Attaques des Réseaux Informatiques
Attaques des réseaux informatiques

Attaques des Réseaux Informatiques

Attaques des Réseaux Informatiques

Les attaques des réseaux informatiques se basent sur les failles liées aux protocoles ou à leurs implémentations. Ce qui suit, décrit les plus connues.

Techniques de scan

Le scan de port, comme vu de l’étape « probe » n’est pas vraiment une attaque. Mais, c’est plutôt un moyen pour déceler les ports ouverts et les services actifs. C’est la première étape d’une attaque et la meilleure technique de scan est celle qui est la plus furtive que possible afin de ne pas alerter les soupçons de la future victime.

IP Spoofing

L’objectif de l’IP spoofing est l’usurpation de l’adresse IP d’une autre machine. Elle est utile dans le cas d’authentification par adresse IP. Elle se base sur le truquage des paquets IP, par exemple, à l’aide de l’utilitaire comme Hping2. Cependant, en changeant son adresse IP, le pirate ne recevra pas de réponse de la machine distante puisque cette dernière sera envoyée au propriétaire réelle l’adresse IP usurpée. A moins de faire :

  • Une source routing : en plaçant à l’intérieur du paquet IP le chemin de routage. Cependant, les routeurs de nos jours n’acceptent plus cette option.
  • Un Reroutage : en envoyant au routeur des paquets de modification des tables de routage et ainsi les paquets de l’adresse usurpée seront envoyées vers un autre routeur. qui est contrôlé par le pirate et ainsi pouvant être reçus par ce dernier.
IP spoofing
Figure 1 : IP Spoofing

ARP Spoofing

ARP Spoofing (ou ARP Redirect) consiste en la redirection du trafic d’une machine vers une autre. C’est la même finalité que l’IP spoofing mais on est actuellement au niveau de la couche de liaison. Elle se base sur la corruption du cache ARP. L’Address resolution protocol (ARP, protocole de résolution d’adresse) est un protocole effectuant l’interface entre la couche réseau (couche 3 du modèle OSI) et la couche de liaison (couche 2 du modèle OSI). Ainsi, la nouvelle trame ARP doit indiquer à la victime que l’adresse IP d’une autre machine est la sienne. Cependant, les caches ARP sont régulièrement vidés, donc il faut songer à maintenir l’usurpation.

DNS Spoofing

L’objectif d’un DNS Spoofing est de fournir de fausses réponses aux requêtes DNS en indiquant une fausse adresse IP pour un nom de domaine. Les ordinateurs connectés à un réseau IP, comme Internet, possèdent une adresse IP qui, pour être plus facilement traitées par une machine, est représenté sous une forme numérique. Cependant, il n’est pas pratique d’apprendre toute une suite de chiffres numérique pour accéder à site web d’où le mécanisme DNS permettant l’association d’un nom (nom de domaine) à une adresse IP. Ainsi, l’opérateur au lieu de se connecter à l’adresse voulue, il se retrouve redirigé vers un site pirate (qui peut être l’image du site réel) où le pirate peut, par exemple, récupérer les identifiants de l’opérateur.

Cette opération se déroule soit par :

  • DNS Cache Poisonning : les serveurs DNS dispose d’un cache qui permet de garder un certain temps la correspondance entre un nom de domaine et son adresse IP. L’objectif étant de corrompre ce cache.
  • DNS ID Spoofing : lorsque nous introduisons un nom de domaine dans un navigateur, une requête est envoyée pour obtenir son adresse IP. Dans la trame de cette requête subsiste un numéro d’identification qui permet au client et au serveur de l’identifier. En récupérant cet identifiant (par un sniffer par exemple que nous verrons dans le quatrième chapitre), nous pouvons envoyer au client des réponses falsifiées avant que le serveur DNS ne lui réponde.
DNS Spoofing
Figure 2 : DNS Spoofing

Fragments attacks

L’objectif de cette attaque est de passer outre les protections des équipements de filtrage IP. Ainsi, une fois infiltré, le pirate peut effectuer d’autres attaques. Cela peut se faire par :

  • Fragments Overlapping : pour être transmis sur un réseau, le message est fragmenté en paquets. Chaque paquet dispose d’un offset permettant l’identification de sa position par rapport aux autres paquets de départ et permettant ainsi la reconstruction du message. Le but de l’attaque et de chevaucher les paquets en spécifiant des offsets incorrects. La plupart des filtres analysent les paquets d’une manière indépendante donc il ne détecte pas l’attaque. Ainsi, lors de la défragmentation, la demande de connexion est valide et l’attaque a lieu.
  • Tiny fragments : la demande de connexion est divisée en deux paquets. Le premier de taille minimum ne comprenant que l’adresse IP et le port de destination donc il outrepasse le filtre car il ne contient rien de suspect. Le deuxième paquet, quant à lui, contient la demande effective de connexion et du moment que la première partie est inoffensive alors certains filtres ne contrôlent pas la deuxième partie en jugeant qu’elle aussi va être inoffensive.

De nos jours, une grande partie des firewalls détectent et arrêtent ces attaques.

TCP Session Hijacking

Le but de cette attaque est d’exploiter une session déjà ouverte par l’utilisateur. L’authentification ne se fait qu’à l’ouverture de la session. Ainsi, le pirate reste à l’écoute du réseau et une fois que l’utilisateur est authentifié, il désynchronise la session entre ce dernier et le serveur en construisant un paquet avec l’adresse IP source de l’utilisateur et le numéro d’acquittement TCP attendu par le serveur. De plus, ce paquet construit permet aussi d’injecter d’autres commandes dans cette session déjà ouverte.

 

Retour à l’accueil du Blog

Researchgate profile