Telechargé par boukraakawther

DDOS/DOS Fait par KAWTHER et KHADIDJA

Républice Algérienne Démorcratique et Populaire
Ministére de l’Enseignement Supérieur et de la
Recherche Scientifique
Universitaire BELHADJ Bouchaib -Ain temouchent
Département des Mathématiques et Informatiques
Déni de Service
Réalisé par :
Boudjemai Khadidja
Boukraa Kawther
Chargé du module :
Mr.Bouchakour
Année universitaire :2019/2020
Table des matières
1 Introduction :
3
2 Historique :
4
3 Définition de déni de service :
5
4 Principe générale de l’attaque déni de service :
5
5
les
5.1
5.2
5.3
5.4
5.5
types d’attaque de déni de service :
L’attaque SYN Flood : . . . . . . . . . . . . .
L’attaque UDP Flooding : . . . . . . . . . . .
Attaque par fragmentation (packet fragment) :
Attaque par réflexion(Smurfing) : . . . . . . .
Attaque Ping de la mort (Ping of death) : . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
6
. 6
. 7
. 9
. 10
. 12
6 Attaque par déni de service distribué(DDoS) :
13
7 La différence entre DoS et DDoS :
15
8
15
15
16
16
16
16
17
protéction contre les attaque DoS et DDos :
8.1 Continuez à surveiller les niveaux de trafic : . . . . .
8.2 Obtenez une bande passante supplémentaire : . . . .
8.3 Mettre à jour le logiciel régulièrement : . . . . . . . .
8.4 Achetez un serveur privé virtuel (VPS) : . . . . . . .
8.5 Installez un pare-feu fort : . . . . . . . . . . . . . . .
8.6 Pour la meilleure protection DDoS, obtenez PureVPN
.
.
.
.
.
:
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
9 Conclusion :
17
10 Bibloigraphie :
18
2
1
Introduction :
Tout ordinateur connecté à un réseau informatique est potentiellement
vulnérable à une attaque.
Une attaque est l’exploitation d’une faille d’un système informatique
(système d’exploitation, logiciel ou bien même de l’utilisateur) à des fins non
connues par l’exploitant des systèmes et généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs
attaques par minute sur chaque machine connectée. Ces attaques sont pour
la plupart lancées automatiquement à partir de machines infectées (par des
virus, chevaux de Troie, vers, etc.), à l’insu de leur propriétaire. Plus rarement il s’agit de l’action de pirates informatiques.
Les motivations des attaques peuvent être de différentes sortes :
• obtenir un accès au système .
• voler des informations, tels que des secrets industriels ou des propriétés
intellectuelles .
• glaner des informations personnelles sur un utilisateur .
• récupérer des données bancaires .
• s’informer sur l’organisation (entreprise de l’utilisateur, etc.)
. • troubler le bon fonctionnement d’un service .
• utiliser le système de l’utilisateur comme rebond pour une attaque .
3
2
Historique :
Les attaques par déni de service ont commencé dans les années 1980, ce
n’est qu’en Aout 1992 qu’aurait eu lieu la première attaque de déni de service
distribué dirigée contre les serveurs de l’Université du Minnesota, à la suite
de quoi l’accès Internet de l’Université est resté bloqué pendant plus de 2
jours.
En décembre 1996 a eu lieu l’attaque Ping de la mort (Ping Of Death).
En juillet 1997, a eu lieu l’attaque Smurf qui, grâce à un serveur de diffusion
( broadcast ),duplique et envoie sur l’ensemble du réseau le message qu’il
aura reçu de la machine attaquante. Par la suite, les machines du réseau
répondent au serveur de diffusion qui redirigera ces réponses sur la machine
cible.
En octobre de la même année a eu lieu l’attaque Land dont le principe
est l’usurpation d’adresse IP dans le but d’exploiter une faille du protocole
TCP/IP dans les systèmes visés.
Enfin, en décembre 1997, a été appliquée l’attaque Teardrop / Overdrop
dont le principe est d’exploiter la fragmentation effectuée par le protocole IP.
En janvier 1998, l’attaque Bonk/Boink qui visait les stations Windows 95
et NT 4.0. Le principe est d’émettre une grande quantité de paquets UDP
corrompus provoquant des blocages ou des plantages du système d’exploitation qui a été visé, suivie par l’attaque Fraggle qui inondait la cible de
paquets UDP en utilisant une variante amplifiée de l’attaque Smurf.
Suivit en juin 1998 de l’attaque Syndrop basée sur le Teardrop en TCP
avec le bit SYN et possédant des champs invalides tels que le numéro de
séquence par exemple. L’impact de cette attaque est le blocage les postes
Windows NT4 SP3 par un Freeze (gèlés, blocage).
Le lundi 21 octobre 2002, une attaque de type Ping Flood bloque 9 des
13 serveurs DNS qui ont pour but le routage des requêtes de résolution de
nom de domaine, rendant ainsi impossible l’accès à leurs ressources pendant
trois heures. Les pirates ont pu grâce à un parc important de machines de
générer un nombre de requêtes entre deux et trois fois supérieur à la capacité
des treize serveurs visés.
4
3
Définition de déni de service :
Le déni de service Denial Of Service ou encore DOS, est une attaque
réalisée dans le but de rendre indisponible durant une certaine période les
services ou ressources d’une organisation.
Généralement, ce type d’attaque à lieu contre des machines, serveurs et accès
d’une entreprise afin qu’ils deviennent inaccessibles pour leurs clients. Le but
d’une telle attaque n’est pas d’altérer ou de supprimer des données, ni même
de voler quelconque information. Il s’agit ici de nuire à la réputation de
sociétés présentes sur Internet en empêchant le bon fonctionnement de leurs
activités.[1]
4
Principe générale de l’attaque déni de service :
Le principe de ces attaques DOS est d’envoyer des paquets ou des données
de taille ou de constitution inhabituelle, afin de provoquer une saturation ou
un état instable des équipements victimes et de les empêcher ainsi d’assurer
les services réseau qu’elles sont sensées offrir. Dans certains cas extrêmes, ce
type d’attaque peut conduire au crash de l’équipement cible.[1]
5
5
les types d’attaque de déni de service :
5.1
L’attaque SYN Flood :
Cette attaque DOS utilise une faiblesse du protocole TCP en se basant
sur l’envoi massive de demande d’ouverture de session SYN.
L’objectif étant de saturer le nombre maximum de sessions TCP en cours de
l’équipement IP assaillis. Ainsi, lorsque cette limite est atteinte, la cible ne
pourra plus établir aucune session TCP causant une indisponibilité de tous
ces applications en écoute de port TCP[1].
Fonctionnement géneral :[4]
- Un timer est déclenché après l’envoi d’un SYN.
- Si une réponse tarde trop à arriver (superiur 75s), la connexion
est abandonnée
6
comment se protéger ? :
Pour se protéger, il est donc possible de jouer sur ces valeurs
afin d’accepter plus de sessions et d’être plus réactif sur la durée
d’attente. Cependant, le fait de modifier ces valeurs peux engendrer un impact de performance local. De plus, cela ne fait que
repousser les limites que l’attaquant se fera un malin plaisir à
atteindre.[1]
Exemple avec iptables limitant les demandes d’établissement de
connexion TCP acceptées à une par seconde :
5.2
L’attaque UDP Flooding :
Cette attaque consiste à envoyer un grand nombre de données
utilisant le protocole UDP sans demande particulière à une cible.
Le but étant de saturer un des liens réseaux qui relie la cible à
internet. Un des liens étant saturé, la cible n’est plus en mesure
de recevoir les demandes légitimes.[2]
L’exemple le plus connu d’UDP Flooding est la Chargen Denial of Service Attack . La mise en pratique de cette attaque est
simple, il suffit de faire communiquer le service chargen d’une
machine avec le service echo d’une autre. Le premier génère des
caractères, tandis que le second se contente de réémettre les
données qu’il reçoit. Il suffit alors à l’attaquant d’envoyer des
paquets UDP sur le port 19 (chargen) à une des victimes en
usurpant l’adresse IP et le port source de l’autre. Dans ce cas, le
port source est le port UDP 7 (echo). L’UDP Flooding entraı̂ne
7
une saturation de la bande passante entre les deux machines, il
peut donc neutraliser complètement un réseau.[3]
Fonctionnement géneral :
conséquances :[4]
-Congestion généralement plus importante qu’avec le TCP Flooding car l’UDP ne possède pas de mécanisme de contrôle de
congestion .
- Les paquets UDP sont prioritaires sur les paquets TCP
-La totalité de la bande passante peut être saturée.
8
comment se protéger ? :
-Il est conseillé de désactiver les services chargen et echo.
-Si vous ne voulez pas désactiver chargen et echo, configurez
votre firewall pour éviter le Chargen Denial of Service Attack
en limitant le traffic UDP.
Exemple avec iptables :
5.3
Attaque par fragmentation (packet fragment) :
Cette technique d’attaque est basé sur la fragmentation IP.
L’objectif est de planter la pile IP de la cible en modifiant les
numéros de séquences.[1]
En effet, le protocole IP est prévu pour fragmenter les datagrammes de taille importante provenant de la couche 4 du
modèle OSI. Le datagramme est alors fragmenté en en plusieurs paquets IP possédant chacun un numéro de séquence et
un numéro d’identification commun. A réception des fragments,
la cible rassemble les paquets grâce aux valeurs de décalage (en
anglais offset) qu’ils contiennent.[1]
L’astuce est de modifier les numéros de séquence afin de
générer des blancs ou des recouvrement lors du réassemblage
par la pile IP cible. Et certain équipement ne le supportait pas
avec différent conséquence tel que l’arrêt du service TCPIP[1]
9
Cependant, revenons sur terre, aujourd’hui, comme pour le
ping de la mort, cette technique n’est plus viable du faite que
les pile IP ont toutes évoluées. Le faite de détailler cette attaque
permet de raconter l’histoire et se remémorer des souvenirs.[1]
5.4
Attaque par réflexion(Smurfing) :
Cette attaque est basée sur l’utilisation de serveurs de diffusion (broadcast) pour paralyser un réseau. Un serveur broadcast
est un serveur capable de dupliquer un message et de l’envoyer
à toutes les machines présentes sur le même réseau.[]
Le scénario d’une telle attaque est le suivant :
-la machine attaquante envoie une requête ping (ping est un
outil exploitant le protocole ICMP, permettant de tester les
connexions sur un réseau en envoyant un paquet et en attendant la réponse) à un ou plusieurs serveurs de diffusion en falsifiant l’adresse IP source (adresse à laquelle le serveur doit
théoriquement répondre) et en fournissant l’adresse IP d’une
machine cible.
-le serveur de diffusion répercute la requête sur l’ensemble du
réseau .
-toutes les machines du réseau envoient une réponse au server
de diffusion.
-le serveur broadcast redirige les réponses vers la machine cible.
10
Fonctionnement géneral :
comment se protéger ? :
- Configurer les firewalls pour limiter le trafic ICMP par seconde.
- Configurer les firewalls pour bloquer les ping .
- Interdire le broadcast.
11
5.5
Attaque Ping de la mort (Ping of death) :
Cette technique d’attaque DOS est dépassée, mais elle a fait
ses preuves à l’époque. Elle exploitait une faiblesse dans l’implémentation
de la plus part des piles IP en envoyant un paquet ICMP d’une
taille non conforme (supérieur à 64 octets). Ceci avait pour effet
de planter directement la pile IP attaquée[4].
Cependant, revenons sur terre, aujourd’hui, comme pour l’attaque par fragmentation, cette technique n’est plus viable du
faite que les pile IP ont toutes évoluées. Nous pouvons donc discuter en datagramme ICMP de grande taille sans aucun soucis
(heureusement). Le faite de détailler cette attaque permet de
raconter l’histoire et se remémorer des souvenirs.[4]
L’attaque DOS Ping de la mort est souvent confondue en
pensant qu’elle est basée sur le faite de saturer une bande passante en ICMP. Ce n’est pas le cas, car ce principe est appliquée
par l’attaque DOS Ping Flood et non pas par Ping de la mort.[4]
12
Fonctionnement géneral :
6
Attaque par déni de service distribué(DDoS) :
Les initiales DDoS désignent le terme Distributed Denial of
Service. En français, on parle d’une attaque par déni de service.
Il s’agit d’une attaque informatique de type DOS (Denial Attack
on Servic) consistant à attaquer un système informatique en utilisant un grand nombre de systèmes informatiques détournés (ou
volontairement utilisés).
13
Fonctionnement géneral :
En règle générale, lors d’une attaque DDoS typique, le cybercriminel (DDoS Master) commence tout d’abord par prendre le
contrôle de nombreux systèmes informatiques à l’aide d’un malware ou en contournant leurs systèmes de sécurité. Il crée ensuite un serveur de type command-and-control. Celui-ci donne
des directives à son réseau de systèmes détournés que l’on appelle aussi botnet. Une fois le réseau assemblé, le DDoS Master
peut ordonner à son armée de générer un trafic artificiel sur le
système ciblé. Il envoi alors un grand nombre de requête pour
affaiblir sa cible, généralement un serveur Web.
14
7
La différence entre DoS et DDoS :
Une attaque DoS (déni de service) est différente d’une attaque
DDoS. Dans le cas d’une attaque DoS, en règle générale, un seul
ordinateur et une seule connexion internet servent à inonder un
système ou une ressource prise pour cible.
De son côté, l’attaque Distributed Denial of Service implique
de nombreux ordinateurs et connexions internet pour inonder
la source. Bien souvent, les attaques DDoS sont des attaques
d’envergure mondiale, distribuées par le biais de botnets.[5]
8
protéction contre les attaque DoS et DDos :
8.1
Continuez à surveiller les niveaux de trafic :
Une attaque DDoS envoie des milliers de requêtes à un serveur ciblé, ce qui provoque une énorme augmentation inhabituelle du trafic. Le trafic normal est mélangé avec le trafic d’inondation, surchargeant le serveur avec plus de trafic que ce qu’il
peut gérer.[6]
15
8.2
Obtenez une bande passante supplémentaire :
C’est une bonne idée d’avoir plus de bande passante disponible que nécessaire. Après tout, non seulement cela vous donne
plus de temps pour identifier et atténuer l’attaque, mais cela
donne également au serveur plus de place pour faire face à l’augmentation sans précédent du trafic.[6]
8.3
Mettre à jour le logiciel régulièrement :
Vous devez mettre à jour vos systèmes d’exploitation, vos
programmes de sécurité et d’autres logiciels importants dès que
des correctifs ou des correctifs sont disponibles. Cela réduit le
risque d’une attaque DDoS car l’échappatoire potentielle dans
la sécurité est remplie avec une nouvelle mise à jour.[6]
8.4
Achetez un serveur privé virtuel (VPS) :
Un VPS dédié fournira à votre plate-forme de commerce ou de
jeu en ligne plus de ressources, de bande passante et de sécurité.
Votre site Web ou votre serveur de jeu aura son propre espace et
une adresse IP unique, l’isolant de toute sorte de cyberattaques
comme DDoS.[6]
8.5
Installez un pare-feu fort :
En utilisant un pare-feu puissant, vous pouvez arrêter l’accès
réseau indésirable et rester protégé contre les différents types
d’attaques DDoS mentionnés ci-dessus. Les pare-feu sont la première
16
ligne de défense pour votre boutique en ligne ou votre serveur
de jeu car ils empêchent tout accès non autorisé.[6]
8.6
Pour la meilleure protection DDoS, obtenez PureVPN :
Avec PureVPN, tout votre trafic Internet est acheminé via un
tunnel crypté, masquant votre IP de toute sorte de surveillance.
Un DDoSer ne pourra voir que l’adresse IP du serveur VPN et
ne pourra donc pas inonder votre réseau. S’ils ne peuvent pas
vous voir, ils ne pourront pas vous attaquer ![6]
9
Conclusion :
Les attaques par deni de service sont une préoccupation majeure à l’ère numérique d’aujourd’hui, et elles continuent de
croı̂tre en intensité et en complexité chaque année. Les méthodes
utilisées par DoS Sers pour mettre un site Web ou un serveur
hors ligne sont en constante évolution. Cependant, en combinant
les mesures de sécurité discutées ci-dessus avec un comportement
intelligent sur Internet, vous pouvez vous protéger contre les attaques DoS et éviter de faire partie d’un botnet dangereux.[6]
17
10
Bibloigraphie :
1-https ://www.frameip.com/dos-attaque-deny-of-service
2-https ://www.cloudflare.com/learning/ddos/udp-flood-ddos-attack
3-(en) Arbor Networks Releases Fifth Annual Infrastructure Security Report [archive] - Arbor Networks, 19 janvier 2010 (voir
archive)
4-http ://helios.mi.parisdescartes.fr/ osalem/Projects/Hotte LUTUN ASCOET.pdf
5-https ://www.lebigdata.fr/ddos-definition
6-https ://www.purevpn.fr/blog/protection-contre-les-attaquesddos/
18