Républice Algérienne Démorcratique et Populaire Ministére de l’Enseignement Supérieur et de la Recherche Scientifique Universitaire BELHADJ Bouchaib -Ain temouchent Département des Mathématiques et Informatiques Déni de Service Réalisé par : Boudjemai Khadidja Boukraa Kawther Chargé du module : Mr.Bouchakour Année universitaire :2019/2020 Table des matières 1 Introduction : 3 2 Historique : 4 3 Définition de déni de service : 5 4 Principe générale de l’attaque déni de service : 5 5 les 5.1 5.2 5.3 5.4 5.5 types d’attaque de déni de service : L’attaque SYN Flood : . . . . . . . . . . . . . L’attaque UDP Flooding : . . . . . . . . . . . Attaque par fragmentation (packet fragment) : Attaque par réflexion(Smurfing) : . . . . . . . Attaque Ping de la mort (Ping of death) : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 . 6 . 7 . 9 . 10 . 12 6 Attaque par déni de service distribué(DDoS) : 13 7 La différence entre DoS et DDoS : 15 8 15 15 16 16 16 16 17 protéction contre les attaque DoS et DDos : 8.1 Continuez à surveiller les niveaux de trafic : . . . . . 8.2 Obtenez une bande passante supplémentaire : . . . . 8.3 Mettre à jour le logiciel régulièrement : . . . . . . . . 8.4 Achetez un serveur privé virtuel (VPS) : . . . . . . . 8.5 Installez un pare-feu fort : . . . . . . . . . . . . . . . 8.6 Pour la meilleure protection DDoS, obtenez PureVPN . . . . . : . . . . . . . . . . . . . . . . . . . . . . . . 9 Conclusion : 17 10 Bibloigraphie : 18 2 1 Introduction : Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque. Une attaque est l’exploitation d’une faille d’un système informatique (système d’exploitation, logiciel ou bien même de l’utilisateur) à des fins non connues par l’exploitant des systèmes et généralement préjudiciables. Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par minute sur chaque machine connectée. Ces attaques sont pour la plupart lancées automatiquement à partir de machines infectées (par des virus, chevaux de Troie, vers, etc.), à l’insu de leur propriétaire. Plus rarement il s’agit de l’action de pirates informatiques. Les motivations des attaques peuvent être de différentes sortes : • obtenir un accès au système . • voler des informations, tels que des secrets industriels ou des propriétés intellectuelles . • glaner des informations personnelles sur un utilisateur . • récupérer des données bancaires . • s’informer sur l’organisation (entreprise de l’utilisateur, etc.) . • troubler le bon fonctionnement d’un service . • utiliser le système de l’utilisateur comme rebond pour une attaque . 3 2 Historique : Les attaques par déni de service ont commencé dans les années 1980, ce n’est qu’en Aout 1992 qu’aurait eu lieu la première attaque de déni de service distribué dirigée contre les serveurs de l’Université du Minnesota, à la suite de quoi l’accès Internet de l’Université est resté bloqué pendant plus de 2 jours. En décembre 1996 a eu lieu l’attaque Ping de la mort (Ping Of Death). En juillet 1997, a eu lieu l’attaque Smurf qui, grâce à un serveur de diffusion ( broadcast ),duplique et envoie sur l’ensemble du réseau le message qu’il aura reçu de la machine attaquante. Par la suite, les machines du réseau répondent au serveur de diffusion qui redirigera ces réponses sur la machine cible. En octobre de la même année a eu lieu l’attaque Land dont le principe est l’usurpation d’adresse IP dans le but d’exploiter une faille du protocole TCP/IP dans les systèmes visés. Enfin, en décembre 1997, a été appliquée l’attaque Teardrop / Overdrop dont le principe est d’exploiter la fragmentation effectuée par le protocole IP. En janvier 1998, l’attaque Bonk/Boink qui visait les stations Windows 95 et NT 4.0. Le principe est d’émettre une grande quantité de paquets UDP corrompus provoquant des blocages ou des plantages du système d’exploitation qui a été visé, suivie par l’attaque Fraggle qui inondait la cible de paquets UDP en utilisant une variante amplifiée de l’attaque Smurf. Suivit en juin 1998 de l’attaque Syndrop basée sur le Teardrop en TCP avec le bit SYN et possédant des champs invalides tels que le numéro de séquence par exemple. L’impact de cette attaque est le blocage les postes Windows NT4 SP3 par un Freeze (gèlés, blocage). Le lundi 21 octobre 2002, une attaque de type Ping Flood bloque 9 des 13 serveurs DNS qui ont pour but le routage des requêtes de résolution de nom de domaine, rendant ainsi impossible l’accès à leurs ressources pendant trois heures. Les pirates ont pu grâce à un parc important de machines de générer un nombre de requêtes entre deux et trois fois supérieur à la capacité des treize serveurs visés. 4 3 Définition de déni de service : Le déni de service Denial Of Service ou encore DOS, est une attaque réalisée dans le but de rendre indisponible durant une certaine période les services ou ressources d’une organisation. Généralement, ce type d’attaque à lieu contre des machines, serveurs et accès d’une entreprise afin qu’ils deviennent inaccessibles pour leurs clients. Le but d’une telle attaque n’est pas d’altérer ou de supprimer des données, ni même de voler quelconque information. Il s’agit ici de nuire à la réputation de sociétés présentes sur Internet en empêchant le bon fonctionnement de leurs activités.[1] 4 Principe générale de l’attaque déni de service : Le principe de ces attaques DOS est d’envoyer des paquets ou des données de taille ou de constitution inhabituelle, afin de provoquer une saturation ou un état instable des équipements victimes et de les empêcher ainsi d’assurer les services réseau qu’elles sont sensées offrir. Dans certains cas extrêmes, ce type d’attaque peut conduire au crash de l’équipement cible.[1] 5 5 les types d’attaque de déni de service : 5.1 L’attaque SYN Flood : Cette attaque DOS utilise une faiblesse du protocole TCP en se basant sur l’envoi massive de demande d’ouverture de session SYN. L’objectif étant de saturer le nombre maximum de sessions TCP en cours de l’équipement IP assaillis. Ainsi, lorsque cette limite est atteinte, la cible ne pourra plus établir aucune session TCP causant une indisponibilité de tous ces applications en écoute de port TCP[1]. Fonctionnement géneral :[4] - Un timer est déclenché après l’envoi d’un SYN. - Si une réponse tarde trop à arriver (superiur 75s), la connexion est abandonnée 6 comment se protéger ? : Pour se protéger, il est donc possible de jouer sur ces valeurs afin d’accepter plus de sessions et d’être plus réactif sur la durée d’attente. Cependant, le fait de modifier ces valeurs peux engendrer un impact de performance local. De plus, cela ne fait que repousser les limites que l’attaquant se fera un malin plaisir à atteindre.[1] Exemple avec iptables limitant les demandes d’établissement de connexion TCP acceptées à une par seconde : 5.2 L’attaque UDP Flooding : Cette attaque consiste à envoyer un grand nombre de données utilisant le protocole UDP sans demande particulière à une cible. Le but étant de saturer un des liens réseaux qui relie la cible à internet. Un des liens étant saturé, la cible n’est plus en mesure de recevoir les demandes légitimes.[2] L’exemple le plus connu d’UDP Flooding est la Chargen Denial of Service Attack . La mise en pratique de cette attaque est simple, il suffit de faire communiquer le service chargen d’une machine avec le service echo d’une autre. Le premier génère des caractères, tandis que le second se contente de réémettre les données qu’il reçoit. Il suffit alors à l’attaquant d’envoyer des paquets UDP sur le port 19 (chargen) à une des victimes en usurpant l’adresse IP et le port source de l’autre. Dans ce cas, le port source est le port UDP 7 (echo). L’UDP Flooding entraı̂ne 7 une saturation de la bande passante entre les deux machines, il peut donc neutraliser complètement un réseau.[3] Fonctionnement géneral : conséquances :[4] -Congestion généralement plus importante qu’avec le TCP Flooding car l’UDP ne possède pas de mécanisme de contrôle de congestion . - Les paquets UDP sont prioritaires sur les paquets TCP -La totalité de la bande passante peut être saturée. 8 comment se protéger ? : -Il est conseillé de désactiver les services chargen et echo. -Si vous ne voulez pas désactiver chargen et echo, configurez votre firewall pour éviter le Chargen Denial of Service Attack en limitant le traffic UDP. Exemple avec iptables : 5.3 Attaque par fragmentation (packet fragment) : Cette technique d’attaque est basé sur la fragmentation IP. L’objectif est de planter la pile IP de la cible en modifiant les numéros de séquences.[1] En effet, le protocole IP est prévu pour fragmenter les datagrammes de taille importante provenant de la couche 4 du modèle OSI. Le datagramme est alors fragmenté en en plusieurs paquets IP possédant chacun un numéro de séquence et un numéro d’identification commun. A réception des fragments, la cible rassemble les paquets grâce aux valeurs de décalage (en anglais offset) qu’ils contiennent.[1] L’astuce est de modifier les numéros de séquence afin de générer des blancs ou des recouvrement lors du réassemblage par la pile IP cible. Et certain équipement ne le supportait pas avec différent conséquence tel que l’arrêt du service TCPIP[1] 9 Cependant, revenons sur terre, aujourd’hui, comme pour le ping de la mort, cette technique n’est plus viable du faite que les pile IP ont toutes évoluées. Le faite de détailler cette attaque permet de raconter l’histoire et se remémorer des souvenirs.[1] 5.4 Attaque par réflexion(Smurfing) : Cette attaque est basée sur l’utilisation de serveurs de diffusion (broadcast) pour paralyser un réseau. Un serveur broadcast est un serveur capable de dupliquer un message et de l’envoyer à toutes les machines présentes sur le même réseau.[] Le scénario d’une telle attaque est le suivant : -la machine attaquante envoie une requête ping (ping est un outil exploitant le protocole ICMP, permettant de tester les connexions sur un réseau en envoyant un paquet et en attendant la réponse) à un ou plusieurs serveurs de diffusion en falsifiant l’adresse IP source (adresse à laquelle le serveur doit théoriquement répondre) et en fournissant l’adresse IP d’une machine cible. -le serveur de diffusion répercute la requête sur l’ensemble du réseau . -toutes les machines du réseau envoient une réponse au server de diffusion. -le serveur broadcast redirige les réponses vers la machine cible. 10 Fonctionnement géneral : comment se protéger ? : - Configurer les firewalls pour limiter le trafic ICMP par seconde. - Configurer les firewalls pour bloquer les ping . - Interdire le broadcast. 11 5.5 Attaque Ping de la mort (Ping of death) : Cette technique d’attaque DOS est dépassée, mais elle a fait ses preuves à l’époque. Elle exploitait une faiblesse dans l’implémentation de la plus part des piles IP en envoyant un paquet ICMP d’une taille non conforme (supérieur à 64 octets). Ceci avait pour effet de planter directement la pile IP attaquée[4]. Cependant, revenons sur terre, aujourd’hui, comme pour l’attaque par fragmentation, cette technique n’est plus viable du faite que les pile IP ont toutes évoluées. Nous pouvons donc discuter en datagramme ICMP de grande taille sans aucun soucis (heureusement). Le faite de détailler cette attaque permet de raconter l’histoire et se remémorer des souvenirs.[4] L’attaque DOS Ping de la mort est souvent confondue en pensant qu’elle est basée sur le faite de saturer une bande passante en ICMP. Ce n’est pas le cas, car ce principe est appliquée par l’attaque DOS Ping Flood et non pas par Ping de la mort.[4] 12 Fonctionnement géneral : 6 Attaque par déni de service distribué(DDoS) : Les initiales DDoS désignent le terme Distributed Denial of Service. En français, on parle d’une attaque par déni de service. Il s’agit d’une attaque informatique de type DOS (Denial Attack on Servic) consistant à attaquer un système informatique en utilisant un grand nombre de systèmes informatiques détournés (ou volontairement utilisés). 13 Fonctionnement géneral : En règle générale, lors d’une attaque DDoS typique, le cybercriminel (DDoS Master) commence tout d’abord par prendre le contrôle de nombreux systèmes informatiques à l’aide d’un malware ou en contournant leurs systèmes de sécurité. Il crée ensuite un serveur de type command-and-control. Celui-ci donne des directives à son réseau de systèmes détournés que l’on appelle aussi botnet. Une fois le réseau assemblé, le DDoS Master peut ordonner à son armée de générer un trafic artificiel sur le système ciblé. Il envoi alors un grand nombre de requête pour affaiblir sa cible, généralement un serveur Web. 14 7 La différence entre DoS et DDoS : Une attaque DoS (déni de service) est différente d’une attaque DDoS. Dans le cas d’une attaque DoS, en règle générale, un seul ordinateur et une seule connexion internet servent à inonder un système ou une ressource prise pour cible. De son côté, l’attaque Distributed Denial of Service implique de nombreux ordinateurs et connexions internet pour inonder la source. Bien souvent, les attaques DDoS sont des attaques d’envergure mondiale, distribuées par le biais de botnets.[5] 8 protéction contre les attaque DoS et DDos : 8.1 Continuez à surveiller les niveaux de trafic : Une attaque DDoS envoie des milliers de requêtes à un serveur ciblé, ce qui provoque une énorme augmentation inhabituelle du trafic. Le trafic normal est mélangé avec le trafic d’inondation, surchargeant le serveur avec plus de trafic que ce qu’il peut gérer.[6] 15 8.2 Obtenez une bande passante supplémentaire : C’est une bonne idée d’avoir plus de bande passante disponible que nécessaire. Après tout, non seulement cela vous donne plus de temps pour identifier et atténuer l’attaque, mais cela donne également au serveur plus de place pour faire face à l’augmentation sans précédent du trafic.[6] 8.3 Mettre à jour le logiciel régulièrement : Vous devez mettre à jour vos systèmes d’exploitation, vos programmes de sécurité et d’autres logiciels importants dès que des correctifs ou des correctifs sont disponibles. Cela réduit le risque d’une attaque DDoS car l’échappatoire potentielle dans la sécurité est remplie avec une nouvelle mise à jour.[6] 8.4 Achetez un serveur privé virtuel (VPS) : Un VPS dédié fournira à votre plate-forme de commerce ou de jeu en ligne plus de ressources, de bande passante et de sécurité. Votre site Web ou votre serveur de jeu aura son propre espace et une adresse IP unique, l’isolant de toute sorte de cyberattaques comme DDoS.[6] 8.5 Installez un pare-feu fort : En utilisant un pare-feu puissant, vous pouvez arrêter l’accès réseau indésirable et rester protégé contre les différents types d’attaques DDoS mentionnés ci-dessus. Les pare-feu sont la première 16 ligne de défense pour votre boutique en ligne ou votre serveur de jeu car ils empêchent tout accès non autorisé.[6] 8.6 Pour la meilleure protection DDoS, obtenez PureVPN : Avec PureVPN, tout votre trafic Internet est acheminé via un tunnel crypté, masquant votre IP de toute sorte de surveillance. Un DDoSer ne pourra voir que l’adresse IP du serveur VPN et ne pourra donc pas inonder votre réseau. S’ils ne peuvent pas vous voir, ils ne pourront pas vous attaquer ![6] 9 Conclusion : Les attaques par deni de service sont une préoccupation majeure à l’ère numérique d’aujourd’hui, et elles continuent de croı̂tre en intensité et en complexité chaque année. Les méthodes utilisées par DoS Sers pour mettre un site Web ou un serveur hors ligne sont en constante évolution. Cependant, en combinant les mesures de sécurité discutées ci-dessus avec un comportement intelligent sur Internet, vous pouvez vous protéger contre les attaques DoS et éviter de faire partie d’un botnet dangereux.[6] 17 10 Bibloigraphie : 1-https ://www.frameip.com/dos-attaque-deny-of-service 2-https ://www.cloudflare.com/learning/ddos/udp-flood-ddos-attack 3-(en) Arbor Networks Releases Fifth Annual Infrastructure Security Report [archive] - Arbor Networks, 19 janvier 2010 (voir archive) 4-http ://helios.mi.parisdescartes.fr/ osalem/Projects/Hotte LUTUN ASCOET.pdf 5-https ://www.lebigdata.fr/ddos-definition 6-https ://www.purevpn.fr/blog/protection-contre-les-attaquesddos/ 18