Denial of Service and Distributed Denial of Service



Documents pareils
Rappels réseaux TCP/IP

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

Formation Iptables : Correction TP

Sécurité des réseaux Les attaques

Introduction. Adresses

Haka : un langage orienté réseaux et sécurité

Année Universitaire session 1 d automne Parcours : CSB5 Licence 3 STS Informatique

Infocus < >

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Les IDS et IPS Open Source. Alexandre MARTIN Jonathan BRIFFAUT

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier

Plan. Rappels sur Netflow v1 v8. Netflow v9. Collecteur UTC «IPFlow» Cisco IOS : Implémentation de Netflow IPv6

M1 Informatique, Réseaux Cours 9 : Réseaux pour le multimédia

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Les firewalls libres : netfilter, IP Filter et Packet Filter

Protection contre les attaques de déni de service dans les réseaux IP

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Introduction à l'analyse réseau Philippe Latu philippe.latu(at)linux-france.org

Cisco Certified Network Associate

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

Architecture TCP/IP. Protocole d application. client x. serveur y. Protocole TCP TCP. TCP routeur. Protocole IP IP. Protocole IP IP.

avec Netfilter et GNU/Linux

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Application Web et J2EE

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Domain Name System Extensions Sécurité

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

NetCrunch 6. Superviser

Figure 1a. Réseau intranet avec pare feu et NAT.

Cours Bases de données 2ème année IUT

TIC. Réseau informatique. Historique - 1. Historique - 2. TC - IUT Montpellier Internet et le Web

Proxies,, Caches & CDNs

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Computer Networking: A Top Down Approach Featuring the Internet, 2 nd edition. Jim Kurose, Keith Ross Addison-Wesley, July ENPC.

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Sécurité Nouveau firmware & Nouvelles fonctionnalités

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Administration Réseaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Topologies et Outils d Alertesd

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Vue d'ensemble de NetFlow. Gestion et Supervision de Réseau

Tutoriel sécurité. Intrusions réseaux & attaques Web. Version 1.3

Le protocole TCP. Services de TCP

Plan. Programmation Internet Cours 3. Organismes de standardisation

FILTRAGE de PAQUETS NetFilter

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Cahier des charges. driver WIFI pour chipset Ralink RT2571W. sur hardware ARM7

Culture informatique. Cours n 9 : Les réseaux informatiques (suite)

ALOHA LOAD BALANCER METHODE DE CONTROLE DE VITALITE

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

18 TCP Les protocoles de domaines d applications

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

SOLUTION D ENVOI DE SMS POUR PROFESSIONNELS

Dynamic Host Configuration Protocol

Le Tunneling DNS. P.Bienaimé X.Delot P.Mazon K.Tagourti A.Yahi A.Zerrouki. Université de Rouen - M2SSI. 24 février 2011

Serveur FTP. 20 décembre. Windows Server 2008R2

Cisco Discovery - DRSEnt Module 7

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

RFC 791 (Jon Postel 1981)

Documentation pour l envoi de SMS

SSL ET IPSEC. Licence Pro ATC Amel Guetat

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

Cisco Certified Network Associate

L identité numérique. Risques, protection

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

TP JAVASCRIPT OMI4 TP5 SRC

VoIP & Security: IPS. Lalaina KUHN. Informatique Technique. Professeur: Stefano VENTURA

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Gestion et Surveillance de Réseau

NFA016 : Introduction. Pour naviguer sur le Web, il faut : Naviguer: dialoguer avec un serveur web

Module http MMS AllMySMS.com Manuel d intégration

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Programmation Internet Cours 4

Master Informatique. Master Mathématiques et Informatique Spécialité Informatique OUTIL DE DETECTION D ANOMALIES DANS UN RESEAU IP

Découverte de réseaux IPv6

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Introduction aux Technologies de l Internet

Module BD et sites WEB

Création, analyse de questionnaires et d'entretiens pour Windows 2008, 7, 8 et MacOs 10

TP 1 : LES COMMANDES RESEAUX Matière: RESEAUX LOCAUX

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Devoir Surveillé de Sécurité des Réseaux

Réseaux - Cours 4. Traduction d adresse (NAT/PAT) et Service de Nom de Domaine (DNS) Cyril Pain-Barre. IUT Informatique Aix-en-Provence

1. l auditeur testera la présentation, le format et la transmission d un rapport d utilisation d un fournisseur.

SECURIDAY 2012 Pro Edition

Réseaux IUP2 / 2005 IPv6

SECURIDAY 2013 Cyber War

Vulnérabilités et sécurisation des applications Web

Transcription:

Denial of Service and Distributed Denial of Service Laurence Herbiet Christophe Boniver Benoit Joseph Xavier Seronveaux DoS Rappels Signature de l attaque DDoS Rappels Signature de l attaque

Denial of Service Rappels Qu est ce qu un DoS? Descritpion de l attaque Conséquence de l attaque Cause de l attaque Signature de l attaque Création d une règle sous snort Qu est-ce qu un DoS? Elles consistent à paralyser temporairement (rendre inactif pendant un temps donné) des serveurs afin qu ils ne puissent être utilisés et consultés. Le but d un telle attaque n est pas d obtenir ou d altérer des données, mais de nuire à des sociétés dont l activité repose sur un système d information en l empêchant de fonctionner.

Descritpion de l attaque Attaque Création d un déni de service sur l outil Snort (version 1.8.3) à l aide d envoi de trame ICMP (ECHO REQUEST) Pour réaliser l attaque, il suffit d envoyer une trame ICMP de type ECHO REQUEST dont la taille des données est inférieure à 4 bytes. Comment? En utilisant la commande ping : ping s 1 stallman L option s 1 spécifie que l on ne transmet que 1 byte de donnée. Conséquence de l attaque Suivant les règles utilisées dans la configuration de Snort, le résultat de l attaque diffère : Soit Snort se crash (Erreur de segmentation) Soit Snort affiche à l écran une trame dont le contenu est la mémoire de la machine attaquée. Cela est dû à l interraction des règles utilisées dans Snort.

Cause de l attaque Pacquet ICMP (encapsulé dans un datagramme IP) 20 bytes version HeadLen T.O.S Longueur totale Identification Flags Dep_fragement Durée de vie Protocole Cheksume sur le header Adresse source Adresse destination 8 bytes Data Type Code Checksum Identifier Sequence number (Erreur de segmentation) 1. Snort initialise un pointeur sur le paquet reçu ainsi qu une variable contenant la longueur du paquet. 2. Snort déplace le pointeur vers l en-tête ICMP tout en modifiant la longueur du paquet qui devient la taille du paquet ICMP 3. Pour finir, Snort déplace le pointeur vers les données et dans le cas d'un ECHO, ou ECHO REPLY, il décale de nouveau le pointeur vers les données 4 bytes plus loin. Signature de l attaque Détecter que l on a une trame ICMP de type ECHO REQUEST Vérifier que les données ont une taille inférieure à 4 bytes Les paquets étant décodés par Snort, les valeurs renvoyées par celui-ci sont erronées. Nous utiliserons cette particularité lors de la création de la règle pour détecter l attaque.

Création d une règle sous Snort Lorsque Snort décode une trame ICMP de n (<=4) bytes, il indique une payload supérieur à 65535-n bytes. Cette valeur peut être obtenue dans les règles à l aide de dsize. La règle verifira si on a bien une trame ICMP de type ECHO REQUEST(type = 8) et que la payload est supérieure à 65531 bytes. alert icmp $EXT_NET any -> $HOME_NET any (msg: ICMP less four bytes ; itype: 8; dsize: > 65531; ) Pour détecter la règle dans le cas d une version patchée, il suffit d appliquer la règle suivante : alert icmp $EXT_NET any -> $HOME_NET any (msg: ICMP less four bytes ; itype: 8; dsize: <4; )

DoS Rappels Signature de l attaque DDoS Rappels Signature de l attaque Distributed Denial of Service Rappels Qu est ce qu un DDoS? Description de l attaque Conséquence de l attaque Signature de l attaque Détection des erreurs 404 Création d un compteur sous Snort Création d une règle sous snort

Qu est ce qu un DDoS? Les DDoS ont le même but que les DoS : mettre à genou une cible. La principale différence est que l attaque est distribuée sur une multitude de machine Première étape : se rendre maître de plusieurs machines Deuxième étape : lancer l attaque à partir de ses machines Description de l attaque Attaque DDoS contre le serveur web du World Economic Forum. Propagée par un mouvement Hacktivist avec une date de synchronisation. Télechargement volontaire de l applet utilisée pour cet exploit. chargé par environ 100.000 personnes. pas de prise de contrôle des machines de la part des Hacktivists.

Effet de l attaque L attaque permet de nuire au serveur de deux manières différentes : Flood : recharger une page invalide sur le serveur une grand nombre de fois par minute Spam : laisser un message d erreur sur le serveur. Possible car journalisation des requêtes par les serveurs (particulièrement les erreurs 404) Conséquence de l attaque La machine est incapable de répondre à l énorme quantité de requêtes. Vu la journalisation des erreurs 404 sur le serveur, les fichiers de logs gonflent jusqu à saturer la mémoire du serveur.

Signature de l attaque Essais/erreurs Solutions : Piste des compteurs Essais - Erreurs Solutions retenues Piste des applets Essais - Erreurs Solutions retenues Signature de l attaque Piste des compteurs Compter le nombre d erreurs «404» Serveur : nombre d erreurs 404 retournées par client pendant un laps de temps Client : nombre d erreurs 404 reçues par utilisateur Compter le nombre de requêtes par URL Compter le nombre de requêtes (ciblées) par un utilisateur

Réalisation de la solution Réalisation d un préprocesseur qui compte le nombre d erreurs 404 par utilisateur. S adapte aussi bien à un serveur qu à des clients preprocessor http_404: -src -to:60 -nb:10 -ti:60 Gestion par liste circulaire doublement liée Vérification sur base d un seuil et d un intervalle de temps selon la formule : Count=Count*exp(K1*(Now-Time))+K2; Amélioration du préprocesseur Le préprocesseur pourrait s adapter au cas des requêtes valides -> compter le nombre de requêtes effectuées par client vers certaines pages particulières (.html,.php,.jsp,.jpg, )

Signature de l attaque Piste des applets Insertion de valeurs particulières dans l en-tête HTTP? Détection de l applet sur une page html : détection de la balise <applet> et de son nom Détection de mots particuliers dans le fichier «.class» Détection du chargement d applet à partir de sites suspects Réalisation de la solution Détection de la présence de l applet -> le nom de l applet : alert tcp any 80 -> $HOME_NET any (msg:"flooding Applet"; content:"<applet"; nocase; content:"zapsfloodnetpublic1.class"; nocase;) -> les paramètres de l applet : alert tcp any 80 -> $HOME_NET any (msg:"flooding param"; content: " targeturl "; nocase; content:"evade"; nocase;)

Réalisation de la solution (2) Détection du chargement d applet à partir de sites suspects alert tcp $HOME_NET any -> 192.168.1.44/32 80 (msg:"flooding server"; uricontent:".class";nocase;) QUESTIONS?

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back