Telechargé par boukraakawther

DDOS/DOS Fait par KAWTHER et KHADIDJA

publicité
Républice Algérienne Démorcratique et Populaire
Ministére de l’Enseignement Supérieur et de la
Recherche Scientifique
Universitaire BELHADJ Bouchaib -Ain temouchent
Département des Mathématiques et Informatiques
Déni de Service
Réalisé par :
Boudjemai Khadidja
Boukraa Kawther
Chargé du module :
Mr.Bouchakour
Année universitaire :2019/2020
Table des matières
1 Introduction :
3
2 Historique :
4
3 Définition de déni de service :
5
4 Principe générale de l’attaque déni de service :
5
5
les
5.1
5.2
5.3
5.4
5.5
types d’attaque de déni de service :
L’attaque SYN Flood : . . . . . . . . . . . . .
L’attaque UDP Flooding : . . . . . . . . . . .
Attaque par fragmentation (packet fragment) :
Attaque par réflexion(Smurfing) : . . . . . . .
Attaque Ping de la mort (Ping of death) : . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
6
. 6
. 7
. 9
. 10
. 12
6 Attaque par déni de service distribué(DDoS) :
13
7 La différence entre DoS et DDoS :
15
8
15
15
16
16
16
16
17
protéction contre les attaque DoS et DDos :
8.1 Continuez à surveiller les niveaux de trafic : . . . . .
8.2 Obtenez une bande passante supplémentaire : . . . .
8.3 Mettre à jour le logiciel régulièrement : . . . . . . . .
8.4 Achetez un serveur privé virtuel (VPS) : . . . . . . .
8.5 Installez un pare-feu fort : . . . . . . . . . . . . . . .
8.6 Pour la meilleure protection DDoS, obtenez PureVPN
.
.
.
.
.
:
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
9 Conclusion :
17
10 Bibloigraphie :
18
2
1
Introduction :
Tout ordinateur connecté à un réseau informatique est potentiellement
vulnérable à une attaque.
Une attaque est l’exploitation d’une faille d’un système informatique
(système d’exploitation, logiciel ou bien même de l’utilisateur) à des fins non
connues par l’exploitant des systèmes et généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs
attaques par minute sur chaque machine connectée. Ces attaques sont pour
la plupart lancées automatiquement à partir de machines infectées (par des
virus, chevaux de Troie, vers, etc.), à l’insu de leur propriétaire. Plus rarement il s’agit de l’action de pirates informatiques.
Les motivations des attaques peuvent être de différentes sortes :
• obtenir un accès au système .
• voler des informations, tels que des secrets industriels ou des propriétés
intellectuelles .
• glaner des informations personnelles sur un utilisateur .
• récupérer des données bancaires .
• s’informer sur l’organisation (entreprise de l’utilisateur, etc.)
. • troubler le bon fonctionnement d’un service .
• utiliser le système de l’utilisateur comme rebond pour une attaque .
3
2
Historique :
Les attaques par déni de service ont commencé dans les années 1980, ce
n’est qu’en Aout 1992 qu’aurait eu lieu la première attaque de déni de service
distribué dirigée contre les serveurs de l’Université du Minnesota, à la suite
de quoi l’accès Internet de l’Université est resté bloqué pendant plus de 2
jours.
En décembre 1996 a eu lieu l’attaque Ping de la mort (Ping Of Death).
En juillet 1997, a eu lieu l’attaque Smurf qui, grâce à un serveur de diffusion
( broadcast ),duplique et envoie sur l’ensemble du réseau le message qu’il
aura reçu de la machine attaquante. Par la suite, les machines du réseau
répondent au serveur de diffusion qui redirigera ces réponses sur la machine
cible.
En octobre de la même année a eu lieu l’attaque Land dont le principe
est l’usurpation d’adresse IP dans le but d’exploiter une faille du protocole
TCP/IP dans les systèmes visés.
Enfin, en décembre 1997, a été appliquée l’attaque Teardrop / Overdrop
dont le principe est d’exploiter la fragmentation effectuée par le protocole IP.
En janvier 1998, l’attaque Bonk/Boink qui visait les stations Windows 95
et NT 4.0. Le principe est d’émettre une grande quantité de paquets UDP
corrompus provoquant des blocages ou des plantages du système d’exploitation qui a été visé, suivie par l’attaque Fraggle qui inondait la cible de
paquets UDP en utilisant une variante amplifiée de l’attaque Smurf.
Suivit en juin 1998 de l’attaque Syndrop basée sur le Teardrop en TCP
avec le bit SYN et possédant des champs invalides tels que le numéro de
séquence par exemple. L’impact de cette attaque est le blocage les postes
Windows NT4 SP3 par un Freeze (gèlés, blocage).
Le lundi 21 octobre 2002, une attaque de type Ping Flood bloque 9 des
13 serveurs DNS qui ont pour but le routage des requêtes de résolution de
nom de domaine, rendant ainsi impossible l’accès à leurs ressources pendant
trois heures. Les pirates ont pu grâce à un parc important de machines de
générer un nombre de requêtes entre deux et trois fois supérieur à la capacité
des treize serveurs visés.
4
3
Définition de déni de service :
Le déni de service Denial Of Service ou encore DOS, est une attaque
réalisée dans le but de rendre indisponible durant une certaine période les
services ou ressources d’une organisation.
Généralement, ce type d’attaque à lieu contre des machines, serveurs et accès
d’une entreprise afin qu’ils deviennent inaccessibles pour leurs clients. Le but
d’une telle attaque n’est pas d’altérer ou de supprimer des données, ni même
de voler quelconque information. Il s’agit ici de nuire à la réputation de
sociétés présentes sur Internet en empêchant le bon fonctionnement de leurs
activités.[1]
4
Principe générale de l’attaque déni de service :
Le principe de ces attaques DOS est d’envoyer des paquets ou des données
de taille ou de constitution inhabituelle, afin de provoquer une saturation ou
un état instable des équipements victimes et de les empêcher ainsi d’assurer
les services réseau qu’elles sont sensées offrir. Dans certains cas extrêmes, ce
type d’attaque peut conduire au crash de l’équipement cible.[1]
5
5
les types d’attaque de déni de service :
5.1
L’attaque SYN Flood :
Cette attaque DOS utilise une faiblesse du protocole TCP en se basant
sur l’envoi massive de demande d’ouverture de session SYN.
L’objectif étant de saturer le nombre maximum de sessions TCP en cours de
l’équipement IP assaillis. Ainsi, lorsque cette limite est atteinte, la cible ne
pourra plus établir aucune session TCP causant une indisponibilité de tous
ces applications en écoute de port TCP[1].
Fonctionnement géneral :[4]
- Un timer est déclenché après l’envoi d’un SYN.
- Si une réponse tarde trop à arriver (superiur 75s), la connexion
est abandonnée
6
comment se protéger ? :
Pour se protéger, il est donc possible de jouer sur ces valeurs
afin d’accepter plus de sessions et d’être plus réactif sur la durée
d’attente. Cependant, le fait de modifier ces valeurs peux engendrer un impact de performance local. De plus, cela ne fait que
repousser les limites que l’attaquant se fera un malin plaisir à
atteindre.[1]
Exemple avec iptables limitant les demandes d’établissement de
connexion TCP acceptées à une par seconde :
5.2
L’attaque UDP Flooding :
Cette attaque consiste à envoyer un grand nombre de données
utilisant le protocole UDP sans demande particulière à une cible.
Le but étant de saturer un des liens réseaux qui relie la cible à
internet. Un des liens étant saturé, la cible n’est plus en mesure
de recevoir les demandes légitimes.[2]
L’exemple le plus connu d’UDP Flooding est la Chargen Denial of Service Attack . La mise en pratique de cette attaque est
simple, il suffit de faire communiquer le service chargen d’une
machine avec le service echo d’une autre. Le premier génère des
caractères, tandis que le second se contente de réémettre les
données qu’il reçoit. Il suffit alors à l’attaquant d’envoyer des
paquets UDP sur le port 19 (chargen) à une des victimes en
usurpant l’adresse IP et le port source de l’autre. Dans ce cas, le
port source est le port UDP 7 (echo). L’UDP Flooding entraı̂ne
7
une saturation de la bande passante entre les deux machines, il
peut donc neutraliser complètement un réseau.[3]
Fonctionnement géneral :
conséquances :[4]
-Congestion généralement plus importante qu’avec le TCP Flooding car l’UDP ne possède pas de mécanisme de contrôle de
congestion .
- Les paquets UDP sont prioritaires sur les paquets TCP
-La totalité de la bande passante peut être saturée.
8
comment se protéger ? :
-Il est conseillé de désactiver les services chargen et echo.
-Si vous ne voulez pas désactiver chargen et echo, configurez
votre firewall pour éviter le Chargen Denial of Service Attack
en limitant le traffic UDP.
Exemple avec iptables :
5.3
Attaque par fragmentation (packet fragment) :
Cette technique d’attaque est basé sur la fragmentation IP.
L’objectif est de planter la pile IP de la cible en modifiant les
numéros de séquences.[1]
En effet, le protocole IP est prévu pour fragmenter les datagrammes de taille importante provenant de la couche 4 du
modèle OSI. Le datagramme est alors fragmenté en en plusieurs paquets IP possédant chacun un numéro de séquence et
un numéro d’identification commun. A réception des fragments,
la cible rassemble les paquets grâce aux valeurs de décalage (en
anglais offset) qu’ils contiennent.[1]
L’astuce est de modifier les numéros de séquence afin de
générer des blancs ou des recouvrement lors du réassemblage
par la pile IP cible. Et certain équipement ne le supportait pas
avec différent conséquence tel que l’arrêt du service TCPIP[1]
9
Cependant, revenons sur terre, aujourd’hui, comme pour le
ping de la mort, cette technique n’est plus viable du faite que
les pile IP ont toutes évoluées. Le faite de détailler cette attaque
permet de raconter l’histoire et se remémorer des souvenirs.[1]
5.4
Attaque par réflexion(Smurfing) :
Cette attaque est basée sur l’utilisation de serveurs de diffusion (broadcast) pour paralyser un réseau. Un serveur broadcast
est un serveur capable de dupliquer un message et de l’envoyer
à toutes les machines présentes sur le même réseau.[]
Le scénario d’une telle attaque est le suivant :
-la machine attaquante envoie une requête ping (ping est un
outil exploitant le protocole ICMP, permettant de tester les
connexions sur un réseau en envoyant un paquet et en attendant la réponse) à un ou plusieurs serveurs de diffusion en falsifiant l’adresse IP source (adresse à laquelle le serveur doit
théoriquement répondre) et en fournissant l’adresse IP d’une
machine cible.
-le serveur de diffusion répercute la requête sur l’ensemble du
réseau .
-toutes les machines du réseau envoient une réponse au server
de diffusion.
-le serveur broadcast redirige les réponses vers la machine cible.
10
Fonctionnement géneral :
comment se protéger ? :
- Configurer les firewalls pour limiter le trafic ICMP par seconde.
- Configurer les firewalls pour bloquer les ping .
- Interdire le broadcast.
11
5.5
Attaque Ping de la mort (Ping of death) :
Cette technique d’attaque DOS est dépassée, mais elle a fait
ses preuves à l’époque. Elle exploitait une faiblesse dans l’implémentation
de la plus part des piles IP en envoyant un paquet ICMP d’une
taille non conforme (supérieur à 64 octets). Ceci avait pour effet
de planter directement la pile IP attaquée[4].
Cependant, revenons sur terre, aujourd’hui, comme pour l’attaque par fragmentation, cette technique n’est plus viable du
faite que les pile IP ont toutes évoluées. Nous pouvons donc discuter en datagramme ICMP de grande taille sans aucun soucis
(heureusement). Le faite de détailler cette attaque permet de
raconter l’histoire et se remémorer des souvenirs.[4]
L’attaque DOS Ping de la mort est souvent confondue en
pensant qu’elle est basée sur le faite de saturer une bande passante en ICMP. Ce n’est pas le cas, car ce principe est appliquée
par l’attaque DOS Ping Flood et non pas par Ping de la mort.[4]
12
Fonctionnement géneral :
6
Attaque par déni de service distribué(DDoS) :
Les initiales DDoS désignent le terme Distributed Denial of
Service. En français, on parle d’une attaque par déni de service.
Il s’agit d’une attaque informatique de type DOS (Denial Attack
on Servic) consistant à attaquer un système informatique en utilisant un grand nombre de systèmes informatiques détournés (ou
volontairement utilisés).
13
Fonctionnement géneral :
En règle générale, lors d’une attaque DDoS typique, le cybercriminel (DDoS Master) commence tout d’abord par prendre le
contrôle de nombreux systèmes informatiques à l’aide d’un malware ou en contournant leurs systèmes de sécurité. Il crée ensuite un serveur de type command-and-control. Celui-ci donne
des directives à son réseau de systèmes détournés que l’on appelle aussi botnet. Une fois le réseau assemblé, le DDoS Master
peut ordonner à son armée de générer un trafic artificiel sur le
système ciblé. Il envoi alors un grand nombre de requête pour
affaiblir sa cible, généralement un serveur Web.
14
7
La différence entre DoS et DDoS :
Une attaque DoS (déni de service) est différente d’une attaque
DDoS. Dans le cas d’une attaque DoS, en règle générale, un seul
ordinateur et une seule connexion internet servent à inonder un
système ou une ressource prise pour cible.
De son côté, l’attaque Distributed Denial of Service implique
de nombreux ordinateurs et connexions internet pour inonder
la source. Bien souvent, les attaques DDoS sont des attaques
d’envergure mondiale, distribuées par le biais de botnets.[5]
8
protéction contre les attaque DoS et DDos :
8.1
Continuez à surveiller les niveaux de trafic :
Une attaque DDoS envoie des milliers de requêtes à un serveur ciblé, ce qui provoque une énorme augmentation inhabituelle du trafic. Le trafic normal est mélangé avec le trafic d’inondation, surchargeant le serveur avec plus de trafic que ce qu’il
peut gérer.[6]
15
8.2
Obtenez une bande passante supplémentaire :
C’est une bonne idée d’avoir plus de bande passante disponible que nécessaire. Après tout, non seulement cela vous donne
plus de temps pour identifier et atténuer l’attaque, mais cela
donne également au serveur plus de place pour faire face à l’augmentation sans précédent du trafic.[6]
8.3
Mettre à jour le logiciel régulièrement :
Vous devez mettre à jour vos systèmes d’exploitation, vos
programmes de sécurité et d’autres logiciels importants dès que
des correctifs ou des correctifs sont disponibles. Cela réduit le
risque d’une attaque DDoS car l’échappatoire potentielle dans
la sécurité est remplie avec une nouvelle mise à jour.[6]
8.4
Achetez un serveur privé virtuel (VPS) :
Un VPS dédié fournira à votre plate-forme de commerce ou de
jeu en ligne plus de ressources, de bande passante et de sécurité.
Votre site Web ou votre serveur de jeu aura son propre espace et
une adresse IP unique, l’isolant de toute sorte de cyberattaques
comme DDoS.[6]
8.5
Installez un pare-feu fort :
En utilisant un pare-feu puissant, vous pouvez arrêter l’accès
réseau indésirable et rester protégé contre les différents types
d’attaques DDoS mentionnés ci-dessus. Les pare-feu sont la première
16
ligne de défense pour votre boutique en ligne ou votre serveur
de jeu car ils empêchent tout accès non autorisé.[6]
8.6
Pour la meilleure protection DDoS, obtenez PureVPN :
Avec PureVPN, tout votre trafic Internet est acheminé via un
tunnel crypté, masquant votre IP de toute sorte de surveillance.
Un DDoSer ne pourra voir que l’adresse IP du serveur VPN et
ne pourra donc pas inonder votre réseau. S’ils ne peuvent pas
vous voir, ils ne pourront pas vous attaquer ![6]
9
Conclusion :
Les attaques par deni de service sont une préoccupation majeure à l’ère numérique d’aujourd’hui, et elles continuent de
croı̂tre en intensité et en complexité chaque année. Les méthodes
utilisées par DoS Sers pour mettre un site Web ou un serveur
hors ligne sont en constante évolution. Cependant, en combinant
les mesures de sécurité discutées ci-dessus avec un comportement
intelligent sur Internet, vous pouvez vous protéger contre les attaques DoS et éviter de faire partie d’un botnet dangereux.[6]
17
10
Bibloigraphie :
1-https ://www.frameip.com/dos-attaque-deny-of-service
2-https ://www.cloudflare.com/learning/ddos/udp-flood-ddos-attack
3-(en) Arbor Networks Releases Fifth Annual Infrastructure Security Report [archive] - Arbor Networks, 19 janvier 2010 (voir
archive)
4-http ://helios.mi.parisdescartes.fr/ osalem/Projects/Hotte LUTUN ASCOET.pdf
5-https ://www.lebigdata.fr/ddos-definition
6-https ://www.purevpn.fr/blog/protection-contre-les-attaquesddos/
18
Téléchargement
Explore flashcards