Vulnérabilités des

réseaux

56
 Vulnérabilité des réseaux
• Les réseaux peuvent être vulnérables:

- par une mauvaise implémentation des

piles udp/ip et tcp/ip.

- par des faiblesses des protocoles

57
C'est quoi TCP/IP ?
À quoi ça sert ?
Comment ça marche ?
IP signifie Internet Protocol :
Le protocole IP permet aux ordinateurs reliés à ces réseaux de dialoguer entre eux.

Faisons un parallèle avec la poste.

58
C'est quoi IP ?
Sur Internet, c'est à peu près la même chose: chaque message (chaque petit paquet de données) est
enveloppé par IP qui y ajoute différentes informations:
•l'adresse
l'adresse de l'expéditeur (votre adresse IP),
•l'adresse IP du destinataire,
•différentes
différentes données supplémentaires (qui permettent de bien contrôler l'acheminement du message).

59
 Routage IP

Vous déposez le paquet IP sur le serveur le plus proche (celui de votre fournisseur d'accès en
général). Le paquet IP va transiter d’un serveur en serveur jusqu'à atteindre le destinataire

60
 Les Ports
Avec IP, nous avons de quoi envoyer et recevoir des paquets de données d'un ordinateur à l'autre.
Imaginons maintenant que nous ayons plusieurs programmes qui fonctionnent en même temps sur le
même ordinateur: un navigateur, un logiciel d'email et un logiciel pour écouter la radio sur Internet.
Si l'ordinateur reçoit un paquet IP, comment savoir à quel logiciel donner ce paquet IP ?

Solution :

l'adresse IP permet de s'adresser à

un ordinateur donné, et le numéro de port permet de

s'adresser à un logiciel particulier sur cet ordinateur

61
Le Protocol UDP/IP
UDP/IP est un protocole qui permet justement d'utiliser des numéros de ports en plus des adresses
IP (On l'appelle UDP/IP car il fonctionne au dessus d'IP).
IP s'occupe des adresses IP et UDP s'occupe des ports.
Avec UDP/IP,, on peut être plus précis: on envoie des données d'une application x sur l'ordinateur
A vers une application y sur l'ordinateur B.
Par exemple, votre navigateur peut envoyer un message à un serveur HTTP (un serveur Web):

62
Le Protocol TCP/IP
Mais il y a encore de petits problèmes:
Quand vous envoyez un paquet IP sur Internet, il passe par des dizaines d'ordinateurs. Et il arrive que
des paquets IP se perdent ou arrivent en double exemplaire.
exemplaire
Ça peut être gênant : imaginez un ordre de débit sur votre compte bancaire arrivant deux fois ou un
ordre de crédit perdu !
La taille des paquets IP est limitée (environ 1500 octets).
C'est pour cela qu'a été conçu TCP.

63
Rappel: établissement d'une
connexion TCP
• Connexion en 3 temps (Three Way
Handshake).

64
 Sniffer
• Permet de visualiser les trames sur un
segment de réseau.

65
 IP Spoofing
• Méthode d'attaque qui parodie l'adresse IP d'un
autre ordinateur (usurpation).

•Le protocole IP et le routage sur Internet ne vérifie

pas l'adresse source, d’où n'importe quel ordinateur
peut fabriquer un paquet IP avec n'importe quelle
adresse source. Cette technique peut ainsi servir à
attaquer des réseaux en usurpant l'adresse d'un autre
ordinateur.
.
66
Usurpation d'identité

67
 DNS cache poisoning
• Reroutage d'un site sur un site pirate

cache poisoning

68
 tcp hijacking
Le « vol de session TCP » est une technique consistant à intercepter une
session TCP initiée entre deux machine afin de la détourner.
Dans la mesure où le contrôle d'authentification s'effectue uniquement à
l'ouverture de la session, un pirate réussissant cette attaque parvient à
prendre possession de la connexion pendant toute la durée de la session.

Enfin, lorsque le pirate est situé sur le même brin réseau que les deux
interlocuteurs, il lui est possible d'écouter
écouter le réseau et de « faire taire » l'un
des participants en faisant planter sa machine ou bien en saturant le
réseau afin de prendre sa place.

Men in the middle 69

Men in the middle

70
 arp spoofing
• Pollution des caches arp avec de fausses associations adresse
mac/adresse IP.
• Permet des attaques de type "man in the middle", DOS,
transgression des règles d'un firewall par spoofing.

arp-reply
[Link]
[Link]

71
 arp spoofing
• Exemple d'outil d'arp spoofing:
• arp-sk
sk (unix) winarp-sk
winarp (windows)

• WinArpSpoof

72
 Parades contre le arp
spoofing
- Utiliser des associations statiques
- Surveiller les changements d'association:
• arpwatch (unix)
[Link]
• WinARP Watch (Windows)
[Link]

73
 Smurf
• Envoie d'une trame ICMP "echo
request" sur une adresse de diffusion.

• Exemple: ping [Link]

• Méthode utilisée pour déterminer les

machines actives sur une plage IP
donnée.
74
Attaque en Smurf
• Objectif: écrouler une machine
3 parties: l'attaquant,
l'attaquant l'intermédiaire, la victime

75
 Parades au smurf
• Interdire la réponse aux trames ICMP
sur les adresses de diffusion:
- Au niveau routeur
- Au niveau machine

76
 Rappel Déni de service (DOS)
Une des attaques les plus courantes consistait à envoyer un paquet ICMP de

plus de 65 535 octets.. Au dessus de cette limite, les piles IP ne savaient pas

gérer le paquet proprement,

Les piles actuelles résistent à ce type d’attaques. Néanmoins, les délais de

traitement de ce genre de paquets restent plus longs que ceux nécessaires

pour traiter les paquets légitimes. Ainsi, il devient trivial de générer une

consommation excessive de processeur (CPU)

77
 Différents types de DOS
• DOS local (épuisement des ressources)
- Saturation de l'espace disque
- répertoires récursifs
- boucle infinie de fork ()
-…
• DOS par le réseau (consommation de bande passante)
- Réassemblage de fragments
- Flags TCP illégaux
- SYN flood
-…

78
 DOS par « SYN flood »
Une attaque SYN Flood est une attaque visant à provoquer
un déni de service en émettant un nombre important
de demandes de synchronisation TCP incomplète avec un serveur

Le risque d'abus se pose à l'endroit où le serveur a envoyé un

accusé de réception (SYN-ACK)
ACK) au client, mais ne reçoit pas le
message ACK

Une attaque est visible si la commande netstat indique un grand

nombre de connexions dans l'état SYN_RECV.

79
DOS par « SYN flood »

80
 Parades au SYN Flood
• Allongement de la longueur de la file
d'attente.

• Réduction de la durée de temporisation

d'établissement d'une connexion.

81
Vulnérabilités
applicatives

82