Attaques en Saturation (DoS, DDoS, etc. ...)
Insécurité et Attaques en Saturation (DoS, DDoS, etc. ...)
|
||||
| |
Saturer une connexion à distance
Ms-Dos est un des outils préférés des hackers de tout poil. Si vous avez envie de saturer la connexion de quelqu'un, il suffit de connaître son adresse IP. Pour voir s'il est en ligne envoyer-lui une requête PING à partir de la console. Par exemple, si son adresse IP est 127.90.85.51 faites un "PING 127.90.85.51". Pour saturer son accès internet, faites "PING 127.90.85.51 -l 65500". La plupart du temps, l'ordinateur distant crashera.
Saturer les logs anti-hackers
Le point fort de certains IDS qui est d'archiver aussi le payload des trames ayant levées une alerte, peut aussi s'avérer un point faible. Un ping flood avec un payload chargé de 64000 octets, ou encore des trames de 1500 octets pour les SYN flood vont faire exploser la taille des fichiers de logs des sondes en quelques minutes. C'est une attaque qui porte le nom coke qui consiste à saturer le disque dur (http://www.securiteinfo.com/attaques/hacking/coke.shtml). La seule façon de parer cette attaque est de prévoir d'importants espaces de stockages, et gérer le stockage des fichiers de logs.
Problèmes de IPv4
Il est facile de contourner certains IDS en utilisant les fragments IP. On exploite ici une faiblesse du protocole IPv4, et des piles IP. Une autre faiblesse de ce protocole est de ne pas permettre l'authentification. On peut donc faire croire à un destinataire qu'un paquet vient de telle ou telle source alors que cela serait faux. Cela est la base des DoS et DDoS.
Contournement d'IDS par évasion
Faire passer une attaque au travers du système de détection en évitant de correspondre à un scénario répertorié, donc détectable.
Contournement d'IDS par injection
Insertion de trafic qui permet de déjouer l'IDS en lui faisant croire à un trafic légitime. On injecte l'attaque parmi beaucoup d'informations sans incidences. Les signes de l'attaque n'apparaissent donc pas à l'IDS mais quand les données atteignent la cible, seule l'information malintentionnée est acceptée par le système. Cela est très proche du principe des canaux cachés.
Contournement d'IDS : méthodes diverses
http://lehmann.free.fr
Ms-Dos est un des outils préférés des hackers de tout poil. Si vous avez envie de saturer la connexion de quelqu'un, il suffit de connaître son adresse IP. Pour voir s'il est en ligne envoyer-lui une requête PING à partir de la console. Par exemple, si son adresse IP est 127.90.85.51 faites un "PING 127.90.85.51". Pour saturer son accès internet, faites "PING 127.90.85.51 -l 65500". La plupart du temps, l'ordinateur distant crashera.
Saturer les logs anti-hackers
Le point fort de certains IDS qui est d'archiver aussi le payload des trames ayant levées une alerte, peut aussi s'avérer un point faible. Un ping flood avec un payload chargé de 64000 octets, ou encore des trames de 1500 octets pour les SYN flood vont faire exploser la taille des fichiers de logs des sondes en quelques minutes. C'est une attaque qui porte le nom coke qui consiste à saturer le disque dur (http://www.securiteinfo.com/attaques/hacking/coke.shtml). La seule façon de parer cette attaque est de prévoir d'importants espaces de stockages, et gérer le stockage des fichiers de logs.
Problèmes de IPv4
Il est facile de contourner certains IDS en utilisant les fragments IP. On exploite ici une faiblesse du protocole IPv4, et des piles IP. Une autre faiblesse de ce protocole est de ne pas permettre l'authentification. On peut donc faire croire à un destinataire qu'un paquet vient de telle ou telle source alors que cela serait faux. Cela est la base des DoS et DDoS.
Contournement d'IDS par évasion
Faire passer une attaque au travers du système de détection en évitant de correspondre à un scénario répertorié, donc détectable.
Contournement d'IDS par injection
Insertion de trafic qui permet de déjouer l'IDS en lui faisant croire à un trafic légitime. On injecte l'attaque parmi beaucoup d'informations sans incidences. Les signes de l'attaque n'apparaissent donc pas à l'IDS mais quand les données atteignent la cible, seule l'information malintentionnée est acceptée par le système. Cela est très proche du principe des canaux cachés.
Contournement d'IDS : méthodes diverses
- Déni de service
- Flood de signes d'intrusions (faux positifs ou vraies alarmes) pour déclencher beaucoup d'évènements et surcharger les administrateurs. Nous pouvons par exemple utiliser l'outil snort pour cela.
- Contournement physique (les trames ne sont pas capturées par les sondes) en jouant sur les domaines de collisions.
- Attaque directe contre l'IDS : comme nous l'avons vu dans ce rapport, les IDS présentent quelques points faibles qui peuvent être exploités (réponse active redirigée, saturation de l'espace de stockage des alertes, faiblesse de la pile utilisée, ...)
- Distribution dans le temps ou dans l'espace
Pour illustrer ces différentes méthodes, voici quelques exemples d'attaques permettant d'outre-passer les IDS :
Les attaques réseaux Le but principal est de réduire les possibilités du NIDS à détecter les attaques:
- Par les méthodes classiques de scan : Nous pouvons prendre comme exemple le scan furtif SYN implémenté par NMAP permettant de ne pas être détecté par les NIDS. Le but du scan SYN est de ne pas ouvrir une connexion complètement. A la réception d'un SYN/ACK qui signifie que le port est ouvert, il envoie un RST pour interrompre la connexion. Aucune connexion n'est donc faite tout en sachant quels ports sont ouverts.
- Par le flood : Il consiste à surcharger le NIDS pour qu'il ne puisse pas fonctionner correctement, et qu'il ne détecte pas l'attaque principale.
- Par la noyade sous les faux-positifs : Le principe est de provoquer de nombreuses remontées d'alertes. En parallèle, une attaque réelle contre le réseau est lancée, et l'administrateur occupé à analyser les alertes, ne s'en rendra pas compte sur le moment. Nous pouvons utiliser l'option decoy de nmap pour générer des scans nmap multiples, ou encore utiliser l'outil snot qui génère de nombreuses attaques différentes.
- Par fragmentation : Le principe est de fragmenter les paquets IP pour empecher les NIDS de détecter les attaques sachant que les paquets seront réassemblés au niveau du destinataire. Il est possible aussi d'envoyer des paquets IP mal fragmentés qui vont utiliser la faiblesse de certaines pile IP (peut-être aussi celle de la sonde IDS qui capte tout le trafic) pour perturber le système.
- Par des scans lents : Les NIDS ne détectent souvent pas ce type de scan (un scan toutes les heures par exemple). Sachant qu'un NIDS maintient un état de l'information (TCP, IP fragments, TCP scan, ...) pendant une période de temps bien définie (capacité mémoire, configuration), ils ne détectent rien si deux scans consécutifs sont trop espacés.
- l'encodage : Il permet de coder les caractères sous forme hexadécimale.L'URL sera comprise par le protocole HTTP.
- les doubles slashes : Par exemple, une requete de type '//cgi-bin//script' ne sera pas détectée car les IDS vérifient les requêtes de la forme '/cgi-bin/script'.
- les self-reference directories : Il consiste à remplacer tous les '/' par des '/./'. La requête n'est pas détectée.
- La simulation de fin de requête : L'IDS analyse la première partie de l'URL et s'arrête au premier HTTP/1.0 rn. Le reste de la requete qui représente l'attaque passe sans etre analysée. Par exemple: HEAD /HTTP/1.0rnHeader : /../../cgi-bin/some.cgi HTTP/1.0rnrn
- Le formatage : Il consiste à remplacer les espaces par des tabulations.
- Case sensitive : Il consiste à remplacer les minuscules par des majuscules. La requête reste valide.
- URL coupée : Il consiste à couper la requete HTTP en plusieurs paquets TCP. Par exemple, l'URL "GET /cgi/bin/phf" devient "GET","/cgi/b","in/ph","f HTTP/1.0".
- Le caractère NULL : En analysant la chaine de caractères HEAD%00 /cgi-bin/some.cgi HTTP/1.0, l'IDS s'arrête dès qu'il atteind le caractère NULL, la suite de l'URL n'étant pas analysée.
- Par les méthodes classiques de scan : Nous pouvons prendre comme exemple le scan furtif SYN implémenté par NMAP permettant de ne pas être détecté par les NIDS. Le but du scan SYN est de ne pas ouvrir une connexion complètement. A la réception d'un SYN/ACK qui signifie que le port est ouvert, il envoie un RST pour interrompre la connexion. Aucune connexion n'est donc faite tout en sachant quels ports sont ouverts.
http://lehmann.free.fr
| Historique des révisions de ce document : |
|
Historique
|
Rédigé en écoutant :
Music
Music