Denial of Service Attacks

Denial of Service Attacks
JIHENE HERGLI (GL4)
KHAOULA BLEL (RT4)
MOHAMED MOADEB (MBDS)
HADHEMI MATMATI (RT4)
Denial of Service Attacks | SECURILIGHT 2014
Table des matières
1. Présentation de l’atelier
2. Présentation des outils utilisés
2.1.
Loic .......................................................................................................................... 2
2.2.
Hoic ......................................................................................................................... 2
2.3.
Slowloris .................................................................................................................. 3
2.4.
Hping3 ..................................................................................................................... 3
3. Topologie du réseau
4. Scénario d'attaque
5. Prévention des attaques DDoS
5.1.
Définition .............................................................................................................. 10
5.2.
Prévention contre les Déni de Service de type Applicatifs .................................. 11
5.3.
Les IDS .................................................................................................................. 11
5.4.
Choix de Techonogie (Security Onion) ................................................................. 12
6. Conclusion
1
Denial of Service Attacks | SECURILIGHT 2014
1. Présentation de l’atelier
Une attaque par déni de service (denial of service attack, d'où l'abréviation DoS) est une
attaque informatique ayant pour but de rendre indisponible un service, d'empêcher les
utilisateurs légitimes d'un service de l’utiliser
Lors d'une attaque DDoS, une multitude de requêtes sont envoyées simultanément, depuis
de multiples points du Net. L'intensité de ce "tir croisé" rend le service instable, ou pire,
indisponible.
Les attaques par DDoS peuvent paralyser toute votre activité en ligne, qu'elles ciblent vos
serveurs Web, DNS ou d’applications.
2. Présentation des outils utilisés
2.1. Loic
LOIC, pour Low Orbit Ion Cannon, est une application de test de réseau, écrite en C# et
développée par Praetox Technologies. Cette application tente d'attaquer par déni de service
le site ciblé en inondant le serveur avec des paquets TCP, des paquets UDP, dont des
requêtes HTTP avec l'intention de perturber le service d'un hôte particulier.
2.2. Hoic
Une version améliorée de LOIC qui permet d’effectuer des attaques DDOS à distance.
2
Denial of Service Attacks | SECURILIGHT 2014
2.3. Slowloris
C’est un script écrit par Robert Hansen (RSnake) qui permet d’établir un maximum de
connexions simultanées au serveur victime, et de garder ces connexions actives aussi
longtemps que possible par l’envoi de requêtes http successives. Slowloris est considéré
l’un des outils les plus dangereux car il permet d’occuper la totalité de la bande passante et
ainsi le déni de service est réalisé.
2.4. Hping3
Hping3 est un outil qui permet d'envoyer des paquets ICMP / UDP / TCP personnalisés et
d'afficher la réponse de la cible d’une manière similaire à la commande ping avec des
réponses ICMP.
3
Denial of Service Attacks | SECURILIGHT 2014
3. Topologie du réseau
Figure 1 Attaque DDoS organisée
Figure 2 Attaque DDoS en utilisant un réseau de Zombies (Botnets)
4
Denial of Service Attacks | SECURILIGHT 2014
Figure 3 Attaque DDoS en utilisant des Reflectors
4. Scénario d’attaque
hping3 :
-1-Pour réaliser une attaque, la première étape consiste à scanner les ports ouverts d'une
machine donnée pour en chercher les vulnérabilités. Pour cela, nous avons utilisé l'outil
nmap:
=>On remarque que le port 80 est ouvert.
5
Denial of Service Attacks | SECURILIGHT 2014
Notre victime sera la machine 192.168.81.131
Notre machine pirate sera 192.168.112.244
-2-On installe hping3:
-3-Maintenant passons à l'attaque:
Cette commande va envoyer des paquets TCP SYN sur le port de la cible, c’est à dire des
demandes de connexions en boucle et sans effectuer d’acquittement de ces connexions,
c’est une attaque DOS de type "SYN FLOOD".
Cette attaque a pour but de saturer la bande passante, le processeur et la mémoire de la
cible et dans certains cas, si le serveur cible n'est pas assez puissant il peut même planter par
manque de ressources.

On peut analyser le traffic envoyer depuis 192.168.112.244 vers 192.168.81.131 en
utilisant wireshark:

Vérifiant si la machine victime est encore disponible ou pas:
Si on lance une requête ping depuis une autre machine vers la machine victime on peut
remarquer qu'elle n'est plus disponible (exp depuis 192.168.112.143 vers 192.168.81.131) :
6
Denial of Service Attacks | SECURILIGHT 2014

On arrête l'attaque hping3 :

On vérifie bien que la machine victime depuis disponible de nouveau:
Slowloris
Slowloris est un script écrit en Perl par Robert "RSnake" Hansen qui permet à une seule
machine de faire tomber un serveur web en utilisant une bande passante minimale et d'effet
de bords sur des services et des ports sans rapport1.
Slowloris utilise une attaque de type DoS (attaque par déni de service), il affecte en
particulier les serveurs Apache qui représentent 67% des serveurs sur le net.

On créer le fichier Slowloris.pl :
7
Denial of Service Attacks | SECURILIGHT 2014

On télécharge les paquets nécessaires:

Démarrer l'attaque:
8
Denial of Service Attacks | SECURILIGHT 2014
LOIC( Low Orbit Ion Cannon):
Un outil de déni de service distribué de nouvelle génération.
Ce programme permet à une personne non technicienne de participer à des attaques de
déni de service distribué (DDOS) depuis son ordinateur. Ce qui le différentie de la plupart
des outils d’attaque de ce type déjà disponibles, c’est sa facilité d’utilisation.

On installe l'outil loic:
9
Denial of Service Attacks | SECURILIGHT 2014

et puis on démarre l'attaque:
5. Prévention de l’attaque DDoS
Nous cette partie nous allons tenter de bloquer les attaques DDoS en utilisant un système de
détection d’intrusions (IDS).
5.1. Définition
Un IDS (Intrusion Detection System) a principalement pour fonction d’analyser en temps réel
ou différé les événements en provenance des différents systèmes, de détecter et de
prévenir en cas de signes d’attaques visibles contre le système d’information. Il s’agit d’un
équipement permettant de surveiller l’activité d’un réseau ou d’un hôte donné, afin de
détecter toute tentative d’intrusion et éventuellement de réagir à cette tentative.
Cela a pour but de repérer les activités et événements anormaux, suspects. Cela permet
ainsi une action de prévention sur les différents risques d’intrusion.
10
Denial of Service Attacks | SECURILIGHT 2014
5.2. Prévention contre les Déni de Service de type
Applicatifs
Pour rappel, ce genre d’attaque vise à exploiter les vulnérabilités d’une application comme
par exemple les dépassements de tampon (Buffer Overflow) ou encore la saturation de
ressources CPU. Il exploite les faiblesses de la conception d’un protocole ou de son
implémentation, il est donc nécessaire pour éviter ce genre d’attaque de mettre à jour le
système régulièrement pour corriger les éventuelles failles logicielles ou systèmes. Mais le
problème majeur qui se pose est souvent celui de la mauvaise configuration des services par
l’administrateur qui constitue la principale cause des dénis de service applicatifs. En effet,
malheureusement l’erreur est humaine et il est difficile de penser à tout pour mettre en
place une configuration bien sécurisée.
Un moyen efficace de se protéger des attaques du type Déni de Service est d’utiliser un
système de d’analyse et de détection d’intrusion IDS (Intrusion Detection System) ainsi
qu’un système de prévention IPS (Intrusion Protection System).
5.3. Les IDS
Les systèmes de détection d‟intrusion (ou encore IDS) permettent de détecter de manière
furtive les activités anormales ou suspectes et permettent ainsi d'avoir une action de
prévention sur les risques d'intrusion en écoutant le trafic réseau.
Les IDS analyse et contrôle le trafic réseau, cherchant d‟éventuelles traces d‟attaques en
générant des alertes lorsque des paquets suspects sont détectés.
En mode Capture (ou encore Sniffer) qui permet de récupérer tout le trafic réseau en temps
réel. Il utilise pour cela la bibliothèque standard de capture de paquet libpcap.
La bibliothèque de capture de paquets Packet Capture Library est portée sur quasiment
toutes les plateformes, ce qui permet en général aux IDS d‟être compatible sur toutes les
plates formes. Par exemple, sous Linux, le fonctionnement de la capture d'un NIDS est de
copier tout paquet arrivant au niveau de la couche liaison de données du système
d'exploitation. Une fois ce paquet copié, il lui est appliqué un filtre BPF (Berkley Packet
Filter), nécessaire à l'affinage de ce que l'IDS cherche à récupérer comme information. Il est
aussi à noter que le trafic analysé n'est pas forcément égal à celui du trafic entrant, étant
donné que la libpcap agit à une couche en dessous du pare-feu (qui agit au niveau réseau).
En mode Analyse dont on distingue deux approches complémentaires :
-
L‟analyse par Signatures qui permet de la même manière qu‟un Antivirus de
rechercher des formes d‟événements caractérisant une attaque à partir de
bibliothèques de signatures : Exemple: « /bin/sh » vers un serveur web.
Avantages
- Très puissant pour reconnaître une attaque sans générer un trop grand nombre de
fauxpositifs.
11
Denial of Service Attacks | SECURILIGHT 2014
- Diagnostique rapidement l‟utilisation d‟une technique d‟attaque.
Inconvénients
- Problème d’évasion.
5.4. Choix de Techonogie (Security Onion)
Security Onion est une distribution Linux pour la détection d'intrusion, surveillance de la
sécurité du réseau et la gestion des journaux. Il est basé sur Ubuntu et contient Snort,
Suricata, Bro, Sguil, Squert,
Snorby, ELSA, Xplico, NetworkMiner, et de nombreux autres outils de sécurité. Security
Onion est une plateforme qui vous permet de surveiller votre réseau pour les alertes de
sécurité. Il est assez simple à exécuter dans les petits environnements sans beaucoup de
problèmes et permet aux utilisateurs avancés de déployer des systèmes distribués qui
peuvent être utilisés dans des environnements de type de l'entreprise du réseau.
Installation de Security Onion
1-Télécharger Security Onion de http://securityonion.blogspot.com/ .
2- Installer la machine sur VMWare Workstation. Security Onion est basée sur Ubuntu 64
bits, nous choisissons donc Ubuntu 64-bit dans le type d’OS. Assurer vous sélectionnez une
architecture 64 bits (Important).
12
Denial of Service Attacks | SECURILIGHT 2014
3- Lorsque le système démarre pour la première fois, sélectionnez l'option 1 pour le système
Live. De cette façon, nous pouvons jouer avec le premier système. Nous pouvons également
l'installer directement sur votre disque dur (ou un disque dur virtuel) lors du démarrage du
système.
4- Lorsque vous êtes prêt à installer le système, sélectionnez le script d'installation sur le
bureau. Le script d'installation vous guidera à travers une série de mesures sur l'installation
du système de façon permanente.
13
Denial of Service Attacks | SECURILIGHT 2014
5- Le gestionnaire d’installation vous demandera comment vous souhaitez partitionner le
disque dur. Comme c’est une machine virtuelle, je vais laisser le format d'installation mon
disque virtuel et l'utiliser dans son intégralité.
14
Denial of Service Attacks | SECURILIGHT 2014
6-Rappelez-vous le nom d'utilisateur que vous choisissez lors de l'installation du système. Le
système ne met pas en cache votre nom d'utilisateur lors des redémarrages.
7- Lorsque l'installation est terminée, vous serez invité à redémarrer votre système.
Configuration de Security Onion
1-Double-cliquez sur le script d'installation sur le bureau.
2- Entrez votre mot de passe root.
15
Denial of Service Attacks | SECURILIGHT 2014
3-Vous serez invités à configurer les interfaces réseau. Sélectionnez oui.
4-Vous serez invité à choisir votre interface de gestion. Ce est l'interface qui aura une
adresse IP et peuvent être utilisées pour gérer le système.
5-Vous serez invité à configurer l'interface pour les paramètres IP statiques ou DHCP. Dans la
plupart des cas, vous voudrez configurer des adresses IP statiques. Cependant, dans mon
environnement de laboratoire est configuré DHCP.
6- Vous serez invité à configurer une interface de surveillance. Cet est l'interface les outils de
sécurité vont utiliser pour surveiller le trafic réseau.
16
Denial of Service Attacks | SECURILIGHT 2014
7-Le système vous demandera de redémarrer lorsque vous avez terminé.
8-Lorsque le système redémarre, cliquez sur l'icône d'installation sur le bureau à nouveau.
9-Vous pouvez sauter la configuration du réseau car elle est déjà terminée.
10-Vous aurez besoin de choisir d'installer la sécurité oignon comme un système distribué
ou choisir l'option d'installation rapide. Nous allons sélectionner l'option d'installation
rapide.
17
Denial of Service Attacks | SECURILIGHT 2014
11-Vous serez invité à sélectionner l'interface qui est la (non-cadres) Interface surveillé.
Sélectionnez l'interface appropriée.
12-Vous devrez créer un nom d'utilisateur qui sera utilisé pour se connecter à et utiliser les
outils Sequel, Squirt, et Elsa.
13- Vous serez invité à une adresse email. C’est le nom d’utilisateur que vous allez utiliser
pour vous connecter à Snorby. Snorby va à l'un des interfaces primaires nous allons utiliser
pour surveiller Snort.
18
Denial of Service Attacks | SECURILIGHT 2014
14-Vous serez invité à créer un mot de passe. Le système n’accepte que les mots de passe
alphanumériques, de sorte que vous ne pouvez pas utiliser des caractères spéciaux.
15- Ensuite, nous allons lancer Snorby. Vous pouvez double-cliquez simplement sur eux
Snorby icône sur le bureau. Vous allez utiliser l'adresse e-mail et mot de passe que vous avez
créé pendant le script d'installation dans la partie V pour vous connecter.
Vous ne pouvez pas avoir de nombreuses alertes à ce stade, cependant, si vous accédez à la
"Evénements" barre de menu, vous devriez commencer à voir un peu de trafic (en
supposant que votre interface de contrôle est correctement configuré).
19
Denial of Service Attacks | SECURILIGHT 2014
6. Conclusion
Sur Internet, les pirates emploient de plus en plus diverses stratégies pour dissimuler
leurs caractères intrusifs.
Les attaques DDoS sont en hausse pour presque toutes les organisations, grandes ou
petites. Les menaces potentielles augmentent à mesure que de plus en plus
d’appareils, y compris les téléphones mobiles, accèdent à Internet.
Dans le cadre de notre atelier, nous avons étudié ces attaques qui représentent l’une
des menaces Internet les plus anciennes et qui continuent d’être le principal risque
pour les réseaux à travers le monde.
Nous avons conclu que suite à leur nature évolutive, les organisations doivent
prendre les choses en main, arrêter de compter sur leurs fournisseurs de services
Internet pour les protéger et commencer à effectuer des changements dès à présent
pour une plus grande prévoyance et bénéficier de défenses plus proactives pour les
services au niveau des applications et du réseau.
20