Modulo 6
Modulo 6
Modulo 6
Objectifs du module
Les pirates informatiques utilisent diverses stratégies d'attaque pour compromettre la sécurité
d'un réseau, ce qui peut entraîner des perturbations, des dommages et des pertes pour les
organisations et les individus. Il est donc important que les professionnels de la sécurité
comprennent ces stratégies d'attaque, car cette compréhension est essentielle pour protéger
un réseau.
Ce module débute par une vue d'ensemble des concepts d'écoute réseau (sniffing), des
techniques d'écoute réseau et des contre-mesures associées. Il donne également un aperçu des
différents types d'attaques DoS et DoS distribuées (DDoS) et des contre-mesures. Le module
aborde ensuite les différents types d'attaques par détournement de session et se termine par
une brève présentation des contre-mesures pour faire face à ce type d'attaque.
À la fin de ce module, les étudiants seront en mesure de :
▪ Comprendre l'analyse de paquets et les différents types d'analyse.
▪ Expliquer les différents types de techniques d'écoute réseau.
▪ Utiliser différents outils d'écoute réseau.
▪ Appliquer diverses contre-mesures contre l'écoute réseau.
▪ Expliquer les différents types d'attaques DoS et DDoS.
▪ Utiliser différents outils d'attaque DoS/DdoS.
▪ Mettre en pratique les connaissances sur les contre-mesures relatives aux attaques
DoS/DdoS.
▪ Mettre en œuvre différents outils de protection DoS/DdoS.
▪ Expliquer le processus de détournement de session et les types de détournement de
session.
▪ Utiliser différents outils de détournement de session.
▪ Mettre en pratique les connaissances sur les contre-mesures relatives aux
détournements de session.
Sniffing
Écoute réseau
L'écoute réseau est un moyen utilisé par les administrateurs réseau pour effectuer une analyse
du réseau, pour résoudre les problèmes de réseau et pour surveiller les sessions réseau. Les
attaquants utilisent les techniques d'écoute réseau pour enquêter discrètement et capturer des
informations critiques transmises sur un réseau. Il est important que les professionnels de la
sécurité comprennent les concepts et les techniques d'écoute réseau pour mettre en place des
mesures défensives efficaces contre ces attaques.
Module Flow
Understand Packet
Sniffing Concepts 1
Discuss Sniffing
2 Techniques
Discuss Sniffing
Countermeasures
3
Switch
Attacker
Analyse de paquets
L'analyse de paquets consiste à surveiller et à capturer tous les paquets de données passant par
un réseau donné à l'aide d'une application logicielle ou d'un équipement matériel. L'écoute
réseau est simple dans les réseaux basés sur des concentrateurs (hubs), car le trafic sur un
segment passe par tous les hôtes associés à ce segment. Cependant, la plupart des réseaux
actuels fonctionnent avec des commutateurs (switchs). Un commutateur est un équipement
informatique réseau avancé. La principale différence entre un concentrateur et un
commutateur est qu'un concentrateur transmet les données à chacun de ses ports, alors qu'un
commutateur examine l'adresse MAC (Media Access Control) associée à chaque trame qui le
traverse et envoie les données uniquement au port correspondant. Une adresse MAC est une
adresse matérielle qui identifie de manière unique chaque nœud d'un réseau.
Un attaquant doit donc intervenir sur le fonctionnement du commutateur pour voir tout le
trafic qui y passe. Un programme d'analyse de paquets (également appelé sniffer) peut
capturer des paquets de données uniquement à l'intérieur d'un sous-réseau donné, ce qui
signifie qu'il ne peut pas analyser les paquets d'un autre réseau. Généralement, n'importe quel
ordinateur portable peut se brancher sur un réseau et y accéder. Les ports des commutateurs
de nombreuses entreprises sont ouverts, un analyseur de paquets placé sur un réseau en mode
promiscuous peut donc capturer et analyser tout le trafic réseau. Les programmes d'analyse
réseau désactivent le filtre employé par les cartes d'interface réseau Ethernet (NIC) pour
empêcher la machine hôte de voir le trafic des autres postes. Ainsi, les programmes d'écoute
réseau peuvent surveiller tout le trafic.
Bien que la plupart des réseaux utilisent aujourd'hui la technologie des commutateurs, l'analyse
de paquets reste utile. En effet, il est relativement facile d'installer des programmes d'analyse
réseau à distance sur des équipements réseau avec un trafic important, tels que les serveurs et
les routeurs. Cette technique permet à un attaquant de surveiller et d'accéder à l'ensemble du
trafic réseau à partir d'un seul point. Les analyseurs de paquets peuvent capturer des flux de
données contenant des informations sensibles telles que des mots de passe, des informations
sur les comptes, le trafic syslog, la configuration des routeurs, le trafic DNS, le trafic de courrier
électronique, le trafic Web, les sessions de chat et les mots de passe FTP. Cela permet à un
attaquant de lire les mots de passe en clair, les courriers électroniques, les numéros de carte de
crédit, les transactions financières, etc. Un attaquant peut également analyser le trafic SMTP,
POP, IMAP, HTTP, l'authentification telnet, les bases de données SQL, SMB, NFS et le trafic FTP.
Un attaquant peut obtenir une quantité substantielle d'informations en analysant les paquets
de données capturés ; il peut ensuite utiliser ces informations pour s'introduire dans le réseau.
Un attaquant réalise des attaques plus efficaces en combinant ces techniques avec une
transmission active.
Le schéma suivant représente un attaquant qui analyse les paquets de données entre deux
utilisateurs du réseau :
Attacker forces
switch to behave
as a hub
Switch Internet
Attacker Hub
LAN
Note: Passive sniffing provides significant stealth advantages over active sniffing
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Active Sniffing
Les attaquants utilisent les méthodes d'écoute passive suivantes pour prendre le contrôle d'un
réseau cible :
▪ Compromettre la sécurité physique : Un attaquant qui réussit à compromettre la
sécurité physique d'une organisation peut entrer dans l'organisation avec un ordinateur
portable et essayer de se connecter au réseau et de capturer des informations sensibles
sur l'organisation.
▪ Utiliser un cheval de Troie : La plupart des chevaux de Troie ont une capacité d'écoute
réseau intégrée. Un attaquant peut les installer sur la machine d'une victime pour la
compromettre. Après avoir compromis l'ordinateur de la victime, l'attaquant peut
installer un analyseur de paquets et lancer des opérations d'écoute réseau.
La plupart des réseaux modernes utilisent des commutateurs au lieu de concentrateurs. Un
commutateur élimine le risque d'écoute réseau passive. Cependant, un commutateur reste
vulnérable à l'écoute réseau active.
Remarque : L'écoute réseau passive présente des avantages considérables en termes de
discrétion par rapport à l'écoute réseau active.
Ecoute réseau active
L'écoute réseau active est une technique qui consiste à rechercher du trafic sur un réseau local
commuté en y injectant du trafic. L'écoute réseau active fait également référence à l'écoute à
travers un commutateur. Dans le cas d'une écoute réseau active, le commutateur Ethernet ne
transmet pas d'informations à tous les systèmes connectés au réseau local, comme c'est le cas
dans un réseau basé sur un concentrateur. Pour cette raison, un analyseur réseau passif est
incapable d'écouter des données sur un réseau commuté. Il est facile de détecter les logiciels
d'analyse réseau active et très difficile d'effectuer ce type d'écoute.
Les commutateurs examinent les paquets de données pour déterminer les adresses source et
destination, puis les transmettent sur les ports physiques correspondants. Il est donc difficile
d'exploiter les commutateurs. Cependant, les attaquants peuvent injecter du trafic ARP dans un
réseau local pour contourner les mécanismes de commutation et capturer le trafic. Les
commutateurs maintiennent leur propre cache ARP dans une mémoire CAM (Content
Addressable Memory). La CAM est un type spécial de mémoire qui conserve un enregistrement
indiquant quel hôte est connecté à quel port. Un analyseur réseau enregistre toutes les
informations visibles sur le réseau pour les examiner ultérieurement. Un attaquant peut voir
toutes les informations contenues dans les paquets, y compris les données qui devraient rester
cachées.
Pour résumer les types d'écoute réseau : l'écoute réseau passive n'envoie pas de paquets ; elle
ne fait que surveiller les paquets envoyés par d'autres. L'écoute réseau active consiste à
envoyer plusieurs sondes réseau pour identifier les points d'accès.
Voici une liste des différentes techniques d'écoute réseau active :
▪ Inondation MAC
▪ Empoisonnement DNS
▪ Empoisonnement ARP
▪ Attaques DHCP
▪ Vol de port du commutateur
▪ Attaque par usurpation
How an Attacker Hacks the Network Using Sniffers
An attacker connects his desktop/laptop to a switch port He/she runs discovery tools to learn about network topology
01 04
He/she identifies a victim’s machine to target his/her attacks He/she poisons the victim’s machine by using ARP spoofing
techniques
02 05
MiTM
The traffic destined for the victim’s machine is redirected to The hacker extracts passwords and sensitive data from
the attacker the redirected traffic
03 06
▪ Étape 4 : L'attaquant ayant identifié une machine cible, il utilise des techniques
d'usurpation ARP pour envoyer de faux messages ARP (Address Resolution Protocol).
▪ Étape 6 : L'attaquant peut maintenant voir tous les paquets de données envoyés et
reçus par la victime. Il peut donc extraire des informations sensibles de ces paquets,
comme les mots de passe, les noms d'utilisateur, les numéros de carte de crédit et les
codes PIN.
❑ Keystrokes including usernames ❑ Data is sent in clear text ❑ Passwords and data are
and passwords are sent in clear sent in clear text
text
❑ Passwords and data are ❑ Passwords and data are sent ❑ Passwords and data are
sent in clear text in clear text sent in clear text
Understand Packet
Sniffing Concepts 1
Discuss Sniffing
2 Techniques
Discuss Sniffing
Countermeasures
3
MAC User 1
Address Flood
Attacker Switch
User 2
https://www.monkey.org
Inondation MAC
L'inondation MAC est une technique utilisée pour compromettre la sécurité des commutateurs
réseau qui relient des segments de réseau ou des équipements. Les attaquants utilisent la
technique de l'inondation MAC pour forcer un commutateur à agir comme un concentrateur
afin de pouvoir facilement écouter le trafic.
Dans un réseau commuté, le switch Ethernet a une table CAM qui stocke toutes les adresses
MAC des équipements connectés au réseau. Un commutateur agit comme un équipement
intermédiaire entre un ou plusieurs ordinateurs d'un réseau. Il identifie l'adresse MAC de
destination des trames Ethernet, puis compare cette adresse avec les adresses MAC de sa table
CAM et transmet le trafic à la machine destinataire. Contrairement à un concentrateur qui
diffuse les données sur tout le réseau, un commutateur envoie les données uniquement au
destinataire concerné. Ainsi, un réseau commuté est plus sûr qu'un réseau avec concentrateur.
Mais la taille de la table d'adresses MAC est fixe et comme elle ne peut stocker qu'un nombre
limité d'adresses MAC, un attaquant peut envoyer de nombreuses fausses adresses MAC au
commutateur pour la saturer. Aucun problème ne survient tant que la table d'adresses MAC
n'est pas pleine, mais une fois que la table d'adresses MAC est pleine, toute nouvelle demande
peut forcer le commutateur à passer en mode fail-open. Dans ce mode, le commutateur se
comporte comme un hub et diffuse le trafic entrant sur tous les ports du réseau. L'attaquant
modifie ensuite la carte réseau de sa machine en mode promiscuous pour permettre à sa
machine d'accepter tout le trafic qui lui parvient. C'est ainsi que les attaquants peuvent écouter
facilement le trafic et voler des informations sensibles.
Figure 6.10 : Inondation MAC
My MAC address is
2a:7b:12:2f:2c:4a
DHCP starvation attack is a process of unable to get the addresses to allocate
valid IP address to valid users
inundating DHCP servers with fake DHCP
2
requests and using all the available IP DHCP Scope
addresses 10.10.10.1
10.10.10.2
This results in a denial-of-service attack, Attacker sends many 10.10.10.3
different DHCP requests
3 where the DHCP server cannot issue new IP with many source MACs
addresses to genuine host requests Attacker 10.10.10.254
Switch
ARP spoofing/poisoning User A
(10.1.1.0)
involves sending a large Sends his malicious Malicious user eavesdrops on
the ARP request and
number of forged entries MAC address
responses and spoofs as the
User D
to the target machine’s ARP legitimate user
I am 10.1.1.1 and
cache my MAC address is
11-22-33-44-55-66
dsniff
https://www.monkey.org
Arpoison
https://sourceforge.net
https://linux.die.net
Attacker
Internet
Usurpation/duplication MAC
La duplication MAC consiste à usurper une adresse MAC avec l'adresse MAC d'un utilisateur
légitime sur le réseau. Une attaque par duplication MAC consiste à écouter un réseau à la
recherche d'adresses MAC de clients connectés au réseau. Dans cette attaque, le pirate
informatique récupère d'abord les adresses MAC des clients qui sont associées au port du
commutateur. L'attaquant remplace ensuite son adresse MAC par celle d'un client légitime. Si
l'usurpation réussit, l'attaquant peut recevoir tout le trafic destiné au client. Ainsi, un attaquant
peut accéder au réseau et prendre l'identité d'une personne sur le réseau.
Le diagramme ci-dessous montre comment un attaquant réalise une attaque par
usurpation/duplication MAC.
Empoisonnement du DNS
DNS est le protocole qui traduit un nom de domaine (par exemple, www.eccouncil.org) en une
adresse IP (par exemple, 208.66.172.56). Ce protocole utilise des tables DNS qui contiennent le
nom de domaine et l'adresse IP correspondante et qui sont stockés dans une grande base de
données distribuée. Dans le cas de l'empoisonnement du DNS, également connu sous le nom
d'usurpation du DNS, l'attaquant fait croire à un serveur DNS qu'il a reçu des informations
authentiques alors qu'en réalité il n'en a reçu aucune. L'attaquant tente de rediriger la victime
vers un serveur malveillant au lieu du serveur légitime en manipulant les entrées de la table
DNS. Le résultat est la substitution d'une adresse IP légitime par une fausse IP au niveau du DNS
dans lequel les adresses web sont converties en adresses IP.
Lorsque la victime tente d'accéder à un site Web, l'attaquant manipule les entrées de la table
DNS afin que le système de la victime redirige l'URL vers le serveur de l'attaquant. L'attaquant
remplace les entrées d'adresse IP pour un site cible sur un serveur DNS donné par l'adresse IP
du serveur qu'il contrôle (serveur malveillant). L'attaquant peut créer de fausses entrées DNS
pour le serveur (contenant le contenu malveillant) avec les mêmes noms que ceux du serveur
cible. Ainsi, la victime se connecte au serveur de l'attaquant sans s'en rendre compte. Si, par
exemple, une victime tape ww.google.com, la requête est redirigée vers le faux site web
www.goggle.com. Une fois la victime connectée au serveur de l'attaquant, ce dernier peut
compromettre le système de la victime et voler des données.
Figure 6.16 : Illustration d'une requête DNS normale
Observer Analyzer
https://www.viavisolutions.com
Understand Packet
Sniffing Concepts 1
Discuss Sniffing
2 Techniques
Discuss Sniffing
Countermeasures
3
Permanently add the MAC address of the gateway to the ARP cache
Use static IP addresses and ARP tables to prevent attackers from adding spoofed
ARP entries for machines in the network
Turn off network identification broadcasts, and if possible, restrict the network to
authorized users to protect the network from being discovered with sniffing tools
❑ Sends a ping request to the suspect machine with its IP address and an incorrect MAC address. The Ethernet
adapter rejects it, as the MAC address does not match, whereas the suspect machine running the sniffer
responds to it as it does not reject packets with a different MAC address
Most of the sniffers perform reverse DNS lookups to identify the machine from the IP address
Ping (192.168.0.1)
IP ID: 192.168.168.1
MAC: 00-14-20-01-23-45
Reverse
Ping (192.168.0.2) DNS Lookup
Ping (192.168.0.3)
IP ID: 192.168.168.3
MAC: 00-14-20-01-23-47
A machine generating reverse DNS lookup traffic is very likely to be running a sniffer
ARP Request
IP ID: 192.168.168.1
MAC: 00-14-20-01-23-45
▪ Méthode DNS
La recherche DNS inversée est l'inverse de la méthode de recherche DNS. Les analyseurs
réseau qui utilisent la méthode de recherche DNS inversée augmentent le trafic réseau.
Cette augmentation du trafic réseau peut être une indication de la présence d'un
analyseur sur le réseau. Les ordinateurs de ce réseau sont en mode promiscuous.
Les utilisateurs peuvent effectuer une recherche DNS inversée à distance ou localement.
Surveillez le serveur DNS de l'organisation pour identifier les recherches DNS inversées
entrantes. La méthode consistant à envoyer des requêtes ICMP à une adresse IP
inexistante permet également de surveiller les recherches DNS inversées. Un ordinateur
effectuant une recherche DNS inverse répondrait au ping, ce qui l'identifierait comme
étant l'hôte d'un analyseur réseau.
Pour les recherches DNS inversées locales, configurez le détecteur en mode
promiscuous. Envoyez une requête ICMP à une adresse IP inexistante et visualisez la
réponse. Si le système reçoit une réponse, l'utilisateur peut identifier la machine qui
répond comme effectuant des recherches DNS inversées sur la machine locale. Une
machine qui génère du trafic de recherche DNS inversée est très probablement un
analyseur réseau.
▪ Méthode ARP
Cette technique consiste à envoyer une requête ARP à tous les nœuds du réseau. Le
nœud qui fonctionne en mode promiscuous sur le réseau va mettre en cache l'adresse
ARP locale. Elle consiste ensuite à diffuser un message ping sur le réseau avec l'adresse
IP locale mais une adresse MAC différente. Dans ce cas, seul le nœud qui possède
l'adresse MAC (mise en cache plus tôt) sera en mesure de répondre à votre demande de
diffusion ping. Une machine en mode promiscuous répond au message ping, car elle
possède dans son cache les informations correctes sur l'hôte qui envoie les demandes
ping ; les autres machines enverront une requête ARP pour identifier la source de la
demande ping. Ceci permettra de détecter le nœud sur lequel l'analyseur réseau est
actif.
Déni de service
Les attaques par déni de service (DoS) et par déni de service distribué (DDoS) constituent une
menace majeure pour les réseaux informatiques. Ces attaques tentent de rendre une machine
ou une ressource réseau indisponible pour les utilisateurs. En général, les attaques DoS/DDoS
exploitent des vulnérabilités dans l'implémentation du modèle de protocole TCP/IP
(Transmission Control Protocol/Internet Protocol) ou des défauts dans un système
d'exploitation (OS) spécifique.
Module Flow
Our feature
Discuss Types of DoS
and DDoS Attacks
Malicious Traffic
Router
Internet
Attack Traffic
Regular Traffic
Regular Traffic Server Cluster
Les attaques DoS prennent différentes formes et ciblent différents services. Les attaques
peuvent provoquer les effets suivants :
▪ Consommation de ressources
▪ Consommation de bande passante, d'espace disque, de ressources CPU ou de structures
de données
▪ Destruction physique ou altération de composants du réseau
▪ Destruction de programmes et de fichiers dans un système informatique
En général, les attaques DoS visent la bande passante ou la connectivité du réseau. Les attaques
visant la bande passante surchargent le réseau avec un volume élevé de trafic qui consomme
les ressources du réseau, privant ainsi les utilisateurs légitimes de ces ressources. Les attaques
de connectivité submergent un système avec un grand nombre de demandes de connexion, ce
qui consomme toutes les ressources disponibles du système d'exploitation et l'empêche de
traiter les demandes des utilisateurs légitimes.
Prenons l'exemple d'une entreprise de restauration qui réalise une grande partie de son activité
par téléphone. Si un attaquant veut perturber cette activité, il doit trouver un moyen de
bloquer les lignes téléphoniques de l'entreprise, ce qui rendrait impossible la poursuite de ses
activités. Une attaque DoS fonctionne de la même manière : l'attaquant utilise tous les moyens
de se connecter au système de la victime, rendant impossible toute activité légitime.
Les attaques DoS sont un type de violation de la sécurité qui n'entraîne généralement pas le vol
d'informations. Toutefois, ces attaques peuvent impacter la cible en termes de ressources et de
délais. De plus, une faille de sécurité peut entraîner la perte d'un service tel que le courrier
électronique. Dans le pire des cas, une attaque DoS peut provoquer la destruction accidentelle
des fichiers et des programmes de millions de personnes qui étaient connectées au système de
la victime au moment de l'attaque.
What is a DDoS Attack?
Distributed denial-of-service (DDoS) is a coordinated attack that involves
a multitude of compromised systems (Botnet) attacking a single target,
thereby denying service to users of the targeted system
Attacker Targeted
1 Server
2 3
Handler
UDP Packet
ICMP error
packets of
This attack consumes network resources and available destination
unreachable
bandwidth, exhausting the network until it goes offline
ECHO Request
This causes all the hosts on the broadcast network to respond to the received ICMP ECHO requests. These
responses will be sent to the victim machine, ultimately causing the machine to crash
Attacker
IP Broadcast Network
Victim
Original Packet
IP Data segment Data segment Data segment Data segment
Header 1 2 3 4
I I I I
P P P P
H H H H
E Data E Data E Data E Data
A A A A
D segment 1 D segment 2 D segment 3 D segment 4
E E E E
R R R R
Fragment 1 Fragment 2 Fragment 3 Fragment 4
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Volumetric Attack
User 5 User 4
Attack Traffic
User 3
Attacker
User 2
User 1
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Attaque pair-à-pair
Une attaque pair-à-pair est une forme d'attaque DDoS dans laquelle l'attaquant exploite un
certain nombre de défauts dans les serveurs pair-à-pair pour lancer une attaque DDoS. Les
attaquants exploitent les failles présentes dans les réseaux qui utilisent le protocole Direct
Connect (DC++), qui permet l'échange de fichiers entre clients de messagerie instantanée. Ce
type d'attaque n'utilise pas de réseaux de zombies. Contrairement à une attaque basée sur un
botnet, une attaque de type pair-à-pair élimine la nécessité pour les attaquants de
communiquer avec les clients qu'ils détournent. Dans ce type d'attaque, le pirate informatique
demande aux clients de grands centres de partage de fichiers pair-à-pair de se déconnecter de
leur réseau pair-à-pair et de se connecter au site web de la victime. Par conséquent, plusieurs
milliers d'ordinateurs peuvent tenter de se connecter de manière très énergique au site Web
ciblé, ce qui entraîne une baisse des performances de ce dernier. Il est facile d'identifier les
attaques pair-à-pair sur la base des signatures. En utilisant cette méthode, les pirates
informatiques lancent des attaques DoS massives pour compromettre des sites Web.
Les attaques DDoS de type pair-à-pair peuvent être atténuées en fixant des ports pour la
communication pair-à-pair. En interdisant, par exemple, la communication peer-to-peer sur le
port 80, on réduit la possibilité d'attaques sur les sites Web.
Figure 6.32 : Attaque pair-à-pair
DoS/DDoS Attack
Techniques:
Permanent Denial-
of-Service Attack
Permanent DoS, also known Unlike other DoS attacks, it This attack is carried out Using this method, attackers
as phlashing, refers to attacks sabotages the system using a method known as send fraudulent hardware
that cause irreversible hardware, requiring the “bricking a system” updates to the victims
damage to system hardware victim to replace or reinstall
the hardware
❑ DRDoS, also known as a spoofed attack, involves the use of multiple intermediary and secondary
machines that contribute to the actual DDoS attack against the target machine or application
❑ Attackers launch this attack by sending requests to the intermediary hosts, which then redirect
the requests to the secondary machines, which in turn reflect the attack traffic to the target
Primary
Target
Attacker
Intermediary Victims
Secondary Victims
https://sourceforge.net
https://sourceforge.net
Tor’s Hammer
https://sourceforge.net
Use strong encryption mechanisms such Block all inbound packets originating
as WPA2 or AES 256 for broadband from service ports to block the traffic
networks to protect against eavesdropping from reflection servers
DDoS-GUARD
https://ddos-guard.net
Cloudflare
https://www.cloudflare.com
F5
https://f5.com
http://www.beethink.com
Détournement de session
Le détournement de session permet aux attaquants de prendre le contrôle d'une session active
en contournant le processus d'authentification. Ils peuvent ensuite effectuer n'importe quelle
action sur le système détourné. Cette section vise à fournir des informations complètes sur le
détournement de session.
Module Flow
Session Setup
Data Request
As most authentications only occur at the start of a TCP
Data Transmission
session, this allows the attacker to gain access to a
machine Victim Data Transmission Web Server
Data Transmission
Attackers can sniff all the traffic from the established TCP
Sniffed
sessions and perform identity theft, information theft, Traffic
fraud, etc.
Data Request
Monitor Monitor the flow of packets and predict the sequence number
Sniff Place yourself between the victim and the target (you must be able to sniff the network)
Attacker Victim
Predicts the
James James sequence and kills Server
Server
(Victim) (Victim) James’ connection
John (Attacker)
John (Attacker)
Usurpation vs détournement
Dans le cas du détournement en aveugle, un attaquant prédit les numéros de séquence qu'un
hôte victime envoie pour créer une connexion qui semble provenir de l'hôte ou d'une
usurpation en aveugle. Pour comprendre le détournement en aveugle, il est important de
comprendre comment fonctionne la prédiction des numéros de séquence. Les numéros de
séquence TCP, qui sont uniques pour chaque octet dans une session TCP, assurent le contrôle
du flux et l'intégrité des données. Les segments TCP fournissent le numéro de séquence initial
(ISN) dans l'en-tête de chaque segment. Les ISN ne commencent pas à zéro pour chaque
session. Dans le cadre du processus de poignée de main, chaque participant doit indiquer l'ISN,
et les octets sont numérotés séquentiellement à partir de ce point.
Le détournement de session en aveugle repose sur la capacité de l'attaquant à prédire ou à
deviner les numéros de séquence. Un attaquant n'est pas en mesure d'usurper un hôte
approuvé sur un réseau différent et de voir les paquets de réponse, car il n'existe pas de route
permettant aux paquets de retourner à l'adresse IP de l'attaquant. En outre, l'attaquant ne peut
pas recourir à l'empoisonnement du cache ARP (Address Resolution Protocol) car les routeurs
ne diffusent pas le protocole ARP sur Internet. Comme l'attaquant est incapable d'observer les
réponses, il doit anticiper celles de la victime et empêcher l'hôte d'envoyer un paquet TCP/RST
à la victime. L'attaquant prédit les numéros de séquence que l'hôte distant attend de la victime
et détourne ensuite la communication. Cette méthode est utile pour exploiter les relations de
confiance entre les utilisateurs et les machines distantes.
Dans une attaque par usurpation d'identité, un attaquant se fait passer pour un autre
utilisateur ou une autre machine (victime) pour obtenir un accès. Au lieu de reprendre une
session active existante, l'attaquant lance une nouvelle session en utilisant les informations
d'identification volées de la victime. L'usurpation d'adresse IP simple est facile à réaliser et est
utile dans diverses techniques d'attaque. Pour créer de nouveaux paquets bruts, l'attaquant
doit avoir un accès root sur la machine. Cependant, pour établir une connexion usurpée à l'aide
de cette technique de détournement de session, un attaquant doit connaître les numéros de
séquence utilisés par la machine cible. L'usurpation d'adresse IP oblige l'attaquant à prévoir le
numéro de séquence suivant. Lorsqu'un attaquant utilise le détournement en aveugle pour
envoyer une commande, il ne peut pas visualiser la réponse.
Dans le cas de l'usurpation d'adresse IP sans détournement de session, il n'est pas nécessaire
de deviner le numéro de séquence car il n'existe aucune session ouverte avec cette adresse IP.
Dans un détournement de session, le trafic ne revient à l'attaquant que si le routage à la source
est utilisé. Le routage à la source est un processus qui permet à l'expéditeur de spécifier la
route que doit emprunter un paquet IP vers sa destination. L'attaquant effectue le routage à la
source et écoute ensuite le trafic lors de son passage. Dans l'usurpation de session, des
informations d'authentification capturées sont utilisées pour établir une session. En revanche,
le détournement actif a pour effet de supplanter une session préexistante. À la suite de cette
attaque, un utilisateur légitime peut perdre l'accès ou la fonctionnalité normale de sa session
Telnet établie parce qu'un attaquant détourne sa session et agit avec les privilèges de cet
utilisateur. Comme la plupart des mécanismes d'authentification ne sont appliqués qu'au début
d'une session, l'attaquant peut accéder à une machine cible sans authentification pendant
qu'une session est en cours.
Une autre méthode consiste à utiliser des paquets IP acheminés à la source. Ce type d'attaque
MITM permet à un attaquant de prendre part à la conversation de l'hôte ciblé en détournant
les paquets IP pour les faire passer par son système.
Le détournement de session est le processus qui consiste à prendre le contrôle d'une session
active existante. L'attaquant compte sur un utilisateur légitime pour établir une connexion et
s'authentifier. Le détournement de session est plus difficile que l'usurpation d'adresse IP. Dans
le cas du détournement de session, John (un attaquant) cherche à s'insérer dans une session
que James (un utilisateur légitime) a déjà établie avec \\Mail. John attend que James établisse
une session, écarte James de la session établie par un moyen quelconque, comme une attaque
DoS, puis reprend la session comme s'il était James. Ensuite, John envoie un ensemble de
paquets définis par un script à \\Mail et observe les réponses. Pour y parvenir, John doit
connaître le numéro de séquence utilisé lorsqu'il a détourné la session. Pour calculer le numéro
de séquence, il doit connaître l'ISN et le nombre de paquets impliqués dans le processus
d'échange.
Il est difficile de réussir un détournement de session sans utiliser des outils adaptés et cela n'est
possible que si plusieurs éléments sont sous le contrôle de l'attaquant. La connaissance de l'ISN
est le moindre des défis de John. John a par exemple besoin d'une méthode pour écarter James
de la session active ainsi que d'une méthode pour connaître l'état exact de la session de James
au moment où celui-ci est écarté. Ces deux tâches exigent que John ait beaucoup plus de
connaissances et de contrôle sur la session que ce qui serait normalement possible.
Le succès des attaques par usurpation d'adresse IP n'est toutefois possible que si l'attaquant
utilise les adresses IP pour l'authentification. Il ne peut pas effectuer d'usurpation d'adresse IP
ou de détournement de session si la vérification d'intégrité par paquet est exécutée. De même,
l'usurpation d'adresse IP ou le détournement de session n'est pas possible si la session utilise
des méthodes de chiffrement telles que Secure Sockets Layer (SSL) ou Point-to-Point Tunneling
Protocol (PPTP). Dans ce cas, l'attaquant ne peut pas participer à l'échange de clefs.
bettercap
https://www.bettercap.org
netool toolkit
https://sourceforge.net
WebSploit Framework
https://sourceforge.net
sslstrip
https://pypi.org
https://owasp.org
Intrusion Prevention
Systems (IPS)
Implement the log-out functionality for the user to end the session
Generate the session ID after a successful login and accept session IDs
generated by the server only
USM Anywhere
https://cybersecurity.att.com
LogRhythm
https://logrhythm.com
https://www.wireshark.org
It has covered different types of DoS and DDoS attacks and attack tools
It has covered session hijacking and types of session hijacking attacks and tools
In the next module, we will discuss in detail on various web application attacks
and countermeasures
Copyright © by EC-Council. All Rights Reserved. Reproduction is Strictly Prohibited.
Résumé du module
Ce module a abordé l'analyse de paquets et les types d'écoute réseau. Il a couvert différentes
techniques et outils d'écoute réseau. Il a également abordé les différentes contre-mesures en
matière d'écoute réseau. De plus, il a couvert les différents types d'attaques DoS et DDoS et
présenté différents outils d'attaque DoS/DDoS. Il a aussi présenté les différentes contre-
mesures et outils de protection contre les attaques DoS/DDoS. Le détournement de session et
les types d'attaques par détournement de session ont également été abordés. Le module s'est
terminé par une présentation des outils de détournement de session et des différentes contre-
mesures pour se défendre contre les tentatives de détournement de session.
Dans le prochain module, nous discuterons en détail des différentes attaques d'applications
web et des contre-mesures.