Denial of Service Attacks - securinets.com · Les attaques par DDoS peuvent paralyser toute votre...

Denial of Service Attacks

JIHENE HERGLI (GL4)

KHAOULA BLEL (RT4)

MOHAMED MOADEB (MBDS)

HADHEMI MATMATI (RT4)

Denial of Service Attacks | SECURILIGHT 2014

1

Table des matières 1. Présentation de l’atelier

2. Présentation des outils utilisés

2.1. Loic .......................................................................................................................... 2

2.2. Hoic ......................................................................................................................... 2

2.3. Slowloris .................................................................................................................. 3

2.4. Hping3 ..................................................................................................................... 3

3. Topologie du réseau

4. Scénario d'attaque

5. Prévention des attaques DDoS

5.1. Définition .............................................................................................................. 10

5.2. Prévention contre les Déni de Service de type Applicatifs .................................. 11

5.3. Les IDS .................................................................................................................. 11

5.4. Choix de Techonogie (Security Onion) ................................................................. 12

6. Conclusion


2

1. Présentation de l’atelier Une attaque par déni de service (denial of service attack, d'où l'abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l’utiliser

Lors d'une attaque DDoS, une multitude de requêtes sont envoyées simultanément, depuis de multiples points du Net. L'intensité de ce "tir croisé" rend le service instable, ou pire, indisponible. Les attaques par DDoS peuvent paralyser toute votre activité en ligne, qu'elles ciblent vos serveurs Web, DNS ou d’applications.

2. Présentation des outils utilisés

2.1. Loic

LOIC, pour Low Orbit Ion Cannon, est une application de test de réseau, écrite en C# et

développée par Praetox Technologies. Cette application tente d'attaquer par déni de service

le site ciblé en inondant le serveur avec des paquets TCP, des paquets UDP, dont des

requêtes HTTP avec l'intention de perturber le service d'un hôte particulier.

2.2. Hoic Une version améliorée de LOIC qui permet d’effectuer des attaques DDOS à distance.


3

2.3. Slowloris C’est un script écrit par Robert Hansen (RSnake) qui permet d’établir un maximum de

connexions simultanées au serveur victime, et de garder ces connexions actives aussi

longtemps que possible par l’envoi de requêtes http successives. Slowloris est considéré

l’un des outils les plus dangereux car il permet d’occuper la totalité de la bande passante et

ainsi le déni de service est réalisé.

2.4. Hping3

Hping3 est un outil qui permet d'envoyer des paquets ICMP / UDP / TCP personnalisés et

d'afficher la réponse de la cible d’une manière similaire à la commande ping avec des

réponses ICMP.


4

3. Topologie du réseau

Figure 1 Attaque DDoS organisée

Figure 2 Attaque DDoS en utilisant un réseau de Zombies (Botnets)


5

Figure 3 Attaque DDoS en utilisant des Reflectors

4. Scénario d’attaque

hping3 :

-1-Pour réaliser une attaque, la première étape consiste à scanner les ports ouverts d'une

machine donnée pour en chercher les vulnérabilités. Pour cela, nous avons utilisé l'outil

nmap:

=>On remarque que le port 80 est ouvert.


6

Notre victime sera la machine 192.168.81.131

Notre machine pirate sera 192.168.112.244

-2-On installe hping3:

-3-Maintenant passons à l'attaque:

Cette commande va envoyer des paquets TCP SYN sur le port de la cible, c’est à dire des

demandes de connexions en boucle et sans effectuer d’acquittement de ces connexions,

c’est une attaque DOS de type "SYN FLOOD".

Cette attaque a pour but de saturer la bande passante, le processeur et la mémoire de la

cible et dans certains cas, si le serveur cible n'est pas assez puissant il peut même planter par

manque de ressources.

On peut analyser le traffic envoyer depuis 192.168.112.244 vers 192.168.81.131 en

utilisant wireshark:

Vérifiant si la machine victime est encore disponible ou pas:

Si on lance une requête ping depuis une autre machine vers la machine victime on peut

remarquer qu'elle n'est plus disponible (exp depuis 192.168.112.143 vers 192.168.81.131) :


7

On arrête l'attaque hping3 :

On vérifie bien que la machine victime depuis disponible de nouveau:

Slowloris

Slowloris est un script écrit en Perl par Robert "RSnake" Hansen qui permet à une seule

machine de faire tomber un serveur web en utilisant une bande passante minimale et d'effet

de bords sur des services et des ports sans rapport1.

Slowloris utilise une attaque de type DoS (attaque par déni de service), il affecte en

particulier les serveurs Apache qui représentent 67% des serveurs sur le net.

On créer le fichier Slowloris.pl :

http://fr.wikipedia.org/wiki/Perl_(langage)

http://fr.wikipedia.org/wiki/Slowloris#cite_note-ha.ckers.org-1

http://fr.wikipedia.org/wiki/Apache_HTTP_Server


8

On télécharge les paquets nécessaires:

Démarrer l'attaque:


9

LOIC( Low Orbit Ion Cannon): Un outil de déni de service distribué de nouvelle génération.

Ce programme permet à une personne non technicienne de participer à des attaques de

déni de service distribué (DDOS) depuis son ordinateur. Ce qui le différentie de la plupart

des outils d’attaque de ce type déjà disponibles, c’est sa facilité d’utilisation.

On installe l'outil loic:


10

et puis on démarre l'attaque:

5. Prévention de l’attaque DDoS Nous cette partie nous allons tenter de bloquer les attaques DDoS en utilisant un système de

détection d’intrusions (IDS).

5.1. Définition

Un IDS (Intrusion Detection System) a principalement pour fonction d’analyser en temps réel

ou différé les événements en provenance des différents systèmes, de détecter et de

prévenir en cas de signes d’attaques visibles contre le système d’information. Il s’agit d’un

équipement permettant de surveiller l’activité d’un réseau ou d’un hôte donné, afin de

détecter toute tentative d’intrusion et éventuellement de réagir à cette tentative.

Cela a pour but de repérer les activités et événements anormaux, suspects. Cela permet

ainsi une action de prévention sur les différents risques d’intrusion.


11

5.2. Prévention contre les Déni de Service de type

Applicatifs

Pour rappel, ce genre d’attaque vise à exploiter les vulnérabilités d’une application comme

par exemple les dépassements de tampon (Buffer Overflow) ou encore la saturation de

ressources CPU. Il exploite les faiblesses de la conception d’un protocole ou de son

implémentation, il est donc nécessaire pour éviter ce genre d’attaque de mettre à jour le

système régulièrement pour corriger les éventuelles failles logicielles ou systèmes. Mais le

problème majeur qui se pose est souvent celui de la mauvaise configuration des services par

l’administrateur qui constitue la principale cause des dénis de service applicatifs. En effet,

malheureusement l’erreur est humaine et il est difficile de penser à tout pour mettre en

place une configuration bien sécurisée.

Un moyen efficace de se protéger des attaques du type Déni de Service est d’utiliser un

système de d’analyse et de détection d’intrusion IDS (Intrusion Detection System) ainsi

qu’un système de prévention IPS (Intrusion Protection System).

5.3. Les IDS Les systèmes de détection d‟intrusion (ou encore IDS) permettent de détecter de manière

furtive les activités anormales ou suspectes et permettent ainsi d'avoir une action de

prévention sur les risques d'intrusion en écoutant le trafic réseau.

Les IDS analyse et contrôle le trafic réseau, cherchant d‟éventuelles traces d‟attaques en

générant des alertes lorsque des paquets suspects sont détectés.

En mode Capture (ou encore Sniffer) qui permet de récupérer tout le trafic réseau en temps

réel. Il utilise pour cela la bibliothèque standard de capture de paquet libpcap.

La bibliothèque de capture de paquets Packet Capture Library est portée sur quasiment

toutes les plateformes, ce qui permet en général aux IDS d‟être compatible sur toutes les

plates formes. Par exemple, sous Linux, le fonctionnement de la capture d'un NIDS est de

copier tout paquet arrivant au niveau de la couche liaison de données du système

d'exploitation. Une fois ce paquet copié, il lui est appliqué un filtre BPF (Berkley Packet

Filter), nécessaire à l'affinage de ce que l'IDS cherche à récupérer comme information. Il est

aussi à noter que le trafic analysé n'est pas forcément égal à celui du trafic entrant, étant

donné que la libpcap agit à une couche en dessous du pare-feu (qui agit au niveau réseau).

En mode Analyse dont on distingue deux approches complémentaires :

- L‟analyse par Signatures qui permet de la même manière qu‟un Antivirus de

rechercher des formes d‟événements caractérisant une attaque à partir de

bibliothèques de signatures : Exemple: « /bin/sh » vers un serveur web.

Avantages

- Très puissant pour reconnaître une attaque sans générer un trop grand nombre de

fauxpositifs.


12

- Diagnostique rapidement l‟utilisation d‟une technique d‟attaque.

Inconvénients

-

- Problème d’évasion.

5.4. Choix de Techonogie (Security Onion)

Security Onion est une distribution Linux pour la détection d'intrusion, surveillance de la

sécurité du réseau et la gestion des journaux. Il est basé sur Ubuntu et contient Snort,

Suricata, Bro, Sguil, Squert,

Snorby, ELSA, Xplico, NetworkMiner, et de nombreux autres outils de sécurité. Security

Onion est une plateforme qui vous permet de surveiller votre réseau pour les alertes de

sécurité. Il est assez simple à exécuter dans les petits environnements sans beaucoup de

problèmes et permet aux utilisateurs avancés de déployer des systèmes distribués qui

peuvent être utilisés dans des environnements de type de l'entreprise du réseau.

Installation de Security Onion

1-Télécharger Security Onion de http://securityonion.blogspot.com/ .

2- Installer la machine sur VMWare Workstation. Security Onion est basée sur Ubuntu 64

bits, nous choisissons donc Ubuntu 64-bit dans le type d’OS. Assurer vous sélectionnez une

architecture 64 bits (Important).

http://securityonion.blogspot.com/


13

3- Lorsque le système démarre pour la première fois, sélectionnez l'option 1 pour le système

Live. De cette façon, nous pouvons jouer avec le premier système. Nous pouvons également

l'installer directement sur votre disque dur (ou un disque dur virtuel) lors du démarrage du

système.

4- Lorsque vous êtes prêt à installer le système, sélectionnez le script d'installation sur le

bureau. Le script d'installation vous guidera à travers une série de mesures sur l'installation

du système de façon permanente.


14

5- Le gestionnaire d’installation vous demandera comment vous souhaitez partitionner le

disque dur. Comme c’est une machine virtuelle, je vais laisser le format d'installation mon

disque virtuel et l'utiliser dans son intégralité.


15

6-Rappelez-vous le nom d'utilisateur que vous choisissez lors de l'installation du système. Le

système ne met pas en cache votre nom d'utilisateur lors des redémarrages.

7- Lorsque l'installation est terminée, vous serez invité à redémarrer votre système.

Configuration de Security Onion

1-Double-cliquez sur le script d'installation sur le bureau.

2- Entrez votre mot de passe root.


16

3-Vous serez invités à configurer les interfaces réseau. Sélectionnez oui.

4-Vous serez invité à choisir votre interface de gestion. Ce est l'interface qui aura une

adresse IP et peuvent être utilisées pour gérer le système.

5-Vous serez invité à configurer l'interface pour les paramètres IP statiques ou DHCP. Dans la

plupart des cas, vous voudrez configurer des adresses IP statiques. Cependant, dans mon

environnement de laboratoire est configuré DHCP.

6- Vous serez invité à configurer une interface de surveillance. Cet est l'interface les outils de

sécurité vont utiliser pour surveiller le trafic réseau.


17

7-Le système vous demandera de redémarrer lorsque vous avez terminé.

8-Lorsque le système redémarre, cliquez sur l'icône d'installation sur le bureau à nouveau.

9-Vous pouvez sauter la configuration du réseau car elle est déjà terminée.

10-Vous aurez besoin de choisir d'installer la sécurité oignon comme un système distribué

ou choisir l'option d'installation rapide. Nous allons sélectionner l'option d'installation

rapide.


18

11-Vous serez invité à sélectionner l'interface qui est la (non-cadres) Interface surveillé.

Sélectionnez l'interface appropriée.

12-Vous devrez créer un nom d'utilisateur qui sera utilisé pour se connecter à et utiliser les

outils Sequel, Squirt, et Elsa.

13- Vous serez invité à une adresse email. C’est le nom d’utilisateur que vous allez utiliser

pour vous connecter à Snorby. Snorby va à l'un des interfaces primaires nous allons utiliser

pour surveiller Snort.


19

14-Vous serez invité à créer un mot de passe. Le système n’accepte que les mots de passe

alphanumériques, de sorte que vous ne pouvez pas utiliser des caractères spéciaux.

15- Ensuite, nous allons lancer Snorby. Vous pouvez double-cliquez simplement sur eux

Snorby icône sur le bureau. Vous allez utiliser l'adresse e-mail et mot de passe que vous avez

créé pendant le script d'installation dans la partie V pour vous connecter.

Vous ne pouvez pas avoir de nombreuses alertes à ce stade, cependant, si vous accédez à la

"Evénements" barre de menu, vous devriez commencer à voir un peu de trafic (en

supposant que votre interface de contrôle est correctement configuré).


20

6. Conclusion

Sur Internet, les pirates emploient de plus en plus diverses stratégies pour dissimuler

leurs caractères intrusifs.

Les attaques DDoS sont en hausse pour presque toutes les organisations, grandes ou

petites. Les menaces potentielles augmentent à mesure que de plus en plus

d’appareils, y compris les téléphones mobiles, accèdent à Internet.

Dans le cadre de notre atelier, nous avons étudié ces attaques qui représentent l’une

des menaces Internet les plus anciennes et qui continuent d’être le principal risque

pour les réseaux à travers le monde.

Nous avons conclu que suite à leur nature évolutive, les organisations doivent

prendre les choses en main, arrêter de compter sur leurs fournisseurs de services

Internet pour les protéger et commencer à effectuer des changements dès à présent

pour une plus grande prévoyance et bénéficier de défenses plus proactives pour les

services au niveau des applications et du réseau.

Denial of Service Attacks - securinets.com · Les attaques par DDoS peuvent paralyser toute votre...

Documents

Transcript of Denial of Service Attacks - securinets.com · Les attaques par DDoS peuvent paralyser toute votre...