Scribd
Importer
68 vues19 pages

Les Attaques DoS Et DDoS

Transféré par

dhaouadi hazem
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
68 vues19 pages

Les Attaques DoS Et DDoS

Transféré par

dhaouadi hazem
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Les attaques DoS et DDoS

Hamed Aouadi
Introduction
• L'attaque par déni de service, ou DoS ( Denial
of Service), vise à perturber, ou paralyser
totalement, le fonctionnement
d'un système informatique en le bombardant
à outrance de requêtes erronées.
Introduction
• Le but peut être d'affecter un service en ligne
ou le réseau d'une entreprise en saturant une
des ressources du système :
– la bande passante,
– l'espace de stockage,
– la capacité de traitement d'une base de données,
– les ressources de calcul des processeurs,
– la mémoire vive, etc.
DoS / DDoS
• DoS : Hacker envoie un flot de requêtes sur un
service dans l’espoir d’épuiser ses ressources
• DDoS : attaque DoS distribuée, le hacker
installe des robots (BotNet) pour attaquer
simultanément à partir de plusieurs machines
Distributed Denial-of-Service (DDoS)
Attack
Handler Zombie
Attack Attack
Command Command Attack Packet

Attacker Victim
1.34.150.37 60.168.47.47
Attack Packet
Attack
Command
Attack
Command Zombie
Attack Packet
Attack
Command

Handler Zombie
Ping de la mort
• Le ping of death entraîne un arrêt immédiat
des systèmes vulnérables.
• Heureusement, ce type d’attaque ne
fonctionne plus sur la plupart des systèmes
depuis 1998.
• Pour effectuer une attaque par ping of death,
le hacker crée un paquet ICMP qui dépasse la
taille autorisée
Exemple Ping de la mort
• Windows:
– ping <adresse ip> -l 65500 -w 1 -n 1
• Unix
– ping <adresse ip> -s 65500 -t 1 -n 1
Ping flooding
Attaque Smurf
• Le hacker envoie un faux paquet ICMP ping
– @IPsource=@IP de la victime
– @IPdestination = @IP de broadCast
• Toutes les machines du réseau vont
bombarder la victime par l’écho du ping
Smurf Flooding DoS Attack
“Innocent” Firm

Echo

Attacker 4. Echo
2. Router
1.34.150.37 Replies
with
Broadcasting
1. Single Enabled
ICMP Echo Message Source IP:
60.168.47.47 (Victim)
Destination IP: Broadcast
3. Broadcast
Echo
Message
Victim
60.168.47.47
SYN Flooding
• Également connu sous le nom d’attaque semi-ouverte
• Le hacker envoie un paquet SYN au serveur tout en falsifiant son adresse
IP.
• Le serveur crée une structure de données Transmission Control Block
dans le backlog SYN pour la connexion semi-ouverte. Le TCB occupe de la
mémoire sur le serveur. Par ailleurs, la taille du backlog SYN est limitée.
• Le serveur envoie un paquet SYN/ACK à l’adresse IP usurpée du hacker.
• Comme aucun paquet ACK n’arrive de la part du hacker pour confirmer
la connexion, le serveur envoie d’autres paquets SYN/ACK au client
supposé et maintient la connexion dans un état semi-ouvert.
• Alors que le serveur attend toujours une réponse, de nouveaux paquets
SYN envoyés par le hacker arrivent et doivent être inscrits dans le
backlog SYN.
• À partir d’un certain point, plus aucune place n’est disponible dans le
backlog SYN pour les autres connexions semi-ouvertes. Le serveur rejette
ensuite les paquets SYN entrants et n’est donc plus accessible de
l’extérieur.
SYN Flooding
IP fragmentation Overlapping
IP fragmentation Overlapping

• L'attaque par fragmentation la plus célèbre


est l'attaque Teardrop.
• Le principe de l'attaque Teardrop consiste
à insérer dans des paquets fragmentés des
informations de décalage erronées.
• Ainsi, lors du réassemblage il existe des
vides ou des recoupements (overlapping),
pouvant provoquer une instabilité du
système.
Contourner un filtre IP

• Le filtre IP accepte le premier de 68 octets car il ne contient aucune


demande de connexion TCP
• Cette règle d'acceptation s'applique, là encore, aux autres fragments
du paquet.
• Le deuxième (avec un Fragment Offset égale à 1) contenant les
véritables données de connexion est alors accepté par le filtre IP.
• Ainsi, lors de la défragmentation les données du deuxième fragment
écrasent celles du premier à partir de la fin du 8ème octet (car le
fragment offset est égal à 1).
• Le paquet réassemblé constitue donc une demande de connexion
valide pour la machine cible.
• La connexion s'établit malgré le filtre IP.
UDP Flooding
• Elle consiste à générer une grande quantité de paquets UDP soit à
destination d’une machine soit entre deux machines (Ex : Chargen
Denial of Service Attack).
• Conséquences : DoS : congestion du réseau et saturation des
ressources des deux hôtes victimes; I congestion généralement plus
importante qu’avec le TCP Flooding car I UDP ne possède pas de
mécanisme de contrôle de congestion;
• les paquets UDP sont prioritaires sur les paquets TCP. la totalité de la
bande passante peut être saturée : effondrement de la totalité du
réseau
• Se protéger :
– Configurer les firewalls pour limiter le trafic UDP.
– Désactiver si possible certains services comme echo et chargen
DNS Cache Poisoning
ARP Poisoning

Vous aimerez peut-être aussi