Tutoriel d’attaque DoS (Déni de service): Ping de la mort, DDOS

Qu’est-ce qu’une attaque DoS?

Le DOS est une attaque utilisée pour refuser aux utilisateurs légitimes l’accès à une ressource telle que l’accès à un site Web, un réseau, des e-mails, etc. ou le rendre extrêmement lent. DoS est l’acronyme de Déni de service. Ce type d’attaque est généralement mis en œuvre en frappant la ressource cible telle qu’un serveur Web avec trop de requêtes en même temps. Il en résulte que le serveur ne répond pas à toutes les demandes. Cela peut avoir pour effet de planter les serveurs ou de les ralentir.

Couper certaines activités d’Internet peut entraîner des pertes importantes d’affaires ou d’argent. Internet et les réseaux informatiques alimentent de nombreuses entreprises. Certaines organisations telles que les passerelles de paiement, les sites de commerce électronique dépendent entièrement d’Internet pour faire des affaires.

Dans ce tutoriel, nous allons vous présenter ce qu’est une attaque par déni de service, comment elle est effectuée et comment vous pouvez vous protéger contre de telles attaques.

Sujets abordés dans ce tutoriel

• Types d’attaques Dos
• Comment fonctionnent les attaques DoS
• Outils d’attaque DoS
• Protection DoS: Prévenir une attaque
• Activité de piratage: Ping de la mort
• Activité de piratage: Lancer une attaque DOS

Types d’attaques Dos

Il existe deux types d’attaques Dos à savoir;

• DoS – ce type d’attaque est effectué par un seul hôte
• Dos distribué – ce type d’attaque est effectué par un certain nombre de machines compromises qui ciblent toutes la même victime. Il inonde le réseau de paquets de données.

Comment fonctionnent les attaques DoS

Regardons comment les attaques DoS sont effectuées et les techniques utilisées. Nous examinerons cinq types d’attaques courants.

Ping of Death

La commande ping est généralement utilisée pour tester la disponibilité d’une ressource réseau. Cela fonctionne en envoyant de petits paquets de données à la ressource réseau. Le ping de la mort en profite et envoie des paquets de données au-dessus de la limite maximale (65 536 octets) autorisée par TCP / IP. La fragmentation TCP / IP divise les paquets en petits morceaux qui sont envoyés au serveur. Étant donné que les paquets de données envoyés sont plus volumineux que ce que le serveur peut gérer, le serveur peut geler, redémarrer ou planter.

Schtroumpf

Ce type d’attaque utilise de grandes quantités de cible de trafic ping du protocole ICMP (Internet Control Message Protocol) à une adresse de diffusion Internet. L’adresse IP de réponse est usurpée à celle de la victime visée. Toutes les réponses sont envoyées à la victime au lieu de l’adresse IP utilisée pour les pings. Comme une seule adresse de diffusion Internet peut prendre en charge un maximum de 255 hôtes, une attaque schtroumpf amplifie un seul ping 255 fois. Cela a pour effet de ralentir le réseau à un point où il est impossible de l’utiliser.

Débordement de tampon

Un tampon est un emplacement de stockage temporel dans la RAM qui est utilisé pour contenir des données afin que le processeur puisse les manipuler avant de les réécrire sur le disque. Les tampons ont une limite de taille. Ce type d’attaque charge le tampon avec plus de données qu’il peut contenir. Cela provoque le débordement du tampon et corrompt les données qu’il contient. Un exemple de débordement de mémoire tampon consiste à envoyer des e-mails avec des noms de fichiers comportant 256 caractères.

Larme

Ce type d’attaque utilise des paquets de données plus volumineux. TCP / IP les décompose en fragments qui sont assemblés sur l’hôte récepteur. L’attaquant manipule les paquets au fur et à mesure qu’ils sont envoyés afin qu’ils se chevauchent. Cela peut provoquer un plantage de la victime prévue lorsqu’elle tente de réassembler les paquets.

SYN attack

SYN est une forme abrégée pour Synchroniser. Ce type d’attaque profite de la poignée de main à trois voies pour établir une communication à l’aide de TCP. L’attaque SYN fonctionne en inondant la victime de messages SYN incomplets. Cela amène la machine victime à allouer des ressources mémoire qui ne sont jamais utilisées et à refuser l’accès aux utilisateurs légitimes.

Outils d’attaque DoS

Voici quelques-uns des outils qui peuvent être utilisés pour effectuer des attaques DoS.

• Nemesy – cet outil peut être utilisé pour générer des paquets aléatoires. Cela fonctionne sous Windows. Cet outil peut être téléchargé à partir de http://packetstormsecurity.com/files/25599/nemesy13.zip.html. En raison de la nature du programme, si vous avez un antivirus, il sera très probablement détecté comme un virus.
• Land et LaTierra – cet outil peut être utilisé pour l’usurpation d’adresse IP et l’ouverture de connexions TCP
• Blast – cet outil peut être téléchargé à partir de http://www.opencomm.co.uk/products/blast/features.php
• Panther – cet outil peut être utilisé pour inonder le réseau d’une victime de paquets UDP.
• Botnets – ce sont des multitudes d’ordinateurs compromis sur Internet qui peuvent être utilisés pour effectuer une attaque par déni de service distribué.

Protection DOS: Prévenir une attaque

Une organisation peut adopter la politique suivante pour se protéger contre les attaques par déni de service.

• Les attaques telles que l’inondation SYN tirent parti des bogues du système d’exploitation. L’installation de correctifs de sécurité peut aider à réduire les risques de telles attaques.
• Les systèmes de détection d’intrusion peuvent également être utilisés pour identifier et même arrêter les activités illégales
• Les pare-feu peuvent être utilisés pour arrêter les attaques DoS simples en bloquant tout le trafic provenant d’un attaquant en identifiant son adresse IP.
• Les routeurs peuvent être configurés via la liste de contrôle d’accès pour limiter l’accès au réseau et supprimer le trafic illégal présumé.

Activité de piratage: Ping of Death

Nous supposerons que vous utilisez Windows pour cet exercice. Nous supposerons également que vous avez au moins deux ordinateurs sur le même réseau. Les attaques DOS sont illégales sur les réseaux auxquels vous n’êtes pas autorisé à le faire. C’est pourquoi vous devrez configurer votre propre réseau pour cet exercice.

Ouvrez l’invite de commande sur l’ordinateur cible

Entrez la commande ipconfig. Vous obtiendrez des résultats similaires à ceux indiqués ci-dessous

Pour cet exemple, nous utilisons les détails de la connexion haut débit mobile. Prenez note de l’adresse IP. Remarque: pour que cet exemple soit plus efficace, vous devez utiliser un réseau LAN.

Passez à l’ordinateur que vous souhaitez utiliser pour l’attaque et ouvrez l’invite de commande

Nous allons envoyer un ping à notre ordinateur victime avec des paquets de données infinis de 65500

Entrez la commande suivante

ping 10.128.131.108 –t |65500

ICI,

• « ping” envoie les paquets de données à la victime
•  » 10.128.131.108 ” est l’adresse IP de la victime
• « -t” signifie que les paquets de données doivent être envoyés jusqu’à ce que le programme soit arrêté
• « -l” spécifie la charge de données à envoyer à la victime

Vous obtiendrez des résultats similaires à ceux indiqués ci-dessous

Inonder l’ordinateur cible de paquets de données n’a pas beaucoup d’effet sur la victime. Pour que l’attaque soit plus efficace, vous devez attaquer l’ordinateur cible avec des pings provenant de plusieurs ordinateurs.

L’attaque ci-dessus peut être utilisée pour attaquer des routeurs, des serveurs Web, etc.

Si vous souhaitez voir les effets de l’attaque sur l’ordinateur cible, vous pouvez ouvrir le gestionnaire des tâches et afficher les activités réseau.

• Faites un clic droit sur la barre des tâches
• Sélectionnez Démarrer le gestionnaire des tâches
• Cliquez sur l’onglet réseau
• Vous obtiendrez des résultats similaires aux suivants

Si l’attaque réussit, vous devriez pouvoir voir une augmentation des activités du réseau.

Activité de piratage: Lancez une attaque DOS

Dans ce scénario pratique, nous allons utiliser Nemesy pour générer des paquets de données et inonder l’ordinateur, le routeur ou le serveur cible.

Comme indiqué ci-dessus, Nemesy sera détecté comme un programme illégal par votre antivirus. Vous devrez désactiver l’antivirus pour cet exercice.

• Téléchargez Nemesy depuis http://packetstormsecurity.com/files/25599/nemesy13.zip.html
• Décompressez-le et exécutez le programme Nemesy.exe
• Vous obtiendrez l’interface suivante

Entrez l’adresse IP cible, dans cet exemple; nous avons utilisé l’adresse IP cible que nous avons utilisée dans l’exemple ci-dessus.

ICI,

• 0 car le nombre de paquets signifie l’infini. Vous pouvez le définir sur le nombre souhaité si vous ne souhaitez pas envoyer, paquets de données infinity
• Le champ size spécifie les octets de données à envoyer et le délai spécifie l’intervalle de temps en millisecondes.

Cliquez sur le bouton envoyer

Vous devriez pouvoir voir les résultats suivants

La barre de titre vous montrera le nombre de paquets envoyés

Cliquez sur le bouton halt pour arrêter le programme d’envoyer des paquets de données.

Vous pouvez surveiller le gestionnaire des tâches de l’ordinateur cible pour voir les activités du réseau.

Résumé

• L’intention d’une attaque par déni de service est de refuser aux utilisateurs légitimes l’accès à une ressource telle qu’un réseau, un serveur, etc.
• Il existe deux types d’attaques, le déni de service et le déni de service distribué.
• Une attaque par déni de service peut être effectuée à l’aide de SYN Flooding, Ping of Death, Teardrop, Schtroumpf ou buffer overflow
• Des correctifs de sécurité pour les systèmes d’exploitation, la configuration du routeur, les pare-feu et les systèmes de détection d’intrusion peuvent être utilisés pour se protéger contre les attaques par déni de service.