Analyse spectrale d outils classiques de Déni de Service Distribués

Documents pareils
Base de traces d anomalies légitimes et illégitimes *

RAPPORT DE STAGE DE FIN D ETUDES. Sujet

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Absolute Software (absoft corp) 2013 Absoft Corp. Tous droits réservés.

Protection contre les attaques de déni de service dans les réseaux IP

Rappels réseaux TCP/IP

Spécifications techniques de l outil de métrologie active cosmon

Détection, classification et identification d anomalies de trafic

Métrologie des réseaux IP

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Vue d'ensemble de NetFlow. Gestion et Supervision de Réseau

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

TER Detection d anomalies sur le réseau. Elaboré par: Jabou Chaouki Schillings Michaël Hantach Anis. Encadré par : Mr Osman Salem

Sécurité et Firewall

Master Informatique. Master Mathématiques et Informatique Spécialité Informatique OUTIL DE DETECTION D ANOMALIES DANS UN RESEAU IP

Gestion et Surveillance de Réseau

La supervision des services dans le réseau RENATER

Figure 1a. Réseau intranet avec pare feu et NAT.

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

ManageEngine VQManager connaître la qualité de la voix

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Intérêt du découpage en sous-bandes pour l analyse spectrale

Introduction à la métrologie

Le monitoring de flux réseaux à l'in2p3 avec EXTRA

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

RAPPORT VERISIGN SUR LES TENDANCES EN MATIÈRE D'ATTAQUES PAR DÉNI DE SERVICE DISTRIBUÉ (DDOS) 4E ÉDITION 4E TRIMESTRE 2014

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Prototype de canal caché dans le DNS

Introduction aux Technologies de l Internet

Métrologie réseaux GABI LYDIA GORGO GAEL

Sécurité des réseaux IPSec

Résoudre ses problèmes de performance en 4 clics!

Expression, analyse et déploiement de politiques de sécurité - Application réseau -

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

DIFF AVANCÉE. Samy.

Grid 5000 : Administration d une infrastructure distribuée et développement d outils de déploiement et d isolation réseau

Les clés d un réseau privé virtuel (VPN) fonctionnel

ISEC. Codes malveillants

Intégrer mesure, métrologie et analyse pour l étude des graphes de terrain dynamiques

Sécurité des réseaux Les attaques

Détection d'intrusions et analyse forensique

Sécurité Nouveau firmware & Nouvelles fonctionnalités

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Infocus < >

SECURIDAY 2013 Cyber War

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

F5 : SECURITE ET NOUVEAUX USAGES

Pourquoi un SBC? Brique d interconnexion entre domaines IP. V. Durepaire - 6 mars

Architecture TCP/IP. Protocole d application. client x. serveur y. Protocole TCP TCP. TCP routeur. Protocole IP IP. Protocole IP IP.

Comprendre et anticiper les attaques DDoS

Partie 2 (Service de téléphonie simple) :

Botnets, les fantômes de l internet. 6 Novembre Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.

Déploiement d une architecture Hadoop pour analyse de flux. françois-xavier.andreu@renater.fr

Caractérisation du trafic sur le Réseau National Universitaire Tunisien (RNU)

VoIP Sniffing IHSEN BEN SALAH (GL 3) MAHMOUD MAHDI (GL 3) MARIEM JBELI (RT 2) SAFA GALLAH (RT 3) SALAH KHEMIRI (RT 3) YOUSSEF BEN DHIAF (GL 3)

Le protocole ARP (Address Resolution Protocol) Résolution d adresses et autoconfiguration. Les protocoles ARP, RARP, TFTP, BOOTP, DHCP

DDoS Distributed Denial of Service. Déni de Service Distribué. Rapport Stage

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

Comment optimiser ses moyens de métrologie?

Nouveaux outils de consolidation de la défense périmétrique

VoIP & Security: IPS. Lalaina KUHN. Informatique Technique. Professeur: Stefano VENTURA

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Le service IPv4 multicast pour les sites RAP

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

Critères d évaluation pour les pare-feu nouvelle génération

Charte d installation des réseaux sans-fils à l INSA de Lyon

Module de sécurité Antivirus, anti-spam, anti-phishing,

Notions de sécurités en informatique

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

TCP/IP, NAT/PAT et Firewall

Multicast & IGMP Snooping

LA VIRTUALISATION. Etude de la virtualisation, ses concepts et ses apports dans les infrastructures informatiques. 18/01/2010.

Sécurité des réseaux sans fil

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Rapport du projet Qualité de Service

PLAteforme d Observation de l InterNet (PLATON)

TP 1 : LES COMMANDES RESEAUX Matière: RESEAUX LOCAUX

COMMENT AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L ANTIVIRUS FIREWALL V3

Teste et mesure vos réseaux et vos applicatifs en toute indépendance

(51) Int Cl.: H04L 29/06 ( ) G06F 21/55 ( )

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Master e-secure. VoIP. RTP et RTCP

Année Universitaire session 1 d automne Parcours : CSB5 Licence 3 STS Informatique

Haka : un langage orienté réseaux et sécurité

Tendances et défenses

Introduction aux antivirus et présentation de ClamAV

Administration réseau Firewall

Introduction. Adresses

ADSL. Étude d une LiveBox. 1. Environnement de la LiveBox TMRIM 2 EME TRIMESTRE LP CHATEAU BLANC CHALETTE/LOING NIVEAU :

Formation Iptables : Correction TP

Transcription:

Analyse spectrale d outils classiques de Déni de Service Distribués GALLON Laurent - AUSSIBAL Julien Université de Pau et des Pays de l Adour LIUPPA/CSYSEC http://csysec.univ-pau.fr Laurent.gallon@univ-pau.fr Aussibal.julien@etud.univ-pau.fr

Objectif de l étude Plan Rappels sur DoS / DDoS Analyse de l outil TFN2k Conclusions et perspectives 2

Introduction METROSEC (METROlogy for SECurity and quality of service) Financé par le Ministère de la recherche, la DGA, le CNRS et l INRIA Dans le cadre de l ACI Sécurité et Informatique Pourquoi? La qualité de service d Internet est dégradée : Des anomalies légitimes de trafic (P2P, flash crowd) Des anomalies illégitimes de trafic (Dénis de service) But : Utiliser les données métrologiques pour améliorer la sécurité et la robustesse d Internet Détecter les anomalies Mécanismes appropriés Plusieurs laboratoires collaborent aux campagnes d attaques Lip6, LIAFA, LAAS-CNRS, ENS Lyon, l ESSI, LIUPPA/CSySEC Attaques réalisées sur le réseau RENATER 3

But de l étude Etudier le comportement d outils classiques de DoS et DDoS Améliorer la protection contre ces attaques Première étude : Comportement de TFN2k 4

Définition des DoS et DDoS 5

Attaques classiques en DoS et DDoS Attaques sur la bande passante UDP flooding ICMP flooding TCP flooding Attaques sur les failles logicielles (protocoles de transport, pas applications et OS) TCP/SYN TCP/RST Paquets malformés Logiciels classiques d attaque Trinoo Stacheldraht Shaft MStream TFN / TFN2k 6

Présentation de TFN2k Possibilité de plusieurs attaques TCP/SYN Flooding UDP et ICMP Flooding MIX Flooding (UDP, TCP, ICMP) Broadcast Ping (SMURF) Flooding Hacker Master Master... Agent Victime 7

Analyse de l outil de DDoS : TFN2k Mesure de l impact de TFN2k sur le trafic réseau Plateforme fermée Différentes données métrologiques Nombre de paquets par seconde Nombre d octets par seconde Outils d analyse (traitement du signal) : PSD Ondelettes Différents Scénarios 1 zombie (DoS) 3 zombies (DDoS) 6 zombies (DDoS) 8

Plateforme et Outils de capture Plateforme Master Victime Outils de capture Carte Dag de chez Endace Machine de capture 9

Outils d analyse spectrale Densité spectrale de puissance (PSD) Permet d extraire les fréquences caractéristiques d un signal Transformée de Fourrier de la fonction d autocorrélation 10

Outils d analyse spectrale Transformée en ondelettes Permet une analyse temps-fréquence que ne peut pas la TF Découpe le signal en 2 composants (l approximation et le détail) 11

Observation de TFN2k (1 zombie) 12

Observation de TFN2k (1 zombie) La PSD fait apparaître 2 pics caractéristiques Le détail des ondelettes fait apparaître le comportement du zombie TFN2k 13

Observation de TFN2k (3 zombies) 14

Observation de TFN2k (3 zombies) Les 2 pics diminuent d intensité Le signal commence à se lisser (diminution de la variance dans les fréquences hautes) 15

Observation de TFN2k (6 zombies) Les 2 pics sont noyés dans les basses fréquences Le signal est lissé par la puissance des zombies 16

Analyse des observations L outil PSD Permet d observer une signature caractéristique à une attaque avec le logiciel TFN2k (pics de fréquences) L outil «ondelettes» Permet d observer des comportements caractéristiques pour les zombies TFN2k (hautes fréquences) Si le nombre de zombie augmente, la signature du zombie TFN2K disparaît On rejoint le travail de Alefiya Hussain (2003) Attaques en DoS => Fréquences hautes Attaques en DDoS => Fréquences basses 17

Conclusion Cette étude a permit de montrer : Le comportement du zombie TFN2k La signature spectrale d une attaque TFN2k si le nombre de zombie n est pas très élevé Utilisation potentielle sur réseau source d attaque DDoS Les perspectives sont : L étude d autres logiciels de DDoS tels que Trinoo ou Stacheldraht D utiliser d autres paramètres métrologiques passifs ou actifs (interarrivée des paquets, Round Time Trip, la bande passante, etc.) L utilisation d autres outils de traitements du signal (tel que la LRD ou la régression FARIMA) L exécution sur une plateforme à grande échelle permettrait de mieux observer les comportements des attaques (réseau RENATER) 18

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back