REPUBLIQUE DU SENEGAL

UNIVERSITE CHEIKH ANTA DIOP DE DAKAR

DEPARTEMENT MATHEMATIQUE-INFORMATIQUE

SECTION INFORMATIQUE

RAPPORT DE PROJET :

DENI DE SERVICE

ATTAQUE ET CONTRE ATTAQUE AVEC DOS ET DDOS

Présenté par :
Aminata BA
Fatoumata Dia
Seynabou Beye

Année universitaire 2019 -2020

 TABLES DES MATIERES

INTRODUCTION

LE DENI DE SERVICE

I- Introduction
II- Types d’attaques DoS
II.1- Exploitation de failles de sécurité présentes dans l'un des composants du système

II.2- Attaque SYN Flood

II.3- UDP Flooding

II.4- Packet Fragment

II.5- Smurfing

III- Le déni de service distribué DDoS

LOIC ET SON MODE DE FONCTIONNEMENT

I- Low Orbit Ion Cannon

II- Fonctionnement de LOIC
III- Exemple d’attaque par déni de service

OUTIL DE CONTRE ATTAQUE

I- CloudFlare
II- Fonctionnement de CloudFlare
III- Test

CONCLUSION

WEBOGRAPHIE

2
DENI DE SERVICE 2019-2020

INTRODUCTION

Une cyberattaque ou attaque informatique est une action volontaire et malveillante menée au moyen
d'un réseau informatique visant à causer un dommage aux informations et aux personnes qui les traitent
(particuliers, entreprises, hôpitaux , institutions...). Une cyberattaque peut être le fait d'une personne
seule (hacker), d'un groupe de pirates, d'un État ou d'une organisation criminelle. Les cyberattaques
sont facilitées par la quantité croissante d'informations mises en ligne (cloud) et par des failles de
sécurité dans les systèmes. Le déni de service est l’une des différents types d’attaques qui existent, il
fait partie des plus populaires et des plus faciles à utiliser (même sans grandes connaissances en
informatique).

LE DENI DE SERVICE

I- INTRODUCTION

L’indisponibilité d’un service est en informatique appelé denial of Service (DoS) ou déni de service
en français. Un déni de service apparait normalement quand il y a une surcharge des composants
individuels de l’infrastructure informatique. Si cela est provoqué délibérément par un acteur
extérieur, on parle alors d’attaque DoS, notamment lorsqu’une attaque inonde une cible URL avec
un tel nombre de requêtes que le serveur ne peut pas les traiter. Cela signifie que les périphériques
réseau, les systèmes d’exploitation ainsi que les services des serveurs ne sont pas en mesure de
répondre dans le temps imparti voire sont dans l’incapacité de traiter les requêtes. Une technique
particulièrement efficace est lorsque le système est inondé de requêtes provenant de plusieurs
ordinateurs : ceci est connu sous le nom d’attaque DDoS, ce qui diffère d’une attaque DoS est
l’utilisation de très nombreux botnets (réseau de bots informatiques) au lieu d’un seul.

II- TYPES D’ATTAQUES DOS

II.1- Exploitation de failles de sécurité présentes dans l'un des composants du

système

Une des attaques les plus courantes consistait à envoyer un paquet ICMP de plus de 65 535 octets.
Au-dessus de cette limite, les piles IP ne savaient pas gérer le paquet proprement, ce qui entraînait des

1
DENI DE SERVICE 2019-2020

erreurs de fragmentations UDP, ou encore les paquets TCP contenant des « flags » illégaux ou
incompatibles.
Les piles actuelles résistent à ce type d’attaques. Néanmoins, les délais de traitement de ce genre
de paquets restent plus longs que ceux nécessaires pour traiter les paquets légitimes. Ainsi, il devient
commun voire trivial de générer une consommation excessive de processeur (CPU) par la simple
émission de plusieurs centaines de milliers d’anomalies par seconde, ce qu’un outil tel que hping3
permet en une unique ligne de commandes …
Avec l'arrivée du haut débit et l'augmentation de la puissance des ordinateurs personnels, le potentiel
d'attaque a été décuplé, mettant en évidence la faiblesse des installations développées il y a plusieurs
années. Cette augmentation permet à quasiment toutes les anomalies d’être à l’origine d’un déni de
service, pourvu qu’elles soient générées à un rythme suffisamment important.

II.2- Attaque SYN Flood

C’est une attaque visant à provoquer un déni de service en émettant un nombre important de demandes
de synchronisation TCP incomplète avec un serveur. Quand un système (client) tente d'établir une
connexion TCP vers un système offrant un service (serveur), le client et le serveur échangent une
séquence de messages. Le système client commence par envoyer un message SYN au serveur. Le
serveur reconnaît ensuite le message en envoyant un SYN-ACK message au client. Le client finit alors
d’établir la connexion en répondant par un message ACK. La connexion entre le client et le serveur est
alors ouverte, et le service de données spécifiques peut être échangé entre le client et le serveur.

II.3- UDP Flooding

Ce déni de service exploite le mode non connecté du protocole UDP. Il crée une UDP Packet
Storm (génération d’une grande quantité de paquets UDP) soit à destination d’une machine soit entre
deux machines. Une telle attaque entre deux machines entraîne une congestion du réseau ainsi qu’une
saturation des ressources des deux hôtes victimes. La congestion est plus importante du fait que le trafic
UDP est prioritaire sur le trafic TCP. En effet, le protocole TCP possède un mécanisme de contrôle de
congestion, dans le cas où l’acquittement d’un paquet arrive après un long délai, ce mécanisme adapte
la fréquence d’émission des paquets TCP et le débit diminue. Le protocole UDP ne possède pas ce
mécanisme. Au bout d’un certain temps, le trafic UDP occupe donc toute la bande passante, ne laissant
qu’une infime partie au trafic TCP.

II.4- Packet Fragment

Les dénis de service de type Packet Fragment utilisent des faiblesses dans l'implémentation de certaines
piles TCP/IP au niveau de la défragmentation IP (réassemblage des fragments IP).

2
DENI DE SERVICE 2019-2020

II.5- Smurfing

Cette attaque utilise le protocole ICMP. Quand un ping (message ICMP ECHO) est envoyé à une
adresse de broadcast, celui-ci est démultiplié et envoyé à chacune des machines du réseau. Le principe
de l’attaque est de truquer les paquets ICMP ECHO REQUEST envoyés en mettant comme adresse IP
source celle de la cible. L’attaquant envoie un flux continu de ping vers l’adresse de broadcast d’un
réseau et toutes les machines répondent alors par un message ICMP ECHO REPLY en direction de la
cible. Le flux est alors multiplié par le nombre d’hôtes composant le réseau. Dans ce cas tout le réseau
cible subit le déni de service, car l’énorme quantité de trafic générée par cette attaque entraîne une
congestion du réseau.

III- LE DENI DE SERVICE DISTRICUE DDOS

A cause des performances actuelles des serveurs et de la généralisation des techniques de répartition
de charge et de haute disponibilité, il est quasiment impossible de provoquer un déni de service
simple comme décrit dans les sections précédentes. Il est donc souvent nécessaire de trouver un
moyen d’appliquer un effet multiplicateur à l’attaque initiale : les DDoS (ou attaques DoS
Distribuées) qui sont beaucoup plus récentes ; la première attaque DDoS officielle a eu lieu en août
1999.

Le principe est d'utiliser plusieurs sources (daemons) pour l’attaque et des maîtres (masters) qui les
contrôlent.
L’attaquant utilise des maîtres pour contrôler plus facilement les sources. En effet, il a besoin de se
connecter (en TCP) aux maîtres pour configurer et préparer l’attaque. Les maîtres se contentent
d’envoyer des commandes aux sources en UDP, ce qui permet de ne pas avoir à se connecter
manuellement à chaque source. La source de l’attaque serait détectée plus facilement et sa mise en
place beaucoup plus longue. Chaque daemon et master discutent en échangeant des messages
spécifiques selon l’outil utilisé. Ces communications peuvent même être chiffrées et/ou authentifiées.
Pour installer les daemons et les masters, l’attaquant peut utiliser des failles connues (buffer overflow
sur des services RPC, FTP ou autres).
L’attaque en elle-même est un SYN Flooding, UDP Flooding ou autre Smurf Attack. Le résultat d’un
déni de service est donc de rendre un réseau inaccessible.

LOIC ET SON MODE DE FONCTIONNEMENT

3
DENI DE SERVICE 2019-2020

I. LOW ORBIT ION CANNON

LOIC, pour Low Orbit Ion Cannon (littéralement, un canon à ion en orbite basse) est une application
de test de réseau, écrite en C# et développée par Praetox Technologies. Cette application tente
d'attaquer par déni de service le site ciblé en inondant le serveur avec des paquets TCP, des paquets
UDP dont des requêtes HTTP avec l'intention de perturber le service d'un hôte particulier. LOIC agit
comme un agent recruteur. Il donne les commandes du logiciel à un coordinateur, qui est chargé de
définir à distance les sites Internet à attaquer en groupe. Les cybercriminels sont habitués à utiliser des
systèmes similaires pour former des réseaux de PC fantômes sous leur emprise, des « botnets ». Mais
leurs outils sont implantés à l'insu des propriétaires des ordinateurs, grâce à des virus. LOIC, lui,
s'installe en toute connaissance de cause. Son téléchargement est gratuit, pour Mac OS, Windows et
Linux. Il existe 2 versions de l'outil : la première est la version binaire, qui est l'outil LOIC
d'origine. L'autre est LOIC basé sur le Web ou JS LOIC.

Figure 1 : LOIC d’origine

4
DENI DE SERVICE 2019-2020

Figure 2 : Version modifiée de LOIC avec une option pour la connexion IRC

II. FONCTIONNEMENT

-Analyse de l'attaque :

Attaque UDP : pour effectuer l'attaque UDP, sélectionnez la méthode d'attaque comme
UDP. Il a le port 80 comme option par défaut sélectionnée, mais vous pouvez le modifier en
fonction de vos besoins. Modifiez la chaîne de message ou laissez-la par défaut.

Attaque TCP : cette méthode est similaire à l'attaque UDP. Sélectionnez le type d'attaque
comme TCP pour l'utiliser.

Attaque http : dans cette attaque, l'outil envoie des requêtes HTTP au serveur cible. Un pare-
feu d'application Web peut détecter facilement ce type d'attaque.

-Effectuer une attaque DoS en utilisant LOIC :

Nous allons suivre ces différentes étapes pour lance une attaque DoS.

• Étape 1 : exécutez l'outil.

5
DENI DE SERVICE 2019-2020

• Étape 2 : Entrez l'URL du site Web dans le champ URL et cliquez sur Verrouiller O.
Ensuite, sélectionnez la méthode d'attaque (TCP, UDP ou HTTP).
• Étape 3 : Modifiez les autres paramètres selon votre choix ou laissez-les par
défaut. Cliquez maintenant sur le gros bouton intitulé "IMMA CHARGIN MAH
LAZER". Vous venez de lancer une attaque sur la cible.

Après avoir lancé l'attaque, vous verrez des chiffres dans les champs d'état de
l'attaque. Lorsque le nombre demandé cesse d'augmenter, redémarrez le LOIC ou modifiez
l'adresse IP. Vous pouvez également essayer l'attaque UDP. Les utilisateurs peuvent
également définir la vitesse de l'attaque par le curseur.

-Signification des champs du logiciel :

• IDLE : Il montre le nombre de threads inactifs. Il doit être nul pour une meilleure efficacité
de l'attaque.

• Connecting : indique le nombre de threads qui tentent de se connecter au serveur victime.

• Requesting : Ceci indique le nombre de threads qui demandent des informations au serveur
victime.

• Downloading : Ceci indique le nombre de threads qui lancent un téléchargement pour

certaines informations à partir du serveur.

• Downloaded : ce nombre indique combien de fois le téléchargement de données a été lancé

à partir du serveur victime sur lequel vous attaquez.

• Requested : ce nombre indique combien de fois un téléchargement de données a été

demandé au serveur victime.

• FAILED : ce nombre indique combien de fois le serveur n'a pas répondu à la demande. Un
nombre plus grand dans ce champ signifie que le serveur est en panne. Le succès de
l'attaque peut être mesuré par le nombre indiqué dans ce champ.

III. EXEMPLE D’ATTAQUE

6
DENI DE SERVICE 2019-2020

Figure 3 : Lancement de LOIC

Légende : On renseigne l’Url du site (ici un site nouvellement créé pris dans l’annuaire des sites
sénégalaises) visé dans le champ URL

7
DENI DE SERVICE 2019-2020

Figure 4 : IP du serveur visé

Légende : on clique sur le bouton Lock on l’adresse IP est affiché dans la zone target.

Figure 5 : L’attaque a commencé

Légende : On choisit la méthode, ici TCP, et on lance l’attaque.

8
DENI DE SERVICE 2019-2020

Figure 6 : L’attaque continue

Légende : il y a 17 threads entrain d’interroger les serveur visé et 3 connectés au serveur, 12618162
demandes de téléchargement de données, 1934 fois d’absence de réponse du serveur il est mis chaos
petit à petit.

CONTRE ATTAQUE

Se protéger contre les attaques de déni de service peut être relativement facile, l’utilisation d’un bon
antivirus peut nous en protéger, mais les sites de grande envergure qui peuvent perdre des millions lors
d’une attaque utilise pour la plupart des logiciels Anti-DDoS payants, dans le cas présent nous allons
exposer le fonctionnement de CloudFlare, comme nous n’avons de serveur sur lequel gérer la contre-
attaque, nous allons par la suite lancer une attaque contre Instagram qui utilise cette technologie et
montrer que l’attaque n’aboutira pas.

I. CLOUDFLARE
La solution de protection anti-DDoS de Cloudflare sécurise les sites web, les applications et les
réseaux entiers, tout en s'assurant que le trafic légitime n'est pas compromis. Basé aux États-Unis, il
gère plus de 180 centres de données dans le monde : une infrastructure qui rivalise avec celle de
Google

9
DENI DE SERVICE 2019-2020

Doté d'une capacité de 51 Tbps, le réseau de Cloudflare bloque en moyenne 72 milliards de menaces
par jour, dont certaines des plus vastes attaques DDoS de l'histoire.

II. FONCTIONNEMENT
Chaque utilisateur de Cloudflare peut choisir d'activer le mode `` Je suis attaqué '' qui peut se protéger
contre les attaques DoS les plus sophistiquées en présentant un défi Javascript. En règle générale,
Cloudflare agit également comme un proxy inverse entre les visiteurs et l'hôte de votre site pour filtrer
le trafic de la même manière que Project Shield de Jigsaw. En mars 2019, Cloudflare a lancé
Spectrum for UDP, qui fournit une protection DDoS et un pare-feu pour les protocoles non fiables.
Les visiteurs qui font des demandes de connexion doivent exécuter un gant de filtres sophistiqués, y
compris la réputation du site, si leur adresse IP a été mise sur liste noire et si l'en-tête HTTP semble
suspect. Les requêtes HTTP sont empreintes digitales pour se protéger contre les botnets connus. En
tant que géant de l'industrie, Cloudflare peut facilement tirer parti de sa position en partageant des
informations sur les plus de 7 millions de sites Web qu'il gère.

III. TEST

Figure 7 : Tentative d’attaque contre Instagram

Légende : le nombre de demandes de téléchargements de données s’arrête au bout de quelques

secondes.

10
DENI DE SERVICE 2019-2020

CONCLUSION

L’attaque par déni de service est illégale dans plusieurs pays, passible de prison et de paiement
d’amendes élevées et porte un très grand préjudice aux serveurs visés, il est impératif de savoir prévenir
toutes les cyberattaques, d’autant plus qu’elles deviennent de plus en plus dangereuses et sophistiquées.

11
DENI DE SERVICE 2019-2020

Webographie

[W1] : https://resources.infosecinstitute.com/topic/loic-dos-attacking-tool

[W2] : https://www.techradar.com/news/best-ddos-protection

[W3] : https://www.cloudflare.com/fr-fr/ddos/

[W4] : https://www.lefigaro.fr/secteur/high-tech/2010/12/09/32001-
20101209ARTFIG00601-loic-l-arme-informatique-pour-venger-
wikileaks.php#:~:text=Dans%20son%20fonctionnement%2C%20LOIC%20rappelle,ce
%20qui%20bloque%20le%20site.

12