Institut de la Francophonie pour l’Informatique Ecole Nationale Supérieure des Télécommunications RAPPORT DE STAGE DE FIN D’ETUDES Sujet - Etude et analyse des attaques et des signatures d'attaques - Etude bibliographique des parades au DoS et DDoS - Etude des HoneyPots - Intégration des HoneyPots dans une architecture globale de protection Etudiant : Responsables : DOAN DUY Thieu Hoa, IFI Ahmed SERHROUCHNI Paris, jenvier - juillet 2004 Sujet Etude et analyse des attaques et des signatures d'attaques Etude bibliographique des parades au DoS et DDoS Etude des HoneyPot Intégration des HoneyPot dans une architecture globale de protection Table de matière Introduction Remerciements Partie : Etude des attaques Déterminer des vulnérabilités Le craquage par mot de passe Le sniffing des mots de passe et des paquets L'IP spoofing Les scanners 10 Les chevaux de Troie 10 Les vers 11 Les trappes 11 Les bombes logiques 11 Le TCP-SYN flooding 12 Le Flood .13 Le Spamming 13 Les virus .13 L'ingénierie social 14 Partie : Etude bibliographique des parades au DoS et DDoS 15 DoS .15 Les attaques directes .15 Les attaques indirectes par rebond 16 Les attaques indirectes par réponse 16 Quelques parades de type DoS .17 Ping de la mort 17 TearDrop 18 DDoS 21 Mode opératoire .22 Les outils 22 TFN (Tribal Flood Network) 23 TFN2K .24 Trin00 24 Stacheldraht 26 Mesures de protection 26 Partie : Etude des HoneyPot 29 Définition 29 Avantages 29 Inconvénients 30 Les types d'honeypot 30 Honeyd: Low-interaction honeypot .31 Honeynet: High-interaction honeypot 32 Valeurs de Honeypot .33 Partie : Intégration des HoneyPot dans une architecture globale de protection 35 Installer Honeyd .35 Configuration Honeyd .37 Configurer un réseau virtuel simple 37 Configurer un réseau virtuel avec un routeur 38 Configurer un réseau virtuel relié aux machines réelles 39 Configurer un réseau virtuel complexe .40 Outils aide créer fichier de configuration honeyd 41 Lancer Honeyd et analyser les données capturées .42 Lancer 43 Analyser les données capturées 43 Annexes 51 Références 55 Introduction Ce document est un rapport du stage que j’ai effectué du 1er janvier 2004 au 30 juin 2004 dans le cadre de la scolarité 2003/2004 au Département Informatique et Réseau, ce stage est placé sous la direction de Monsieur le Professeur Ahmed Serhrouschni L’objectif du projet était de : - Etude et analyse des attaques et des signatures d’attaques Etude bibliographique des parades au DoS et DDoS Etude des HoneyPot Intégration des HoneyPot dans une architecture globale de protection Ce stage s’inscrit dans le cadre de mon stage de fin d’étude pour valider mon diplôme de DEA l’Institut de la Francophonie pour l’Informatique au Vietnam Ce document présentera parties principales correspondantes l’objectif du projet Remerciements Je tien tout d’abord remercier Monsieur le Professeur Ahmed Serhrouchni pour m’avoir accueilli dans son projet et avoir encadré mon stage Je remercie tout particulièrement Adil Andalousie pour tous ses conseils sur la signature électronique ainsi que le certificat électronique et le temps qu’il m’a consacré Merci également toutes les personnes dans mon bureau qui m’a donné un environnement de travail très agréable Partie : Etude des attaques Déterminer des vulnérabilités Cette opération consiste déterminer le système d'exploitation, les services ouverts ainsi que leur version afin de pouvoir déterminer les éventuelles failles et les exploiter Un des outils les populaire et les plus puissant est « nmap »' Il permet entre autres le half-scan (sans établir de connexion) nmap -sS IP_du_serveur ou encore, le fingerprinting (détection d'OS) nmap -sS -O IP_du_serveur Il y a des autres outils qui nous aident déterminer les vulnérabilités dans un système Par exemple, sous Windows, l’outils SuperScan est connu et souvent utilisé par l’attaquant Dans la dernière partie, je l’utilise pour collectionner les informations sur les machines virtuelles Après avoir obtenu les informations nécessaires sur les OS ou services ouvertes, l’attaquant va chercher les vulnérabilités et les méthodes d’attaque correspondantes Le craquage par mot de passe La manière la plus classique par laquelle un hacker va essayer d'obtenir un mot de passe est l'attaque avec un dictionnaire Dans ce genre d'attaque, le hacker utilise un dictionnaire de mots et de noms propres, et il les essaie un un pour vérifier si le mot de passe est valide Ces attaques se font avec des programmes qui peuvent deviner des milliers de mots de passe la seconde, même quand ceux-ci sont ``hachés'' Ce procédé est d'autant plus facile qu'il lui permet de tester des variations sur les mots : mots écrits l'envers, majuscules et minuscules, ajout de chiffres la fin du mot Le sniffing des mots de passe et des paquets Si un hacker ne peut pas deviner un mot de passe, il a d'autres outils pour l'obtenir Une façon qui est devenue assez populaire est le sniffing La plupart des réseaux utilisent la technologie de broadcast (comme Ethernet) En pratique, tous les ordinateurs sauf le destinataire du message vont s'apercevoir que le message ne leur est pas destiné et vont donc l'ignorer Mais par contre, beaucoup d'ordinateurs peuvent être programmés pour regarder chaque message qui traverse le réseau (mode promiscuité) Il existe des programmes qui utilisent ce procédé et qui capturent tous les messages qui circulent sur le réseau en repérant les mots de passe Si quelqu'un se connecte un ordinateur travers un réseau en utilisant les protocoles insécurités (telnet, rlogin, ftp ), alors cette personne risque de perdre son mot de passe C'est pourquoi il existe une menace sérieuse pour les personnes qui se connectent sur des ordinateurs distants, où les mots de passe apparaissent en clair dans la trame Les programmes de sniffing les plus connus sont Esniff et TCPDump Mais un sniffer peut tout aussi bien être bénéfique l'administrateur réseau, puisqu'il permettrait de déceler avant les Hackers les failles de sécurité de son réseau Ethereal v0.8.12 sous Linux permet de journaliser les événements définis par l'administrateur Il est en outre compatible avec les journaux de LOG des routeurs Cisco (Cisco Secure IDS iplog files) Ethereal est téléchargeable l'adresse suivante : http://www.ethereal.com/ Voici ci-dessous une liste d'autres sniffers disponibles dans le commerce Nom ATM Sniffer Network Analyzer Adresse Description http://www.networkassociates.com Décode plus de 250 protocoles Shomiti Systems Century LAN Analyzer http://www.shomiti.com Supporte le standard Ethernet et fonctionne sous Windows 95/98 et NT PacketView de Klos ftp.klos.com/demo/pvdemo.zip Ce sniffer est basé sur DOS, idéal pour Technologies les environnements Ethernet Network Probe 8000 http://www.netcommcorp.com Fait une analyse d'environ 13 protocoles dont TCP/IP, Microsoft, NFS, Novell LANWatch http://www.guesswork.com Marche sous DOS, Windows 9x et NT EtherPeek http://www.aggroup.com Pour Windows et plates-formes Macintosh Ethload http://www.computercraft.com/nopro Sniffer qui permet de surveiller les gs/ethld104.zip sessions rlogin et telnet Linux sniffer Sniffer de mots de passe uniquement, en langage C La meilleure défense contre l'attaque de sniffers est l'utilisation d'un protocole de chiffrement comme SSL (Secure Socket Layer) L'IP spoofing L'adresse IP d'un ordinateur est l'adresse qui est utilisée pour reconnaître un ordinateur sur internet Un des principaux problèmes est qu'en utilisant le routage source d'IP, l'ordinateur du hacker peut se faire passer pour un ordinateur connu Le routage source d'IP est une option qui peut être utilisée pour spécifier une route directe une destination et renvoyer le chemin de retour l'expéditeur La route peut inclure l'utilisation d'autres routeurs ou de serveurs qui n'auraient normalement pas été utilisés pour faire suivre les paquets la destination finale Voici un exemple qui montre comment ceci peut être utilisé de façon ce que l'ordinateur de l'intrus apparaisse comme étant l'ordinateur certifié par le serveur : • L'agresseur change l'adresse IP de son ordinateur pour faire croire qu'il est un client certifié par le serveur, • Il va ensuite construire une route source jusqu'au serveur qui spécifiera le chemin de retour direct que les paquets IP devront prendre pour aller au serveur et qu'ils devront prendre pour retourner l'ordinateur de l'agresseur en utilisant le client certifié comme dernière étape dans la route vers le serveur, • L’agresseur envoie une requête client au serveur en utilisant la route source, • Le serveur accepte la requête du client comme si elle provenait directement du client certifié et retourne une réponse au client, • Le client, utilisant la route source, faire suivre le paquet l'ordinateur de l'agresseur Beaucoup de machines Unix acceptent les paquets de route source et les redirigent comme la route source l'indique Beaucoup de routeurs acceptent également les paquets de route source bien que certains d'entre eux puissent être configurés pour bloquer ces paquets Le routeur, pour des raisons de sécurité, ne devra pas accepter le routage source Une autre manière encore plus simple pour spoofer un client est d'attendre que le système client ait éteint sa machine et de se faire passer ensuite pour ce dernier Les entreprises utilisent souvent des PC et le protocole TCP/IP et NFS pour se connecter des serveurs Unix et obtenir un accès aux répertoires et aux fichiers du serveur Comme NFS utilise uniquement les adresses IP pour authentifier les clients, un intrus pourrait configurer un PC avec le même nom et la même adresse IP qu'un autre ordinateur, et alors essayer de lancer des connexions au serveur Unix comme s'il était le vrai client Ceci est très simple réaliser et ressemblerait une attaque de l'intérieur Le routeur devra donc refuser les connexions d'une machine ayant la même adresse IP qu'une machine interne, mais se trouvant l'extérieur du réseau local Les e-mails sont particulièrement sujets au spoofing car ils sont faciles réaliser Les courriers électroniques sans l'ajout d'une signature électronique ne peuvent pas être d'origine fiable Il est facile par Telnet de se connecter directement au port SMTP du système (port 25) Le serveur recevant ces commandes fait confiance cette personne si elle s'identifie D'où le fait que le courrier électronique peut lui aussi être spoofé facilement en entrant une adresse d'expéditeur différente de l'adresse réelle On peut donc sans aucun privilège falsifier ou spoofer le courrier électronique D'autres services comme le DNS peuvent aussi être spoofés mais avec toutefois plus de difficultés que le courrier électronique Ces services représentent une crainte qui mérite d'être considérée quand on les utilise Le routeur pare-feu devra tenir régulièrement jour ses fichiers LOG afin de contrôler toute tentative de piratage De plus, ces fichiers LOG devront être sécurisés pour éviter toute modification malveillante Les scanners Un scanner est un programme qui permet de savoir quels ports sont ouverts sur une machine donnée Les Hackers utilisent les scanners pour savoir comment ils vont procéder pour attaquer une machine Leur utilisation n'est heureusement pas seulement malsaine, car les scanners peuvent aussi permettre de prévenir une attaque Le plus connu des scanners réseau est WS_Ping ProPack, que l'on peut trouver sur http://www.ipswitch.com/french/wsping.html Les fichiers LOG générés par les scanners ne doivent pas être modifiables par un pirate Les chevaux de Troie Un cheval de Troie est un programme qui se cache lui-même dans un autre programme apparemment au-dessus de tout soupçon Quand la victime (l'utilisateur normal) lance ce programme, elle lance par même le cheval de Troie caché Actuellement, les chevaux de Troie les plus utilisés sont : Back Orifice 2000, Backdoor, Netbus, Subseven, Socket de Troie La méthode la plus efficace pour se protéger de ces programmes néfastes est d'utiliser un bon antivirus comme Norton 2000 ou Network Associates Des programmes spécifiques permettent également de scruter toute tentative de connexion sur les ports scrutés Lockdown 2000 est le plus connu d'entre eux : une fois une tentative de connexion détectée, il fait un traceroute sur l'IP qui a tenté la connexion La version possède en bibliothèque 488 signatures de ``Troyans'' La machine Linux devra être équipée d'un antivirus permettant de repérer non seulement les 10 create Router set Router #Créer un routeur CISCO Personality « Cisco IOS 11.3 – #Choisir le type de routeur 12.0(11) » set Router default tcp action reset set Router default tcp action reset set Router UID 32767 GID 32767 add Router tcp port 23 « perl scripts/routertelnet.pl » bind 192.168.160.100 Router #L’adresse du routeur route entry #Réseau accéder par routeur route 192.168.160.100 link 192.168.161.0/16 bind 192.168.161.11 bind 192.168.161.12 192.168.160.100 network 192.168.160.0/16 Windows Windows #Comportement du routeur #Réseau accéder par routeur ère machine windows ère machine windows #Créer #Créer Outils aide créer fichier de configuration honeyd C’est un petit outil qui permet de créer facilement un fichier de configuration dans minutes grâce l’interface graphique Il est développé dans un environnement de KDevelop et QT sous Mandrake 9.2 pendant le stage Il distingue de trois catégories principales : Template, bind et route Ainsi que les commandes : add, set … Il fournie aussi des fonctions externes comme ouvrir les fichier de configuration, sauvegarder une configuration sous un fichier, arranger les lignes dans la configuration… C’est la version donc il y a encore des restrictions Mais dans la version suivante, je les corrigerai 41 L’image suivant illustre l’interface principale de cet outil Lancer Honeyd et analyser les données capturées Condition préalable: - La machine host est une machine Linux Redhat 9.0 avec l’adresse IP : 192.168.160.1 dans laquelle on installe arpd et honeyd Une autre machine, appelant machine de teste fonctionne sous Windows 98 sous forme d’une machine virtuelle Vmware avec l’adresse IP 192.168.160.2 Dans laquelle, on installe le logiciel Superscan pour analyser le réseau virtuel et faire un scan sur les portes de la machine virtuelle créée par honeyd 42 Attention: - Arpd va détruire le système DHCP dans le même réseau C’est pourquoi je choix le réseau 192.168.x.x pour simuler le réseau virtuel La machine hôte ne peut pas ping vers les machines virtuelles cause de la technique de la commande Ping Pour la commande Ping, elle envoie des requêtes ICMP sur le réseau Toutes les machines sur le même réseau recevraient ces requêtes sauf elle Donc, aprd sur le hôte ne reçoit aucune requête ICMP C’est la raison pour laquelle les machines virtuelles ne répondent pas le hôte Lancer # arpd 192.168.160.2-192.168.160.6 192.168.160.100 192.168.161.11192.168.161.12 # /honeyd –f honeyd.conf.compl –a nmap.assoc –p nmap.prints –x xprobe2 –0 p0.os –l /var/log/honeyd.log 192.168.160.2-192.168.160.6 192.168.160.100 192.168.161.11-192.168.161.12 Analyser les données capturées D’abord il faut faire une petite attaque vers notre réseau virtuel pour obtenir des données Le scénario est: - Lancer la commande Ping - Utiliser le navigateur de Web - Lancer la commande Ftp - Lancer la commande Telnet - Lancer le logiciel SuperScan Les adresses IP utilisées dans le scénario sont dans la table suivante Machine Description Services 192.168.160.1 Machine host – réelle 192.168.160.2 Machine teste – réelle (machine VMWare) 192.168.160.3 Machine virtuelle – Windows Web 192.168.160.4 Machine virtuelle – Windows Web 192.168.160.5 Machine virtuelle – Linux Suse 7.0 Syslogd, web, ftp 192.168.160.6 Machine virtuelle – Linux Suse 7.0 Syslogd, web, ftp 43 Machine Description 192.168.160.100 Routeur Services Telnet Maintenant, on va voir les données capturées et les analyser Premièrement, les empreintes de la commande Ping Quand on lance la commande Ping de 192.168.160.2 (machine ou on teste) vers la machine 192.168.160.3, arpd sur la machine host (192.168.160.1) recevra une question « Qui a l'adresse IP 192.168.160.3 » Il va répondre: Machine 192.168.160.3 se situe sur l'adresse 00:50:56:c0:00:01 arpd[6304]: arpd_send: who-has 192.168.160.3 tell 192.168.160.1 arpd[6304]: arpd_send: who-has 192.168.160.3 tell 192.168.160.1 arpd[6304]: arp reply 192.168.160.3 is-at 00:50:56:c0:00:01 Dès maintenant, arpd rédige la gestion du IP 192.168.160.3 honeyd Quand honeyd, il va répondre la commande Ping honeyd[9200]: Sending ICMP Echo Reply: 192.168.160.3 -> 192.168.160.2 honeyd[9200]: Sending ICMP Echo Reply: 192.168.160.3 -> 192.168.160.2 honeyd[9200]: Sending ICMP Echo Reply: 192.168.160.3 -> 192.168.160.2 Les messages ci-dessus sont les messages dans le mode debug, mais les messages importants se trouvent dans le fichier honeyd.log sont: 2004-05-20-21:33:47.0992 honeyd log started -2004-05-20-21:34:17.0037 icmp(1) - 192.168.160.2 192.168.160.3: 8(0): 60 2004-05-20-21:34:18.0081 icmp(1) - 192.168.160.2 192.168.160.3: 8(0): 60 2004-05-20-21:34:19.0118 icmp(1) - 192.168.160.2 192.168.160.3: 8(0): 60 On peut trouver la date (et l'heurs), protocole (icmp), IP source et IP destination L'image suivante va nous montrer en détail: 44 Deuxièmement, on va tester si le port 80 est fonctionne ou non pour les machines simulées Honeyd a déjà noté toutes les connexions vers la machine 192.168.160.5 (On peut la considérer comme le serveur de Web car sur cette machine honeyd simule un service de Web) 2004-05-20-21:34:56.0695 [Windows XP SP1] 2004-05-20-21:34:56.0773 [Windows XP SP1] 2004-05-20-21:35:01.0739 [Windows XP SP1] 2004-05-20-21:35:03.0078 [Windows XP SP1] 2004-05-20-21:35:11.0735 657 2004-05-20-21:35:12.0503 658 2004-05-20-21:35:17.0414 661 2004-05-20-21:35:18.0344 tcp(6) S 192.168.160.2 2556 192.168.160.5 80 tcp(6) S 192.168.160.2 2557 192.168.160.5 80 tcp(6) S 192.168.160.2 2558 192.168.160.5 80 tcp(6) S 192.168.160.2 2559 192.168.160.5 80 tcp(6) E 192.168.160.2 2557 192.168.160.5 80: 247 tcp(6) E 192.168.160.2 2556 192.168.160.5 80: 248 tcp(6) E 192.168.160.2 2558 192.168.160.5 80: 251 tcp(6) E 192.168.160.2 2559 192.168.160.5 80: 249 45 659 Quatre premières lignes nous montrent qu'il y a quatre requêtes de 192.168.160.2 au 192.168.160.5 sur le port 80 avec l’état « Start » Après une période de temps, la machine 192.168.160.2 ferme les connexions, on reçoit donc quatre messages dans le fichier log (indiquer par l’état « End ») Les images suivantes illustrent deux fenêtres du navigateur de Web dont les résultats simulés 46 Troisièmement: Maintenant on va essayer avec la commande « ftp » 2004-05-20-21:36:00.0834 tcp(6) S 192.168.160.2 2560 192.168.160.6 21 [Windows XP SP1] La machine cible a l'adresse 192.168.160.6 Le message ci-dessus est extrait dans le fichier honeyd.log et l'image suivante montre ce que l'on a fait avec la commande « ftp » 47 Quatrièmement: Maintenant c'est la commande « telnet » Le message suivant est extrait dans le fichier honeyd.log qui montre l'empreinte de la commande « telnet » 2004-05-20-22:12:36.0278 tcp(6) S 192.168.160.2 3031 192.168.160.100 23 [Windows XP SP1] La machine cible a l'adresse 192.168.160.100 C'est le routeur virtuel ou on simule le service « telnet » Les messages suivants sont les messages en mode « debug » du honeyd honeyd[9816]: Connection request: tcp (192.168.160.2:3029 192.168.160.100:23) honeyd[9816]: Connection established: tcp (192.168.160.2:3029 192.168.160.100:23) /usr/bin/perl scripts/routers/cisco/router-telnet.pl - 48 La machine 192.168.160.2 envoie une requête au routeur (192.168.160.100) sur le port 23 pour demander d'établir une connexion Après avoir établie une connexion, l'attaquant va être tomber sur le service simulé: router-telnet.pl L'image suivante montre ce que l'on a fait avec la commande « telnet » En fin: On va lancer un scan sur la machine 192.168.160.5 pour trouver toutes les informations nécessaires: Les services, les ports ouverts, quel système d'exploitation utilisé 49 Grâce au superscan, on peut trouver le système d'exploitation sur la machine 192.168.160.5 Plus détaillé, la version du noyau sur cette machine est 2.4.7 (0) On voit également les services FTP, SSH, Telnet, SMTP, IMCP HTTP Les attaquants qui n'ont pas d'expérience se sont trompés facilement que la machine 192.168.160.5 est une machine réelle 50 Annexes Les fragments techniques (Utilise tous les textes fournis sur l’internet) Tiny fragments D'après la RFC (Request For Comment) 791 (IP), tous les noeuds Internet (routeurs) doivent pouvoir transmettre des paquets d'une taille de 68 octets sans les fragmenter d'avantage En effet, la taille minimale de l'en-tête d'un paquet IP est de 20 octets sans options Lorsqu'elles sont présentes, la taille maximale de l'en-tête est de 60 octets Le champ IHL (Internet Header Length) contient la longueur de l'en-tête en mots de 32 bits Ce champ occupant bits, le nombre de valeurs possibles vaut de 2^4 - = 15 (il ne peut pas prendre la valeur 0000) La taille maximale de l'en-tête est donc bien 15*4 = 60 octets Enfin, le champ Fragment Offset qui indique le décalage du premier octet du fragment par rapport au datagramme complet est mesuré en blocs de octets Un fragment de données occupe donc au moins octets Nous arrivons bien un total de 68 octets L'attaque consiste fragmenter sur deux paquets IP une demande de connexion TCP Le premier paquet IP de 68 octets ne contient comme données que les premiers octets de l'en-tête TCP (ports source et destination ainsi que le numéro de séquence) Les données du second paquet IP renferment alors la demande de connexion TCP (flag SYN et flag ACK 0) Or, les filtres IP appliquent la même règle de filtrage tous les fragments d'un paquet Le filtrage du premier fragment (Fragment Offset égal 0) déterminant cette règle elle s'applique donc aux autres (Fragment Offset égal 1) sans aucune autre forme de vérification Ainsi, lors de la défragmentation au niveau IP de la machine cible, le paquet de demande de connexion est reconstitué et passé la couche TCP La connexion s'établit alors malgré le filtre IP Les figures et montrent les deux fragments et la figure le paquet défragmenté au niveau de la machine cible : 51 Fig.1: Fragment Fig.2: Fragment Fig.3: Paquet défragmenté 52 Fragment overlapping Toujours d'après la RFC 791 (IP), si deux fragments IP se superposent, le deuxième écrase le premier L'attaque consiste forger deux fragments d'un paquet IP Le filtre IP accepte le premier de 68 octets (voir Tiny Fragments) car il ne contient aucune demande de connexion TCP (flag SYN = et flag ACK = 0) Cette règle d'acceptation s'applique, encore, aux autres fragments du paquet Le deuxième (avec un Fragment Offset égale 1) contenant les véritables données de connexion est alors accepté par le filtre IP Ainsi, lors de la défragmentation les données du deuxième fragment écrasent celles du premier partir de la fin du 8ème octet (car le fragment offset est égal 1) Le paquet rassemblé constitue donc une demande de connexion valide pour la machine cible La connexion s'établit malgré le filtre IP Les figures et montrent les deux fragments et la figure le paquet défragmenté au niveau de la machine cible : Fig.4: Fragment 53 Fig.5: Fragment Fig.6: Paquet défragmenté 54 Références http://www.xphys.tuwien.ac.at/ mike/security/network-security.html http://staff.washington.edu/dittrich/misc/stacheldraht.analysis http://staff.washington.edu/dittrich/misc/trinoo.analysis http://staff.washington.edu/dittrich/misc/tfn.analysis http://staff.washington.edu/dittrich/misc/trinoo.analysis http://staff.washington.edu/dittrich/misc/tfn.analysis http://staff.washington.edu/dittrich/misc/stacheldraht.analysis http://www.cert.org/advisories/CA-2000-01.html http://www.cert.org/advisories/CA-99-17-denial-of-service-tools.html http://www.cert.org/advisories/CA-98-13-tcp-denial-of-service.html http://www.cert.org/incident_notes/IN-99-07.html http://www.sans.org/y2k/solaris.htm http://www.tracking-hackers.com/papers/honeypots.html http://www.honeypots.net/ http://www.rit.edu/~arl7969/whitepapers/alamb-4-2004.html http://www.rit.edu/~arl7969/whitepapers/manuzis-2-22-2003.html http://www.rit.edu/~arl7969/whitepapers/manuzis-7-5-2002-1.html http://www.rit.edu/~arl7969/whitepapers/mcooper-4-2002.html http://www.rit.edu/~arl7969/whitepapers/sholcroft-4.1-2002.html http://www.rit.edu/~arl7969/whitepapers/sholcroft-4-2002.html http://www.rit.edu/~arl7969/whitepapers/alamb-3-2002.html http://www.rit.edu/~arl7969/whitepapers/alamb-12-2001.html http://project.honeynet.org/papers/virtual/ http://project.honeynet.org/papers/index.html http://project.honeynet.org/ http://www.honeynet.org/papers/ http://www.linuxsecurity.com/feature_stories/feature_story-100.html http://www.packetfu.org/hnd.html http://www.epmhs.gr/honeynet/ 55 [...]... les attaques de type smurf, les attaques 22 dites furtives, les attaques de déni de service dites agressives (dont le but est bel et bien de faire crasher complètement la cible), ou encore des attaques de type "stream attack" (TCP ACK sur des ports au hasard) Certains outils se sont même inspirés des chevaux de Troie qui installent de petits serveurs IRC permettant au hacker de les commander via cette... clairement identifiés, doivent être transmises à un acteur responsable pour leur traitement - Clause de confidentialité dans les contrats 14 Partie 2 : Etude bibliographique des parades au DoS et DDoS DoS Les techniques d'attaque : Les attaquants utilisent plusieurs techniques d 'attaques Ces attaques peuvent être regroupées en trois familles différentes : - Les attaques directes - Les attaques indirectes... and Pushback Très brièvement, cette technique a pour but d'identifier les attaques de DoS et surtout de DDoS grâce à des heuristiques, de les contrer en remontant à leur source, enfin de maintenir et de protéger le bon trafic qui souffre également la plupart du temps des congestions engendrées par de telles attaques Cette méthode utilise un contrôle de congestion basé sur des agrégats, un agrégat étant... ordinateur Au lieu de cela, honeynet est une architecture, un entité du réseau des ordinateurs construits pour être attaqué L'idée est de proposer une architecture qui crée un réseau contrôlé à au niveau où tous les activités sont contrôlées et capturées Dans le réseau on met des ordinateurs intentionnels, ce sont les ordinateurs réels 32 qui lancent des applications réels L'attaquant trouve, attaque, et entre... Il a des risques d'être dans le système d'honeypot et il décide donc de ne pas attaquer votre organisation L'honeypot dissuade l'attaquant Un exemple est Deception Toolkit, un low-interaction honetpot 34 Partie 4 : Intégration des HoneyPot dans une architecture globale de protection Comme dans la troisième partie, on a distingué entre deux types de honeypot: l'un est low-interaction honeypot et l'autre... l'origine de cette attaque (c'est une attaque distribuée) qui vise à anéantir des serveurs, des sous réseaux, etc D'autre part, elle reste très difficile à contrer ou à éviter C'est pour cela que cette attaque représente une menace que beaucoup craignent 21 Mode opératoire Les DDoS se sont démocratisées depuis quelques ans En effet dans les premiers temps, cette attaque restait assez compliquée et nécessitait... envoyer une requête Et c'est cette réponse à la requête qui va être envoyée à l'ordinateur victime 16 Là aussi, il n'est pas aisé de remonter à la source Quelques parades de type DoS Ping de la mort Un ping a normalement une longueur maximale de 65535 ((216) - 1) octets, incluant une entête de 20 octets Un ping of death c'est un ping qui a une longueur de données supérieure à la taille maximale Lors de. .. dissimulant l'origine des communications et utilisant une variété des attaques de TFN et se basant sur une architecture à trois couches de Trin00 Il utilise de meilleurs techniques que « ses parents » Architecture de Stacheldraht Client Handler Agent Client Handler Agent Handler Agent Agent Victime Mesures de protection Il n'est pas évident de se prémunir contre ces attaques par déni de service, car la... produits une solution antivirus complète, qui permet de filtrer les attaques logicielles comme les chevaux de Troie, les vers, les trappes et les bombes logiques Les éléments actifs du réseau sont désormais de véritables remparts contre une pléthore d 'attaques, qu'elles soient au niveau réseau ou au niveau applicatif Cela rend la tâche des administrateurs réseau plus simple, car toutes les fonctions de sécurité... a énormément des avantages et des inconvénients Avantages Honeypots est une conception très simple qui leur donne des puissantes - Petite ensemble de données mais haut valeur: Honeypot collecte un petit nombre de l'informations Au lieu de logging un Go par jour, il peut log environ un Mo de donnée par jour Au lieu de générer 10 milles alertes par jour, il ne peut générer que 10 Mais il faut souligner