Denial of Service and Distributed Denial of Service

Slides:



Advertisements
Présentations similaires
Les protocoles réseau.
Advertisements

Sécurité informatique
Franck BARBIEU – Romain GARDON
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Vue d'ensemble Implémentation de la sécurité IPSec
Xavier Tannier Yann Jacob Sécurite Web.
Révision Avant lintra – Architecture de lordinateur, les composants, le fonctionnement, codage – Système dexploitation: organisation des données (fichier),
Oct.-2000DESS IIDEE © B. BAH 1 ASP Caractéristiques dun fichier ASP Son extension : « *.asp » La balise: Son indépendance vis à vis de toute plate–forme,
Cours 7 - Les pointeurs, l'allocation dynamique, les listes chaînées
Pare-feu.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
420-B63 Programmation Web Avancée Auteur : Frédéric Thériault 1.
Les instructions PHP pour l'accès à une base de données MySql
IDS : Intrusion Detection System
Xavier Tannier Sécurite Web.
ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.
Développement dapplications web Authentification, session.
Le protocole de contrôle ICMP
Abderrahmane Bouarissa Damien Burglin Arnaud Sansig
PhP-MySQL Pagora 2012/2013 CTD 1 - Presentation de moi ^^
Le Modele OSI.
RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.
IDS / IPS Réalisée par : Aissa Marwa Allouche Awatef Filali Sameh
Les IDS Philippe Sèvre le 10/01/2009.
Cours n° 1 Le langage HTML Prof. : E. BAKKI
La Mise en plan d'un assemblage 1.
Première exploration des paquets capturés
Données accessibles sur le site
L’écran d’accueil A gauche, se trouve le bloc d’authentification. Vous avez reçu votre identifiant et votre mot de passe par mail. N’oubliez pas le.
PHP & My SQL.
Snort Présentation : Franck OLLIVE.
Date : Juillet 2014 Formation : TAI Formateur : Tayeb BENDJELTI
GROUPE BTS IRIS 2 Informatique et Réseaux pour l’industrie et les Services techniques E-6 PROJET INFORMATIQUE REVUE N°2      INTERROGATION DE LA BASE DE.
Content Management System CMS. Pourquoi ? Obligation de ressaisir des contenus publiés à plusieurs endroits Pas d’outils de gestion de qualité de l’information.
Analyse d’une attaque contre le systeme LPRng (groupe 7) - La vulnerabilite des format strings - Qu’est ce qu’une attaque de format strings? - Comment.
Références Computer Networks Andrew S. Tanenbaum Prentice Hall Internetworking Technologies Handbook c/cisintwk/ito_doc/index.htm.
Créer son site web Chapitre II. Les caractères spéciaux Les navigateurs ne reconnaissent pas les caractères spéciaux. Heureusement chaque caractère possède.
PLAN 1-Présentation du protocole ICMP: . VIDEO . ICMP
L’attaque DNS Spoofing
Internet WEB.
Les pointeurs Suite.
PHP 5° PARTIE : LES COOKIES
Sommaire Dans ce chapitre, nous aborderons :
Structures de données avancées : Concepts réseaux et protocole de communication. D. E ZEGOUR Institut National d ’Informatique.
Interconnexion de réseaux par des routeurs sous GNU/Linux
User Datagram Protocol
Les réseaux - Internet Historique Réseau local Internet Les protocoles
Cours de programmation web
Lyda tourisme Process en PHP. Objectif Il s’agit de construire un segment de process dans un système d’information touristique.
420-B63 Programmation Web Avancée Auteur : Frédéric Thériault 1.
Back Orifice Scénario en 3 étapes - Préparation & envoi - Infection & Installation - Prise de contrôle - Détections Possibles - Net-Based - Host-Based.
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
Institut Supérieur d’Informatique
Installation et Configuration Internet Information Server (IIS 6)
05 – Couche 3 - Couche réseau Terme anglais = The Network Layer.
Abderrahmane Bouarissa Damien Burglin Arnaud Sansig
Les Réseaux Informatiques
PHP 6° PARTIE : LES SESSIONS 1.Introduction 2.Identificateur de session 3.Variables de session 4.Client / Serveur 5.Principe 6.Ouverture de session 7.Enregistrement.
Séminaire INGI 2591 Attaques Web Accardo Nicolas INFO 22 Blerot Olivier INFO 22 Couvreur Pascal INFO 22 Depry Fabian INFO 23.
 Formulaires HTML : traiter les entrées utilisateur
Réseaux Informatiques
Mise en place de translation d’adresses NAT/PAT
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
Vlan Trunking Protocol
CPI/BTS 2 Programmation Web Les sites dynamiques Prog Web CPI/BTS2 – M. Dravet – 02/10/2003 Dernière modification: 02/10/2003.
Chaîne de requêteCookieSession Sauvegarder un état via l'url Sauvegarder l'état La technique consiste à passer des informations via l'URL sous la forme:
{ Java Server Pages Par Billy et Mike.  Introduction  Qu’est-ce que JSP?  Pourquoi utiliser JSP?  Développement  Balises  Servlets  Conclusion.
APP-TSWD Apprentissage Par Problèmes Techniques des Sites Web Dynamiques Licence Professionnelle FNEPI Valérie Bellynck, Benjamin Brichet-Billet, Mazen.
Département Informatique Les Réseaux Informatiques Couche Transport Protocoles UDP & TCP Laurent JEANPIERRE.
Transcription de la présentation:

Denial of Service and Distributed Denial of Service Laurence Herbiet Christophe Boniver Benoit Joseph Xavier Seronveaux

DoS Rappels Signature de l’attaque DDoS

Denial of Service Rappels Qu’est ce qu’un DoS ? Descritpion de l’attaque Conséquence de l’attaque Cause de l’attaque Signature de l’attaque Création d’une règle sous snort

Qu’est-ce qu’un DoS ? Elles consistent à paralyser temporairement (rendre inactif pendant un temps donné) des serveurs afin qu’ils ne puissent être utilisés et consultés. Le but d’un telle attaque n’est pas d’obtenir ou d’altérer des données, mais de nuire à des sociétés dont l’activité repose sur un système d’information en l’empêchant de fonctionner.

Descritpion de l’attaque Création d’un déni de service sur l’outil Snort (version 1.8.3) à l’aide d’envoi de trame ICMP (ECHO REQUEST) Pour réaliser l’attaque, il suffit d’envoyer une trame ICMP de type ECHO REQUEST dont la taille des données est inférieure à 4 bytes. Comment ? En utilisant la commande ping : ping –s 1 stallman L’option –s 1 spécifie que l’on ne transmet que 1 byte de donnée.

Conséquence de l’attaque Suivant les règles utilisées dans la configuration de Snort, le résultat de l’attaque diffère : Soit Snort se crash (Erreur de segmentation) Soit Snort affiche à l’écran une trame dont le contenu est la mémoire de la machine attaquée. Cela est dû à l’interraction des règles utilisées dans Snort.

Cause de l’attaque Pacquet ICMP (encapsulé dans un datagramme IP) version HeadLen T.O.S Longueur totale Identification Flags Dep_fragement 20 bytes Durée de vie Protocole Cheksume sur le header Adresse source Adresse destination Type Code Checksum 8 bytes Identifier Sequence number Data (Erreur de segmentation) 1. Snort initialise un pointeur sur le paquet reçu ainsi qu’une variable contenant la longueur du paquet. 2. Snort déplace le pointeur vers l’en-tête ICMP tout en modifiant la longueur du paquet qui devient la taille du paquet ICMP 3. Pour finir, Snort déplace le pointeur vers les données et dans le cas d'un ECHO, ou ECHO REPLY, il décale de nouveau le pointeur vers les données 4 bytes plus loin.

Signature de l’attaque Détecter que l’on a une trame ICMP de type ECHO REQUEST Vérifier que les données ont une taille inférieure à 4 bytes Les paquets étant décodés par Snort, les valeurs renvoyées par celui-ci sont erronées. Nous utiliserons cette particularité lors de la création de la règle pour détecter l’attaque.

Création d’une règle sous Snort Lorsque Snort décode une trame ICMP de n (<=4) bytes, il indique une payload supérieur à 65535-n bytes. Cette valeur peut être obtenue dans les règles à l’aide de dsize. La règle verifira si on a bien une trame ICMP de type ECHO REQUEST(type = 8) et que la payload est supérieure à 65531 bytes. alert icmp $EXT_NET any -> $HOME_NET any (msg:’’ICMP less four bytes’’; itype: 8; dsize: > 65531; )

Pour détecter la règle dans le cas d’une version patchée, il suffit d’appliquer la règle suivante : alert icmp $EXT_NET any -> $HOME_NET any (msg:’’ICMP less four bytes’’; itype: 8; dsize: <4; )

DoS Rappels Signature de l’attaque DDoS

Distributed Denial of Service Rappels Qu’est ce qu’un DDoS ? Description de l’attaque Conséquence de l’attaque Signature de l’attaque Détection des erreurs 404 Création d’un compteur sous Snort Création d’une règle sous snort

Qu’est ce qu’un DDoS ? Les DDoS ont le même but que les DoS : mettre à genou une cible. La principale différence est que l’attaque est distribuée sur une multitude de machine Première étape : se rendre maître de plusieurs machines Deuxième étape : lancer l’attaque à partir de ses machines

Description de l’attaque Attaque DDoS contre le serveur web du World Economic Forum. Propagée par un mouvement Hacktivist avec une date de synchronisation. Télechargement volontaire de l’applet utilisée pour cet exploit. chargé par environ 100.000 personnes. pas de prise de contrôle des machines de la part des Hacktivists.

Effet de l’attaque L’attaque permet de nuire au serveur de deux manières différentes : Flood : recharger une page invalide sur le serveur une grand nombre de fois par minute Spam : laisser un message d’erreur sur le serveur. Possible car journalisation des requêtes par les serveurs (particulièrement les erreurs 404)

Conséquence de l’attaque La machine est incapable de répondre à l’énorme quantité de requêtes. Vu la journalisation des erreurs 404 sur le serveur, les fichiers de logs gonflent jusqu’à saturer la mémoire du serveur.

Signature de l’attaque – Essais/erreurs Solutions : Piste des compteurs Essais - Erreurs Solutions retenues Piste des applets

Signature de l’attaque – Piste des compteurs Compter le nombre d ’erreurs « 404 » Serveur : nombre d ’erreurs 404 retournées par client pendant un laps de temps Client : nombre d ’erreurs 404 reçues par utilisateur Compter le nombre de requêtes par URL Compter le nombre de requêtes (ciblées) par un utilisateur

Réalisation de la solution Réalisation d’un préprocesseur qui compte le nombre d’erreurs 404 par utilisateur. S’adapte aussi bien à un serveur qu’à des clients preprocessor http_404: -src -to:60 -nb:10 -ti:60 Gestion par liste circulaire doublement liée Vérification sur base d’un seuil et d ’un intervalle de temps selon la formule : Count=Count*exp(K1*(Now-Time))+K2;

Amélioration du préprocesseur Le préprocesseur pourrait s’adapter au cas des requêtes valides -> compter le nombre de requêtes effectuées par client vers certaines pages particulières (.html, .php, .jsp, .jpg, …)

Signature de l’attaque – Piste des applets Insertion de valeurs particulières dans l ’en-tête HTTP ? Détection de l’applet sur une page html : détection de la balise <applet> et de son nom Détection de mots particuliers dans le fichier « .class » Détection du chargement d ’applet à partir de sites suspects

Réalisation de la solution Détection de la présence de l ’applet -> le nom de l’applet : alert tcp any 80 -> $HOME_NET any (msg:"Flooding Applet"; content:"<applet"; nocase; content:"zapsfloodnetpublic1.class"; nocase;) -> les paramètres de l’applet : (msg:"Flooding param"; content: " targetUrl "; nocase; content:"evade"; nocase;)

Réalisation de la solution (2) Détection du chargement d’applet à partir de sites suspects alert tcp $HOME_NET any -> 192.168.1.44/32 80 (msg:"flooding server"; uricontent:".class";nocase;)

QUESTIONS ?