Les attaques d'usurpation d'identité : Les différentes attaques qui vont suivre se basent principalement sur l’usurpation d’identité…
| On commence par l’attaque « Spoofing ».
Par exemple, lorsqu'une machine envoie un paquet IP, tout le monde s'attend à ce que l'adresse IP source soit la propre adresse IP de la machine qui envoie.
Et c’est pareil pour l'adresse MAC source dans la trame Ethernet, qui devrait être la propre adresse MAC de l'expéditeur.
Et c’est la même chose, pour les services du type DHCP ou DNS.
Par exemple, si un PC envoie une requête DHCP ou DNS, et bien, ce même PC, s’attendra, à recevoir une réponse d'un serveur DHCP ou DNS, qui serait légitimes et approuvés.
Comme les adresses et les services ont tendance à être implicitement approuvés, c’est pourquoi les attaques d'usurpation d'identité se concentrent sur la vulnérabilité.
C’est-à-dire qu’ils vont remplacer les valeurs attendues par des valeurs falsifiées.
Dans l’exemple, l’attaquant envoie un paquet avec une adresse IP source usurpée, au lieu de sa propre adresse.
Lorsque la cible reçoit ces paquets, elle envoie le trafic de retour à l'adresse usurpée, plutôt qu'à l'adresse réelle de l'attaquant.
Si l'adresse usurpée existe, alors un hôte sans méfiance, avec cette adresse, recevra le paquet.
Et si l'adresse n'existe pas, le paquet sera alors transféré, puis abandonné plus loin dans le réseau.
Une personne malveillante pourrait aussi envoyer des adresses MAC usurpées, dans le but de fausser les tables de correspondances utilisées par des commutateurs de couche 2 ou bien même fausser des tables ARP utilisées par des routeurs.
Ce type d’attaque pose également problème sur des serveurs DHCP, car si les demandes DHCP contiennent des adresses MAC usurpées, alors ça ira remplir la table d’allocation IP du serveur DHCP, ne laissant plus de place à d’autres clients, pour une utilisation normale.
| Passons maintenant aux attaques de déni de service, qui sont aussi très rependues.
Dans le fonctionnement normal d'une application métier, les clients ouvrent des connexions aux serveurs d'entreprise pour échanger des informations.
C’est-à-dire que, les utilisateurs ouvrent un navigateur Web vers le site de l'entreprise, ce qui a pour effet, d’ouvrir une connexion TCP avec ce dernier. Et c’est à ce moment, que des échanges peuvent avoir lieu, ou bien, qu’une transaction puisse être effectuée.
Alors, si tous les utilisateurs se comportent bien, les serveurs d’entreprises ne devraient jamais être surchargés.
Ce qui veut dire que de nombreuses transactions peuvent avoir lieu sans problème…
Maintenant, supposons qu'un utilisateur malveillant trouve un moyen, d'ouvrir une connexion au serveur l’entreprise.
La connexion TCP commence, lorsque l'utilisateur malveillant envoie un paquet SYN au serveur, sauf qu’ici, l'adresse IP source est remplacée par une fausse adresse.
Le serveur va donc ajouter la connexion TCP à sa table client et répondra à la fausse adresse avec un « SYN-ACK ».
Vu que la fausse adresse n'a rien demandé, il n’y aura pas de réponse ACK, pour terminer cette négociation TCP en 3 étapes.
Cette connexion reste donc incomplète dans la table du serveur jusqu'à ce qu'elle expire et soit supprimée.
Pendant ce temps, l'attaquant peut de nouveau lancer de nouvelles connexions frauduleuses, jusqu’à ce que la table de connexion du serveur soit full.
Ce qui bloquera les connexions TCP, des utilisateurs légitimes, qui ne pourront plus lancer de transaction pour l’entreprise.
Lorsqu'un attaquant est en mesure d'épuiser les ressource système, et bien, l’ensemble de ces services deviennent indisponibles ou se bloquent.
| C’est ce qu’on appelle une attaque par déni de service (DoS : Deny of Service). Car elle refuse le service aux utilisateurs
Ce type d’attaque peut même aller encore bien plus loin, en faisant participer de nombreux systèmes qui n’ont rien demandé.
| Dans ce cas, l’attaquant, va installer un ordinateur, quelque part sur internet, qui va contrôler un ensemble d’autres systèmes, en les infectant, par un code ou logiciel malveillant.
Chaque machine deviendra alors silencieusement un «bot»,qui fonctionne normalement et attendra les ordres de l’ordinateur « Maitre ».
Et lorsque le moment sera venu de commencer une attaque, le contrôleur enverra une commande à chaque bot, pour leur dire de lancer une attaque par déni de service, contre une cible.
C’est ce qu’on appelle une attaque par déni de service distribué (DDoS : Distributed Denial of Service) , parce que l'attaque est distribuée sur un grand nombre de bots, qui inonde ou attaque la même cible.
| Nous allons maintenant voir un autre type d’attaque qui consiste de forcer la cible à traiter un trafic usurpé pour qu’il le transfert vers un client légitime…
Si on se base sur l’image, dans ce type d’attaque, le serveur n’est pas la cible prévue.
L’objectif est d'amener le serveur à refléter cet échange vers l'adresse usurpée, qui est la cible.
C'est ce qu’on appelle une attaque par réflexion (reflection attack).
Le serveur qui reflète le trafic vers la cible est appelé un « reflecteur ».
L'attaquant peut aussi envoyer les paquets usurpés à plusieurs réflecteurs, ce qui provoquerait la réception de plusieurs copies du trafic par la cible…
Le principal but de ce type d’attaque est de consommé de la bande passante.
| Nous allons maintenant parler d’une attaque qui se traduirait en français par « L’homme du milieu ».
Cette attaque consiste à écouter les données qui passent d'une machine à une autre, en évitant la détection.
C’est-à-dire que l’attaquant se place tranquillement, au milieu du chemin de communication, et se fait passer par un intermédiaire des deux cibles.
Ce type d'attaque exploite la table ARP, que chaque hôte gère pour communiquer avec d'autres hôtes, de leurs propres réseaux locaux.
Normalement, si un hôte doit envoyer des données à un autre, il recherche l'hôte de destination dans sa table ARP.
Si une entrée est trouvée, la trame Ethernet peut alors, être envoyée directement à l'adresse MAC de destination.
Sinon, l'expéditeur doit diffuser une demande ARP en broadcast, qui contient l'adresse IP de la destination, et il devra attendre que le destinataire lui réponde avec sa propre adresse MAC.
On va maintenant détailler le processus de l’attaque sur l’image.
Ce processus empoisonne donc l'entrée des tables ARP de tous les systèmes qui aurait reçu la réponse ARP usurpée.
Et comme ça, tout système infecté, transmettra aveuglément le trafic à l'adresse MAC de l'attaquant, qui se fait passer pour la destination.
Dans ce type de hack, dès qu’un attaquant se place entre 2 hôtes, et bien il peut écouter l’ensemble des communications entre ces deux hôtes.
Et il peut même aussi, modifier les données qui transitent.
Objectif |
DoS/DDoS |
Reflection |
Amplification |
Man-in-the-Middle |
Épuiser les ressources ou planter le système |
Oui |
Non |
Non |
Non |
Tromper un hôte pour envoyer du trafic vers la cible |
Non |
Oui |
Oui |
Non |
Écouter le trafic |
Non |
Non |
Non |
Oui |
Modifier le trafic |
Non |
Non |
Non |
Oui |
| Lorsque vous travaillez sur différents types d'attaques d'usurpation d'adresse, n'oubliez pas que le principal but de l'attaquant est de dissimuler son identité et de tromper d'autres systèmes, et ce, de manière malveillante.
Le tableau répertorie les concepts et les caractéristiques de chaque type d’attaque.
Quel type d’attaque, serait d’envoyer 10 Gb/s depuis une même adresse IP/machine vers un serveur cible pour saturer sa connexion réseau qui ne serait, par exemple, que de 1 Gb/s ?
Spoofing attack
DoS
DDoS
Reflection attack
Man-in-the-middle
Une attaque DDoS (Distributed Denial of Services) typique serait d’envoyer 1 Gb/s depuis 10 serveurs différents pour totaliser 10 Gb/s et bloquer un serveur disposant d’une connexion 1 Gb/s.
Quel type d’attaque, consiste de forcer la cible à traiter un trafic usurpé pour qu’il le transfert vers un client légitime ?
Spoofing attack
DoS
DDoS
Reflection attack
Man-in-the-middle
Quel type d’attaque désigne le fait de monter un canular à des fins malveillantes basé sur l’usurpation d’identité, principalement via email ?
Spoofing attack
DoS
DDoS
Reflection attack
Man-in-the-middle
Quel type d’attaque a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis ?
Spoofing attack
DoS
DDoS
Reflection attack
Man-in-the-middle
Quel type d’attaque est une multitude de requêtes envoyée en simultané depuis de multiples points du Web ? (L'intensité de ce « tir croisé » rend le service instable, voire indisponible)
Spoofing attack
DoS
DDoS
Reflection attack
Man-in-the-middle
D’une manière générale, la différence entre DoS et DDoS se situe dans la façon de distribuer l’attaque. Une DoS se fait depuis un seul point de départ alors qu’une DDoS implique depuis plusieurs ordinateurs ou serveurs différents, qu’elles soient applicative ou réseau.
Retrouver de nombreuses vidéos de cours sur la chaine Youtube Formip
Suivez le parcours CCNA sur le site Formip
Visitez notre Politique de Confidentialité
Prenez connaissance de notre Charte de Qualité |
CGU | CGV | Engagement de non-responsabilité
Vous avez une réclamation à nous soumettre ? => Remplissez le formulaire
Vos informations sont 100% sécurisées, nous nous engageons à ne pas les revendre.
Siège social : 34 rue Pasteur, 39110 Salins-les-bains.
SIRET. 890 495 294 00013 ⎜Numero DATA DOCK:0085 282 ⎜Déclaration d’activité enregistré auprès du préfet de region Bourgogne-Franche-Comté sous le numéro : 27390126739
© Copyright 2017 - Formip par Damien.S