing Général Filtrer les paquets Désactiver le source routing Utiliser le chiffrement Utiliser un numéro de séquence initial aléatoire Ipv Les détecteurs d'intrus (IDS) Le mode de fonctionnement IDS à bibliothèque de signatures IDS à modèles comportementaux La zone de fonctionnement IDS Réseau IDS Système Se protéger Correctifs et mises à jour Configuration Toujours informé Audits Conclusion QUELLE EVOLUTION? CONCLUSION ANNEXE A : RAPPELS TECHNIQUES Le protocole IPv La Fragmentation...34 Le protocole UDP Le protocole TCP TCP et phase de connexion...35 Incrémentation de numéro de séquence et ISN...36 Ports...36 Rlogin...36 Le protocole ICMP ANNEXE B : DOCUMENTATIONS Livres Sites Internet Page 3 sur 39

4 1. INTRODUCTION La sécurité informatique présente, d un point de vue historique, trois aspects : la confidentialité, l intégrité et la disponibilité. La confidentialité est la protection de la vie privée. Son but est d empêcher des utilisateurs non autorisés de lire des informations sensibles. Les moyens mis en oeuvre sont la cryptographie, la signature numérique, la configuration des droits d accès par mot de passe... L intégrité est l assurance que les données n ont pas été supprimées ou modifiées sans autorisation. Chaque élément de donnée est tel que l a laissé le dernier modificateur autorisé. Pour préserver l intégrité des données, un système de sauvegardes doit être mis en place. La disponibilité est la propriété de ce qui est accessible ou utilisable à la demande d une entité autorisée. La disponibilité cherche à garantir qu un assaillant ne pourra pas empêcher des utilisateurs légitimes d avoir un accès raisonnable à leurs systèmes. Les attaques par déni de service visent le dernier point, i.e. la disponibilité. Globalement une attaque par déni de service crée un dérangement ou bien interrompt totalement la fourniture de services à des utilisateurs, des réseaux, des systèmes ou à d autres ressources légitimes. En informatique, il existe une multitude de façons de rendre une machine ou un système inopérant. Sous Windows 95, le simple fait de donner un mot de passe trop long (plus d une vingtaine de caractères) suffisait à provoquer un débordement de tampon, et donc à faire planter le système d exploitation. Dans ce dossier, nous étudierons principalement les attaques par déni de service à distance, i.e. le pirate n est pas sur la machine victime mais sur sa propre machine et il utilise les réseaux informatiques, tel qu Internet, pour lancer son attaque. L attaque par refus de service est une attaque particulièrement novice pour des systèmes de communication, ces derniers ayant été conçus pour communiquer. Sur Internet, inonder un ordinateur de requêtes de communication est un bon moyen de le bloquer. En premier lieu il convient d expliquer les bases et les principes d une attaque par déni de service. Nous étudierons ensuite une technique clé pour rester anonyme : la mystification d adresses IP. Nous verrons une extension aux attaques par déni de service : les attaques distribuées. Nous évoquerons ensuite les attaques par déni de services les plus connues, puis les moyens de prévention et de protection contre ces attaques. Enfin, avant de conclure, nous nous interrogerons sur les évolutions possibles des attaques par déni de service. Pour bien comprendre les mécanismes utilisés lors d une attaque par déni de service concernant les protocoles de communication dans Internet, il est important de connaître le fonctionnement de TCP/IP. Un rappel technique joint en annexe est prévu à cet effet. La plupart des documents que nous avons trouvés datent de l'an 2000, période ou les attaques de déni de services ont été si fréquentes et si médiatisées. Nous avons trouvé assez peu de documents très récents pour connaître si des logiciels efficaces ont vu le jour ou si des techniques de protection se sont avérées efficaces. Dans la suite du rapport, nous emploierons les termes DoS, déni de service, refus de service ou bien encore dénégation de service indifféremment. Page 4 sur 39

5 2. PRINCIPE 2.1. Première approche Le principe d une attaque par déni de servie est simple : empêcher un système de fonctionner. Le monde physique regorge d exemples de DoS comme les boycotts, les grèves ou les barrages routiers. Les attaques par DoS peuvent être le prélude à des attaques criminelles. Des cambrioleurs s approchent d un entrepôt et sectionnent discrètement les fils qui relient l alarme anti-intrusion au poste de police. L alarme se déclenche et signale à la police que la connexion est rompue. Tandis que les cambrioleurs se mettent à l abri, la police arrive mais ne trouve rien. Elle en conclut un disfonctionnement du système que le propriétaire de l entrepôt règlera le lendemain. Les cambrioleurs reviennent et peuvent tranquillement vider l entrepôt. On a bien une attaque DoS puisque le service "alarme" a été interrompu. Une technique de vol de voitures consiste à déclencher l alarme de cette dernière périodiquement à 2h00 du matin, 2h10, 2h20, 2h30,... etc., jusqu à ce que son propriétaire désactive cette alarme pour calmer les voisins furieux. Au petit matin, la voiture en question a disparu. Dans cet exemple, le voleur a usé de la patience du propriétaire de manière à l obliger à refuser un service, l alarme de sa voiture. En situation de guerre, les belligérants lancent constamment des attaques DoS. Chaque camp cherche à bloquer les systèmes de défense (radar...) et les systèmes d attaques (guidage de missiles...) de l autre, à désorganiser les systèmes de communication et à couper les voies de transport. Ces exemples, parmi tant d autres, montrent combien une attaque DoS est simple à mener, autant dans les moyens mis en oeuvre que dans l exécution, et donne immédiatement des résultats concrets. C est l une de leur caractéristique : les attaques basse technologie (comme le bombardement d un centre informatique) fonctionnent souvent mieux que les attaques haute technologie (comme trouver la faille d un système). Les attaques DoS s apparentent à des attaques basse technologie. Ce qui se passe dans le monde physique se produit depuis une dizaine d années dans le monde virtuel des réseaux et d Internet Classification Une attaque DoS est une attaque consistant à empêcher l'utilisation d'un service en déconnectant ou en faisant tomber en panne l'ordinateur offrant ou utilisant le service. L'attaque DoS est également appelée Nuke. Certaines attaques DoS peuvent être effectuées avec succès à partir d'un petit ordinateur contre un serveur. Ce sont des attaques asymétriques. Il est important dans un premier temps d identifier les types d attaques DoS. C est pourquoi nous allons explorer les fondements théoriques qui sont sous-jacents aux différents types d attaques DoS les plus courants Consommation de bande passante La forme la plus insidieuse d attaque DoS est l attaque par consommation de bande passante. Elle consiste à utiliser la bande passante qu offre un réseau au détriment des utilisateurs légitimes dudit réseau. Bien que ceci puisse se produire sur un réseau local, il est plus courant de trouver des pirates qui agissent à distance. Page 5 sur 39

6 On distingue deux cas : Le pirate possède une connexion réseau de plus haut débit que sa victime. Il peut alors facilement l inonder et bloquer son système, ou au mieux le rendre très lent et donc inutilisable. Le pirate ne dispose pas d une bande passante suffisante face à sa victime. Il va alors recruter des sites offrant une connexion de plus haut début, en prenant leur contrôle de manière à diriger leurs trafics sur la victime. C est une technique d amplification puisque les systèmes qu exploite le pirate sont des amplificateurs Déni de connexion Le principe d une attaque du type déni de connexion est simple : empêcher un utilisateur légitime d atteindre, via le réseau, le système victime. Il existe plusieurs moyens de procéder. La première méthode consiste à épuiser les ressources du système de telle façon qu il refuse toute nouvelle connexion. Cela est possible quand un pirate tente d ouvrir un grand nombre de connexions sans les garder. Comme le nombre de connexions possibles sur un serveur est limité, plus ou peu d utilisateurs peuvent se connecter. La deuxième méthode amène le pirate à cibler les systèmes qui identifient et répertorient les machines qu ils administrent ou gèrent pour supprimer la machine victime. Ces attaques sont sournoises puisqu elles ont pour conséquence de rendre "invisible" la victime aux yeux des utilisateurs Épuisement des ressources Une attaque par épuisement des ressources vise à saturer les ressources système et non les ressources réseau comme dans une attaque par consommation de bande passante. Les ressources système sont l utilisation de CPU, mémoire, espace disque, quotas utilisateurs et autres processus systèmes. Bien souvent, le pirate a un accès légitime à une quantité finie des ressources système. Mais c est l utilisation abusive de cet accès qui conduit à consommer des ressources supplémentaires. Le système est alors très occupé et empêche les autres utilisateurs légitimes d accéder aux ressources. De plus, quand toutes les ressources sont occupées, le système se bloque car il ne dispose plus de ressources pour son propre fonctionnement. Toutes les ressources deviennent alors inutilisables Défauts de programmation Les attaques par défauts de programmation sont très sournoises car elles exploitent directement des erreurs de conception d un système d exploitation, d un logiciel, ou d'une puce électronique à logique incorporée. Ces erreurs, plus couramment appelées "bugs", se produisent exceptionnellement sous certaines conditions que les concepteurs n avaient pas prévu. Au niveau applicatif, de nombreux bugs découlent directement d une mauvaise utilisation de la mémoire ou des manques de vérification. Dans le cas d échange de données, le programme utilise un tampon en mémoire de longueur fixe pour recevoir ces données. Or le pirate connaît cette limite et envoie volontairement des données de taille supérieure au tampon. Il provoque alors un débordement de tampon et bloque l application. Pire, dans le cas de certains logiciels, celui-ci ne se bloque pas lors d un débordement de tampon mais peut poursuivre son exécution et prendre les données envoyées par le pirate et hors tampon comme étant la suite du programme. Si en plus le logiciel possède les droits administrateur, les commandes codées par le pirate et exécutées illégalement peuvent altérer les données et l intégrité du système. Les systèmes d exploitation peuvent également subir des attaques du type débordement de tampon. La gestion des différentes entrées-sorties peut aussi leur causer des problèmes. Un paquet bizarre non conforme RFC envoyé par un pirate vers un système cible via le réseau peut être mal interprété et entraîné des réactions imprévues, comme le blocage du système. Une mauvaise implémentation des protocoles réseau ou une trop grande liberté prise envers les RFC peuvent conduire à des bugs. Les systèmes visés sont les serveurs, mais aussi les routeurs ou d autres éléments actifs qui embarquent des micro-logiciels et des systèmes d exploitation. Page 6 sur 39

7 Des défauts de programmation apparaissent également dans les puces à logique incorporée. Outre le fait qu une telle puce se comporte anormalement quand elle chauffe, elle peut sous certaines conditions provoquer un blocage de la machine. La célèbre attaque DoS Pentium f00f a permis à un processus de type utilisateur de bloquer tout un système d exploitation en exécutant l instruction non valide 0xF00FC7C8. Comme on peut le constater chaque jour, il n existe pas de programme, de système d exploitation ou même de CPU sans défaut. Les pirates connaissent aussi cet axiome et profitent au maximum de ces bugs pour attaquer et bloquer des applications critiques ou les systèmes vulnérables et sensibles Historique Les attaques par DoS ne sont pas des phénomènes récents : le premier exemple d attaque date d Avril 92. Plus récemment, nous pouvons noter les dates suivantes : 1996 Décembre : Ping Of Death 1997 Juillet : WinNuke, Smurf Octobre : Land Décembre : Teardrop / Overdrop 1998 Janvier : Bonk, Boink, Fraggle 1999 Mars : virus Melissa Juillet 1999 : apparition des outils d attaques DDoS comme Trinoo et TFN. Août : Attaque DDoS avec Stracheldraht Décembre : TFN2K (nouvelle version de TFN plus difficile à détecter) 2000 Février : Vagues d attaques DoS sur plusieurs grands sites Web Août : Outil d attaque DDoS Trinity 2001 Février : Propagation du virus VBS/OnTheFly (Anna Kournikova) Juillet : Propagation du virus W32/Sircam et Code Red. Ce dernier déclenche sur une cible donnée une attaque DDoS de type inondation SYN TCP sur plusieurs machines. Août : Code Red II Septembre : Virus Nimda qui peut déclencher une attaque DDoS. Page 7 sur 39

8 3. LA TECHNIQUE DE BASE : IP SPOOFING 3.1. Principe L IP spoofing est le mécanisme de falsification d une adresse dans un paquet IP (spoof = parodie). Pour dissimuler leur emplacement et éviter une réponse, les attaquants modifient l adresse source de chaque paquet IP qu ils envoient. Les paquets semblent ainsi provenir d une tierce personne. Cela rend plus difficile les tentatives pour remonter jusqu à l agresseur et évite de surcharger la machine attaquante par les réponses de la cible. L'IP Spoofing est une technique largement utilisée dans de nombreux types d'attaques. Cependant il ne faut pas penser que la tâche soit simple. En effet, IP ne fonctionne pas tout seul et il est toujours (ou presque) utilisé avec un protocole de niveau supérieur. L'IP Spoofing a fait ses preuves, aussi bien sur ICMP, sur UDP ou sur TCP. Cependant la difficulté de sa mise en place varie beaucoup selon le protocole utilisé : Le protocole ICMP envoie des messages et n'attend aucune réponse en retour, il est donc très facile d'envoyer des messages ICMP spoofés. Le protocole UDP sert quand à lui à la communication entre tâches clientes et serveur. Ce protocole fonctionne en mode non connecté, il est donc assez facile d'envoyer des paquets avec une fausse adresse IP sans que le serveur ne se rende compte de rien. Cependant il nous sera impossible de recevoir une éventuelle réponse du serveur du fait qu'il renvoie tout vers la fausse adresse IP. L'IP Spoofing sur TCP est la plus difficile à mettre en œuvre (mode connecté). Nous étudierons en détail sa technique de mise en œuvre. Dans la littérature, on trouve parfois le mot d'adresse forgée à la place d'adresse spoofée ; les deux termes désignant une adresse falsifiée par IP spoofing ICMP Spoofing. L'ICMP Spoofing est très certainement le plus répandu car c'est le plus facile à mettre en oeuvre. Cependant, sa simplicité ne le rend en rien inoffensif UDP Spoofing. Si on envoie un paquet à un serveur qui fonctionne avec le protocole UDP, celui-ci traite le paquet directement. Il n'y a pas de contraintes comme celles dues au processus de connexion du protocole TCP. De ce fait il est très simple d'envoyer des paquets UDP spoofés TCP Spoofing Le principe L'IP spoofing sur TCP nécessite plusieurs étapes. Premièrement, l'attaquant doit choisir sa victime. Ensuite, il doit trouver une configuration pour laquelle la victime autorise une connexion avec une machine de confiance. L'intérêt est de se faire passer pour cette machine autorisée. Pour cela, la machine autorisée est rendue invalide par SYN Flooding (pour ne pas pouvoir réagir). Les numéros de séquence du serveur sont analysés. Une connexion simulée avec des paquets falsifiés de l'attaquant est alors demandée au serveur avec des numéros de séquence devinés. Si la connexion est établie, c est gagné! L'attaquant peut alors modifier des informations pour permettre de revenir plus facilement ultérieurement (backdoor). Page 8 sur 39

9 Denial of Service L usurpation de l identité de la victime permet à l attaquant de passer le firewall La technique Il ne faut pas oublier dans l'ip spoofing sur TCP que les attaques se font en aveugle. Comme l'attaquant subtilise l'identité d'une machine de confiance pour contourner la sécurité du serveur, les datagrammes sont renvoyés par le serveur à destination de la machine de confiance (qui a été invalidée). En effet, les datagrammes IP fonctionnent sans connexion, donc l'attaquant ne les voit jamais. Comme la machine de confiance a été au préalable rendue inopérationnelle, elle n'est pas capable de répondre aux datagrammes reçus et c'est donc à l'attaquant d'être suffisamment documenté sur l'état de la communication des machines pour pouvoir prédire ce que le serveur attend en retour. Nous prenons comme notation symbolique : Ø V: un ordinateur cible ou victime Ø W: un serveur ou une machine qui a confiance en V Ø Z : une machine attaque Détermination de la machine de confiance Une fois que la cible (V) a été choisie, on utilise des commandes comme "showmount -e" qui montre où sont exportés les systèmes de fichiers ou bien "rpcinfo" qui apporte des informations supplémentaires Invalidation de la machine de confiance Pour éviter que la machine de confiance (W) ne puisse répondre au serveur lorsque celui-ci répond aux datagrammes falsifiés, il est important d'invalider la machine de confiance. Ceci est généralement effectué par le biais d'un mécanisme appelé TCP SYN flooding (cf. Les différentes attaques). Cette invalidation est nécessaire pour que la machine ne puisse pas répondre aux paquets envoyés par le serveur cible. Dans le cas contraire elle enverrait des paquets TCP RST qui mettraient fin à l'établissement de la connexion Echantillonnage des numéros de séquence et prédiction : L'attaquant doit avoir une idée du nombre contenu dans le numéro de séquence de la cible (le serveur), pour cela il va se connecter sur un port TCP de la machine cible (par exemple SMTP) et analyser les trames qui transitent. Ce processus est recommencé plusieurs fois et à chaque fois on conserve le numéro de séquence de la cible de façon à établir des statistiques sur l'incrémentation (dépendant du temps de transfert). L'attaquant possède alors toutes les clés : le dernier numéro de séquence émis, les données de changement ISN ( /seconde et /connexion) et le temps nécessaire. Aussitôt après avoir pris connaissance de ces paramètres, l'attaque est lancée. Page 9 sur 39

10 Plusieurs cas peuvent alors se produire : Le numéro d'acquittement correspond parfaitement, et dans ce cas les données sont placées en attente dans le buffer TCP. Si le numéro d'acquittement est inférieur au numéro attendu, alors le paquet est supprimé (car considéré comme une réémission). Si le numéro est supérieur à ce qui est attendu mais reste dans la limite acceptable par la fenêtre de transmission, il est maintenu en attente des paquets intermédiaires sinon il est purement supprimé. Voici le mécanisme de l'attaque : 1 Z(W) --SYN--> V 2 W <--ACK/SYN-- V 3 Z(W) --ACK--> V 4 Z(W) --PUSH--> V... En (1), l'attaquant simule l'adresse IP de la personne de confiance (qui subit une attaque de déni de service SYN Flooding) et envoie sa connexion sur le port 513 (rlogin est le plus utilisé) de la victime. En (2), la cible répond à la machine falsifiée qu'elle autorise la communication. Comme la machine falsifiée est "hors circuit", elle supprime le paquet au lieu de renvoyer un RST comme elle aurait du le faire. En (3), l'attaquant renvoi un paquet avec le numéro de séquence de la cible prédit + 1 puisqu'on l'acquitte. Si la prédiction est bonne, la cible accepte le ACK, et la sécurité est alors compromise puisque les transferts peuvent commencer (4). L'attaquant peut donc envoyer une commande au service rsh pour obtenir des droits supplémentaires, comme echo ++ >> /.rhosts. Pour cela il forge un paquet avec le flag TCP PSH (Push) : les données reçues sont immédiatement transmises à la couche supérieure, ici le service rsh, pour que celle-ci les traite. Il lui est alors possible de se connecter ultérieurement sur la machine directement via un service de type rlogin ou rsh sans IP Spoofing. Une méthode permet de ne pas attaquer en aveugle, c'est l'utilisation du source routing. En effet, avec l'utilisation des champs options du datagramme IP, il est possible de spécifier une route pour un paquet de données. Ainsi, il suffit que l'attaquant rajoute ce champ option avec un chemin de retour passant par lui de façon à ce qu'il puisse voir le contenu de tous les messages à destination de la machine usurpée. Dans ce cas, l'utilisation devient nettement plus simple, puisque l'attaquant n'a plus besoin de faire de prédiction de numéro de séquence et il peut contrôler la validité de tous les messages envoyés et reçus. Cette méthode n'est plus maintenant utilisable. Page 10 sur 39

11 4. DENI DE SERVICE DISTRIBUE C'est en 1997 que, pour la première fois, on pense qu'il est possible technologiquement de réaliser une attaque DoS distribuée (DDoS). Deux ans plus tard, en 1999, on identifie les trois premiers outils utilisés pour du DDoS. Il s'agit de TRINOO, de Tribal Flood Net et de Stachedraht. Dès lors, des systèmes pour contrer ces logiciels sont développés par diverses sources mais principalement par le FBI National Infrastructure Protection Center (NIPC). Le principe est de détecter des codes sources caractérisant un DDoS. A l'époque, des recommandations ont été faites auprès des principales organisations pour qu'elles téléchargent et utilisent ces outils. Les administrateurs de ces systèmes ne prêtèrent que peu d'attention à ces conseils. Ces outils ne protègent pas la victime d'une DDoS mais réduit le nombre de sources potentielles d'attaques. Sur un plan plus juridique, l'utilisation de ces logiciels prouve la bonne foi de l'entreprise et la met à l'abri si elle se retrouve esclave d'une attaque DDoS. Dans une attaque DDoS, il y a trois types de protagonistes : Le maître (machine utilisée par l'attaquant) La victime (machine visée par l'attaquant) Les esclaves (machines ou serveurs dont va se servir illicitement l'attaquant) Victime Esclaves Sous Réseau Maître Page 11 sur 39

12 L attaquant utilise un nombre important de ces esclaves pour lancer une attaque sur la victime. Ces esclaves sont commandés par une machine Maître (machine utilisée par l'attaquant). Dans certains cas, les esclaves utilisent réellement (et sans intention malfaisante de leur part) d'autres hôtes de leur réseau comme des miroirs pour donner encore plus de trafic à leur victime. Avant de lancer une attaque, l'attaquant s'immisce dans ses futurs esclaves (des gros serveurs avec une connexion Internet à large bande généralement) et installe un ou plusieurs logiciels sur chacun d'eux (le pirate utilise des failles connues comme le buffer overflow sur des services RPC, FTP ou autres). Ces logiciels transforment alors les hôtes en esclaves qui attendent leur instruction du Maître pour envoyer des requêtes au site victime identifié. Le Maître transmet cette information par un message à un instant donné. Grâce au(x) logiciel(s) installé(s), l'attaquant est libre de lancer des attaques contre n'importe quel site de son choix. L'attaquant peut de plus utiliser l'ip spoofing pour rendre son attaque plus sournoise. Cela rend encore plus dure la remontée de la trace jusqu'aux esclaves et encore plus jusqu'à la machine Maître. De plus, il est probable que l'attaquant utilise un autre système que celui dont il s'est servi pour pénétrer les machines hôtes. On voit ainsi que remonter jusqu'à la machine Maître n'est pas forcement suffisant pour pouvoir identifier le véritable attaquant. L'attaquant peut également utiliser le spoofing d'adresse pour créer un effet multiplicateur (comme nous l'avons précédemment vu). Dans notre cas, l'esclave peut alors diffuser à toutes les machines de son sous réseau un message de broadcast dont l'adresse IP semble être celle de la victime. Ces messages requièrent tous une réponse de la part des machines qui vont le recevoir. Ainsi, chaque machine du sous réseau de l'esclave réalise une partie de l'attaque en envoyant une réponse à la victime qui n'a rien demandé. Ces sous réseaux en questions peuvent être des sous réseaux d'esclaves mais également tout sous réseau protégé par un routeur qui serait configuré pour autoriser les messages de diffusion qui viendraient de l'extérieur du sous réseau. Notons que les propriétaires de ces esclaves ne sont absolument pas au courant de l'utilisation illicite de leurs machines. Cependant une sécurité assez lâche fait de ces systèmes des candidats idéaux pour une prise de pouvoir. On avance que cinquante gros serveurs (probablement localisés dans les universités) ont été utilisés comme esclave dans le cadre de DDoS. Il faut reconnaître que les sites universitaires sont particulièrement visés car ils ont typiquement le profil recherché : des accès Internet rapides, une politique de sécurité assez laxiste et des sous réseaux étendus. Pour amplifier encore le phénomène de diffusion, l attaquant utilise les réflecteurs. Un réflecteur est un hôte qui diffuse les paquets IP qu on lui envoie. Ainsi, par exemple, tous les serveurs du Web, les serveurs de DNS et des routeurs sont des réflecteurs, puisqu'ils répondent aux requêtes TCP. L attaquant localise plusieurs réflecteurs. Il va programmer les esclaves de façon à diriger le trafic à destination de la victime en passant par les réflecteurs. Ces derniers vont alors envoyer les paquets reçus vers la victime, multipliant ainsi le trafic vers la victime. La figure suivante illustre ce principe. Page 12 sur 39

13 Denial of Service Enfin, l'utilisation des réflecteurs complique encore la tâche de la victime pour repérer l'attaquant et bloquer l'attaque. Page 13 sur 39

14 5. LES DIFFERENTES ATTAQUES Les attaques par déni de service se basent principalement sur un disfonctionnement (naturel ou forcé) des protocoles de la pile TPC/IP. Nous pouvons classer ces attaques selon leur effet : celles qui n affectent que les connexions de la machine (SYN Flooding, Land) celles qui consomment de la bande passante (UDP Flooding, Ping Flooding, Smurf) celles qui crashent la machine par Packet Fragment (Teardrop, bonk, ping of Death) celles qui privent la machine de message (ICMP type 5, DNS Spoofing, ARP Redirect) Les virus (Code Red, Nimda ) 5.1. Déni de connexions Le TCP-SYN flooding Nous avons vu qu'une connexion TCP s'établie en trois phases. Le SYN Flooding exploite ce mécanisme d'établissement en trois phases. Quand une connexion est demandée avec le flag SYN activé, le récepteur renvoie un SYN/ACK et attend le ACK de la part de l'émetteur. Tant que l'émetteur n'a pas renvoyé son ACK, la connexion n'est pas établie : on dit qu la connexion est semiouverte. Etant donné que ces connexions semi-ouvertes consomment des ressources mémoires, au bout d'un certain temps la machine est saturée et ne peut plus accepter de connexions (cette limite s'appelle le backlog et vaut généralement 5). Jusqu'à ce que des connexions en attente soient établies, le port TCP sur lequel les requêtes SYN ont abouties est invalide. L'attaquant doit s'assurer que les paquets envoyés sont encore une fois falsifiés comme provenant d'une machine inatteignable (Unreachable Host) car sinon celle-ci renverrait un message Reset (bit RST positionné) à chaque SYN/ACK ce qui annulerait l'effet recherché. Normalement, il y a un système de "timeout" (i.e. si le système attend un événement particulier, au bout d un certains temps, il considère que cet événement n apparaîtra plus et génère une erreur ou un message) associé à chaque connexion. Les demi connexions, au bout d'un certain temps, doivent expirer. Le serveur victime peut alors récupérer de la place libre dans sa mémoire pour d autres connexions. Toutefois, le système agresseur continue généralement d'envoyer des paquets plus vite que le temps nécessaire au serveur pour faire expirer les demi connexions. L'attaque a lieu comme suit : 1 Z(X) --SYN--> V 2 Z(X) --SYN--> V 3 Z(X) --SYN--> V... M X <--ACK/SYN-- V M+1 X <--ACK/SYN-- V... N X <--RST-- V En (1), l'attaquant Z envoie toute une multitude de requêtes SYN pour remplir le backlog. En (M), la cible V renvoie des paquets TCP SYN/ACK à ce qu'elle croit être l'émetteur : X. Cette phase dure un petit moment (car X est inatteignable) et pendant ce temps, aucune connexion sur le port TCP utilisé n'est prise en compte! En (N), lorsqu'un certain temps s'est écoulé la machine cible décide d'annuler la connexion. Page 14 sur 39

15 Notons que ce type de déni de service n'affecte que la machine cible. Le pirate utilise un SYN Flooder comme synk4, en indiquant le port TCP. La localisation de l attaque est très complexe car les adresses contenues dans les paquets SYN envoyés sont très souvent falsifiées et tirées aléatoirement pour éviter toute identification de la machine d'attaque. Il n y a donc pas de moyen facile pour déterminer la véritable source. Internet faisant suivre les paquets grâce à l adresse de destination, le seul moyen de s affranchir de ces attaques est de valider la source d un paquet en utilisant le filtrage. Cette attaque (accomplie en septembre 1996 par un pirate ou un groupe de pirate inconnu sur Panix, un FAI implanté à New York) est le premier exemple connu d attaque par refus de service contre un hôte Internet L attaque Land Quelques implémentations (sous Win32) de TCP/IP sont vulnérables quand elles reçoivent des paquets de synchronisation (SYN) modifiés ayant comme adresse source et adresse de destination l'adresse de la victime. Lors de la réception de ce type de paquet, l'ordinateur de la victime ne saura que faire en voyant que l'adresse source et l'adresse de destination sont identiques ; l'ordinateur de la victime essaie de se répondre à elle-même et plante. Sous Windows 95 l'ordinateur se fige. Sous Windows NT la station est fortement ralentie momentanément. L attaquant pourra renouveler son attaque pour saturer complètement NT. Cette attaque concerne toutes les ressources réseau IP, y compris les imprimantes réseau. Il faut configurer le firewall ou le routeur pour filtrer les paquets qui ont la même adresse IP en source et destination, et ce sur tous les ports Click Il s'agit d'un exemple d'envoie massif de paquets ICMP type 3 (Destination Unreachable) vers une cible donnée. Si l'attaquant sait que la cible est connectée à un serveur dont il connaît l'adresse IP, il lui suffit d'envoyer à la cible une multitude de paquets ICMP type 3 avec une adresse source correspondant à l'adresse IP du serveur. La cible va donc penser que les paquets proviennent effectivement du serveur et qu'elle ne peut pas l'atteindre. Elle va donc se déconnecter de manière spontanée. Click a fait des ravages sur l'irc pendant un bon moment Déni de bande passante L'UDP flooding Ce déni de service exploite le mode non connecté du protocole UDP. Il crée un "UDP Packet Storm" (génération d'une grande quantité de paquets UDP) soit à destination d'une machine, soit entre deux machines. Une telle attaque entre deux machines entraîne une congestion du réseau ainsi qu'une saturation des ressources des deux hôtes victimes. La congestion est plus importante du fait que le trafic UDP est prioritaire sur le trafic TCP. En effet, le protocole TCP possède un mécanisme de contrôle de congestion : dans le cas où l'acquittement d'un paquet arrive après un long délai, ce mécanisme adapte la fréquence d'émission des paquets TCP, le débit diminue. Le protocole UDP ne possède pas ce mécanisme. Au bout d'un certain temps, le trafic UDP occupe donc toute la bande passant n'en laissant qu'une petite partie au trafic TCP Le ping flooding Cette attaque est une des plus simples à effectuer. Elle nécessite de la part de l attaquant une ligne plus rapide que sa victime car le procédé consiste à envoyer un flux maximal de ping vers une cible. La victime ne pourra pas traiter suffisamment vite la liste des ping reçus (ce qui peut entraîner la fin de la connexion). Page 15 sur 39

16 N'importe qui peut provoquer cette attaque du moment qu'il a un logiciel permettant de le faire. Plus il a y de personnes qui font un ping flooding vers une cible, plus la situation devient critique pour cette cible. Il suffit d utiliser un firewall qui limite, par exemple, le volume d'échange des ping à 500Ko Smurf Principe Smurf peut s'effectuer sur du ICMP ou sur du UDP (l'attaque porte alors le nom de Fraggle). Grossièrement, il suffit que l'attaquant envoie un paquet ICMP type 8 (Echo Request) vers un serveur de diffusion (broadcast) pour que celui-ci transmette le paquet à toutes les machines de son sous réseau. A la réception de ce paquet, les machines vont répondre par un ICMP type 0 (Echo Reply) à la machine qui avait émis le paquet Echo Request. De ce fait, si l'attaquant a envoyé un paquet ICMP type 8 avec une fausse adresse IP source au serveur, toutes les réponses (Echo Reply) vont être envoyées vers cette fausse adresse IP. On aura donc une perte de bande passante ainsi qu'un ralentissement du système. Notons qu'en plus, si l'attaquant envoie beaucoup de paquets à beaucoup de serveurs broadcast, la machine cible dont l'adresse IP est mise en adresse source risque fort d'être déconnectée. Machine n Machine 2 Echo Request (avec l'adresse de la cible) Serveur broadcast Echo Reply Machine 1 Machine attaquante Machine cible Si on imagine 1 ping de 1Ko de données envoyé à un serveur broadcast diffusant vers 1000 machines, cela donnerait donc 1Mo de données reçus par la victime. Si on utilise 10 serveurs broadcast diffusant chacun vers 1000 machines, cela fera 10 Mo de données reçus très rapidement par la victime qui vont la ralentir terriblement Protection Il faut configurer le firewall pour qu'il filtre les paquets ICMP Echo ou bien qu'il en limite l'usage selon un critère lié à un pourcentage de la bande passante. Il est également envisageable, même si ce n'est pas toujours possible, de configurer le routeur pour désactiver le broadcast. Page 16 sur 39

17 Smack-Bloop Denial of Service Ces attaques visent tous les systèmes. Elles ressemblent à "Click". Elles consistent à envoyer des messages ICMP type 3 (Destination Unreachable) à l'ordinateur cible. Cette fois, ces attaques n'ont pas pour but de déconnecter l'ordinateur victime mais de provoquer un flood visant les transferts dits connectés (FTP, IRC, telnet, ICQ,...). Les conséquences de telles attaques sont le ralentissement voire la déconnexion des transferts connectés. Il faut donc configurer les firewalls ou les routeurs pour gérer correctement ce type de messages Le packet Fragment Les dénis de service de ce type utilisent des faiblesses dans l'implémentation de certaines piles TCP/IP au niveau de la défragmentation IP (réassemblage des fragments IP) Ping of Death Principe Ce type d'attaque consiste à envoyer un ping de grosse taille fragmenté à une victime et lorsque la victime tentera de rassembler les paquets pour reformer le ping, la taille sera supérieure à la taille autorisée d'où le crash de la machine de la victime. Un paquet IP ne peut dépasser en théorie octets (2 16-1). En envoyant un paquet ICMP "Echo Request" de plus de octets à une victime, le système d'exploitation de la victime plante car il n'a pas assez de place pour rassembler le paquet IP (d'où le nom de cette attaque). La pile IP empêche la création de paquets dont la taille est supérieure à octets, mais il est possible de créer 45 segments de 1500 octets soit octets. Une pile utilise un compteur de 16 bits qui correspond à la somme de l'offset du segment courant ainsi que la taille du segment, ce qui permet de connaître la valeur d'offset du prochain segment. Après l'envoi de 45 segments, l'offset sera de : (43 * 1480) = (1 er paquet + 43 paquets). Or, l'offset suivant sera (dernier paquet) soit octets et le compteur débordera Protection Le principe de protection le plus simple est de mettre son système d exploitation à jour. En effet, ce genre de faille est assez vite corrigé par l exploitant. Pour être sûr de ne pas se faire embêter par ce genre de problème, il suffit de faire un test avant qu un attaquant essaye. Si le système réagit correctement, il n y a pas lieu à s inquiéter. Sinon, chercher un patch correctif pour le système d exploitation Teardrop Principe L'attaque Teardrop vise les systèmes Win32 et Linux inférieur à Elle consiste à envoyer des paquets UDP qui se recouvrent. Lorsque l'ordinateur victime reçoit ces paquets, il tente de les reconstruire. N'y arrivant pas, cela provoque un plantage. Un paquet Teardrop (UDP) est en fait décomposé en deux paquets. Le but de l attaque est de fournir une valeur de deuxième offset inférieure à la valeur réelle. Lors du réassemblage des paquets, la pile va recalculer la longueur du message en fonction des offsets et des valeurs de longueur de données (champ Length dans l entête UDP). Le fait de fournir une valeur inférieure obligera la pile à faire un calcul négatif qui sera converti en un nombre infini. Or, l écriture en mémoire d un nombre très grand peut Page 17 sur 39

18 écraser une partie de la mémoire utilisée par un autre programme. La machine peut donc se planter Protection Il suffit d utiliser un firewall paramétré pour refuser les paquets qui se recouvrent ou bien de mettre à jour son système d exploitation Bonk Principe L'attaque Bonk vise les systèmes WinNT. Elle consiste à envoyer des paquets UDP corrompus sur le port 53. Chaque paquet UDP corrompu est constitué de deux fragments IP assemblés en un UDP. Les offsets qui se superposent ont pour conséquence de faire écraser la seconde moitié de l'entête UDP par le second paquet IP. L'ordinateur victime ne gère pas ces paquets et provoque un plantage (message STOP 0x A) dû à une allocation excessive de la mémoire du noyau Protection Il suffit alors d utiliser un firewall paramétré pour refuser les paquets UDP corrompus Boink L'attaque Boink est une variante de Bonk. Elle consiste à envoyer des paquets UDP corrompus sur tous les ports ouverts au lieu d un seul Déni de messages Attaque par routage Principe La plupart des protocoles de routage sur Internet, comme Routing Information Protocol (RIP) v1 et Border Gateway Protocol (BGP) v4, ne sont pas très récents. Ils ne présentent aucune procédure d authentification ou des procédures faibles. Un pirate peut alors facilement modifier les entrées des tables de routages des routeurs pour modifier, voire supprimer, des trajets légitimes, souvent en mystifiant son adresse IP source. Les victimes d une telle attaque verront leur trafic redirigé soit vers la machine du pirate, soit vers un trou noir (réseau qui n existe pas). Par conséquence, une partie du réseau ne sera plus accessible Protection Le protocole RIP doit être plus méfiant quand il reçoit et accepte des routes. Dans la plupart des environnements, il n y a pas de raisons valables d accepter des nouvelles routes dans votre propre réseau local. Un routeur qui effectue des contrôles peut facilement détecter des tentatives d intrusion. Il serait utile de pouvoir authentifier les paquets RIP. Mais en l absence de systèmes bon marché de signatures à clé publique, c est très difficile pour un protocole de diffusion. Cependant, si un tel système était mis en place, son utilité serait limitée car le destinataire pourrait seulement authentifier l émetteur immédiat, et pourrait être trompé par le routeur plus loin en amont. Si les routeurs locaux n implémentent pas de mécanismes de défense, les attaques RIP comportent un autre risque : les routes invalides sont visibles dans tout le réseau. N importe quel routeur qui reçoit pareille donnée la rediffusera. Un administrateur méfiant d un réseau voisin remarquera une anomalie. Les fichiers log aideront, mais c est très dur de distinguer une vraie intrusion provenant d un routage instable qui accompagne souvent le plantage d un routeur. Page 18 sur 39

19 DNS Spoofing Principe Denial of Service Les attaques DoS sur des serveurs DNS sont aussi dévastatrices que les attaques par routage. Elles nécessitent de convaincre le serveur DNS victime de modifier ces informations sur la victime. Ainsi, lorsqu un utilisateur interroge le serveur pour transformer le nom du site de la victime en l adresse IP, le serveur répond soit par un site quelconque que le pirate à spécifier (comme son propre site), soit par un site inexistant (trou noir). On dénombre plusieurs attaques DoS liées à des DNS qui ont rendu inaccessibles de grands sites. Serveur DNS de la victime 1 2 Utilisateur Internet 4 3 Serveur Web de la victime Serveur Web des pirates 1 L utilisateur quelconque demande à se rendre sur le site Web Le navigateur va pour cela envoyer une requête au serveur DNS. 2 Le tampon du serveur DNS a été contaminé par un pirate. Il renvoie l adresse IP de au lieu de 3 L utilisateur se connecte alors par Internet au serveur Web des pirates qui se fait passer pour le serveur Web de la victime. 4 L utilisateur ne peut pas atteindre le serveur Web de la victime : c est une attaque DoS. Page 19 sur 39

20 Protection Denial of Service Récemment, une extension au DNS, un protocole d authentification, a été imaginée par le MIT. Il consiste à utiliser un ticket pour authentifier les requêtes et les réponses entre un hôte et un serveur DNS. La section "information complémentaire" de la requête transporte le ticket crypté. Celui-ci inclut une clé de session connue uniquement du serveur et du client. Elle sert à calculer un checksum cryptographique, aussi bien pour la requête que pour la réponse. Le projet s appelle Kerberos. Plus d information à ARP redirect Principe L'attaque ARP redirect vise les réseaux locaux Ethernet, qu'ils soient partitionnés ou non en sous réseaux (switchés). C'est une technique de spoofing efficace bien que détectable dans les fichiers logs d'administration. Elle consiste à s'attribuer l'adresse IP de la machine cible, c'est-à-dire à faire correspondre son adresse IP à l'adresse MAC de la machine pirate dans les tables ARP des machines du réseau. Pour cela il suffit en fait d'envoyer régulièrement des paquets "ARP Reply" en broadcast, contenant l'adresse IP cible et la fausse adresse MAC. Cela a pour effet de modifier les tables dynamiques de toutes les machines du réseau. Celles-ci enverront donc leurs trames Ethernet à la machine pirate tout en croyant communiquer avec la cible, et ce de façon transparente pour les switches. De son côté, la machine pirate stocke le trafic et le renvoie à la vraie machine en forgeant des trames Ethernet comportant la vraie adresse MAC (indépendamment de l'adresse IP). Cette technique est très puissante puisqu'elle opère au niveau Ethernet, permettant ainsi de spoofer le trafic IP et même TCP (cela dépend entre autres des délais engendrés par la machine pirate). D'autre part, elle permet de contourner les barrières que constituent habituellement les switches (partitionnement de réseaux) Protection L ARP redirect est assez difficile à détecter. Il faut étudier des logs régulièrement mis à jour. Il est également conseillé de n utiliser que des tables ARP statiques. Il convient d utiliser des logiciels spécialisés pour monitorer les paires IP/MAC ICMP type 5 Enfin le dernier type d'attaque et certainement le plus efficace est l'utilisation du ICMP type 5 (Redirect). Ce message est généralement envoyé par un routeur à une machine pour lui préciser qu'elle devrait l'utiliser car la route dans sa direction est plus rapide. Il suffit donc en théorie que l'attaquant envoie un paquet ICMP type 5 à une machine avec une adresse IP source correspondante à la sienne et ainsi la cible va dévier sa route pour passer par la machine de l'attaquant en pensant que c'est un routeur. On peut soit émuler le fonctionnement d'un routeur c'est à dire router les paquets vers leur destination. L'attaquant peut alors en profiter pour sniffer les paquets. Il peut donc recueillir des informations importantes ainsi que des numéros de séquences (afin de lancer une attaque de type TCP Hijack, procédé qui s'apparente au TCP spoofing et qui consiste en fait à prendre la place de la cible sur la connexion qu'il a déjà avec un serveur). Le pirate peut également réorienter le trafic vers un trou noir. Page 20 sur 39

21 5.5. Deux autres attaques Pong L'attaque Pong est aussi connue sous le nom d'"echo Reply Without Request" ou "ICMP Echo Reply Attack". Elle consiste à envoyer à l'ordinateur victime le résultat d'un ping (le pong en question), alors que la victime n'a pas envoyé de ping. On peut utiliser cette attaque pour plusieurs effets : La détermination de l architecture réseau derrière un firewall. Les requêtes ping/pong sont rarement arrêtées par les firewall. Le routeur qui reçoit un pong d une fausse destination renverra un message "Host Unreachable" à l émetteur (l attaquant). Ce dernier pourra donc connaître le nombre de machines derrière le firewall et l adresse IP de ces machines. Les attaques distribuées. Tout comme les ping, les requêtes ICMP passent facilement au travers des firewalls. Une attaque par abondance de requêtes pong permet de saturer le routeur ou bien une machine située derrière le firewall. Les attaques "spoofed". Une attaque par ping flooding peut se produire contre un ordinateur en simulant que ces ping viennent de votre ordinateur (de votre adresse IP). Vous recevez donc uniquement les pongs provenant de l'ordinateur victime de l'attaque. Pour se protéger, il suffit alors d utiliser un firewall paramétré pour enregistrer les pong reçus alors qu'il n'y a pas eu de ping envoyés Bombardement de courrier Principe Le principe consiste à inonder la victime de courriers électroniques. Si le pirate parvient à envoyer une quantité suffisante de courrier à quelqu un, son système va saturer jusqu à bloquer l ordinateur Liaison de listes Le moyen le plus simple d y parvenir consiste à abonner la victime à des milliers de listes de diffusion. Cette attaque est appelée liaison de listes. Le principe des listes de diffusion est le suivant : des serveurs de listes distribuent des messages issus de diverses sources et sur des sujets divers. Ils les collectent et les adressent périodiquement aux membres inscrits sur les listes. L abonnement sur ces listes se fait très rapidement puisqu il suffit généralement de donner son adresse . La résiliation à ces listes se fait aussi simplement puisqu il suffit de cliquer sur un lien, contenu dans le message, et de valider. Les messages envoyés sont plus ou moins volumineux. Certain d entre eux sont écrits en HTML (qui prend donc plus de place qu un simple fichier texte) et peuvent contenir des fichiers joints comme des images. Le principe de l attaque est donc simple : il suffit à l agresseur d inscrire sa victime à des centaines, voire des milliers de liste de diffusion. Des logiciels automatisent le processus de liaison de liste. Les plus connus sont Kaboom et Avalanche. Ils permettent à l agresseur de lancer cette attaque très rapidement. Le résultat peut se révéler désastreux. Si l attaquant vous lie à plusieurs centaines de listes de diffusion qui peuvent envoyer plusieurs messages par jour, vous recevez plusieurs milliers de messages par jour. Si en plus il attend que vous soyez absent, en vacances par exemple, des dizaines de milliers de messages s accumulent dans votre boite. D une part le nombre si élevé de messages à traiter va peu à peu engorger le serveur de messagerie, ralentissant, voire bloquant totalement l envoi ou la réception de messages de la part des autres utilisateurs. Sans compter l espace disque utilisé pour stocker tous ces messages inutiles. D autre part, si l administrateur réseau applique des quotas aux Page 21 sur 39