TP n1: LES ATTAQUES

Scurit des Rseaux Informatiques

Khodjet.ghazi@gmail.com

ARP spoofing

Le principe est denvoyer des donnes truques, un rseau Ethernet. le but est: associer lAdresse MAC de lattaquant ladresse IP dun autre nud. (attaque man-in the-middle). associer une adresse MAC inexistant ladresse IP de routage par dfaut de la victime. (attaque dni de service DoS).

Rappel ARP

Cest de mettre en corrlation ladresse IP avec ladresse MAC. il nopre quentre les niveaux 2 et 3 de la couche rseau. Et il convertit les IPs en Adresse MAC. Il comprend quatre messages de base : 1. Une requte ARP: Lordinateur A demande sur le rseau (en broadcast) quelle est ladresse MAC correspondant ladresse IP adresseIP ? 2. Une rponse ARP: Lordinateur B rpond a lordinateur A : Jai cette adresse IP et mon adresse Mac est .. 3. Une requte RARP (ARP invers): Mme principe que le 1. sauf que lordinateur A demande : Qui a cette adresse mac 4. Une rponse RARP: Lordinateur B rpond a lordinateur A: Jai cette adresse IP:.. Puisquil sagit de broadcast, tous les ordinateurs connects au support physique vont recevoir la requte. Les autres machines recevront aussi le message et pourrons analyser les messages pour stocker dans leur cache une liste des adresses IP/MAC.

Comme le montre l'image ci-contre, le protocole ARP et les tables CAM n'interviennent pas sur les mmes couches du modle OSI. En effet, le protocole ARP assure la jointure entre les couches 3 (couche rseau, adresse IP) et 2 (couche liaison, adresse MAC), alors que les tables CAM le font entre les couches 2 (liaison, adresse MAC) et 1 (physique, numro du port physique du switch).

ARP VS CAM

Table ARP

Machine 1 @IP IP 2 IP Att @Mac Mac2 MacAtt

Machine 2 @IP IP 1 IP Att @Mac Mac 1 MacAtt

Machine 1 @IP IP 2 IP Att @Mac MacAtt MacAtt

Machine 2 @IP IP 1 IP Att @Mac Mac Att MacAtt

Attaquant @IP IP 1 IP 2 @Mac Mac 1 Mac 2

Attaquant @IP IP 1 @Mac Mac 1

IP 2

Mac 2

Configuration VM
Installer 3 Machine virtuelle (XP 1,XP 2, BT) Crer une team avec ces 3 machines Dmarrer les trois machines
XP 1
Dsactiver le firewall Mettre IP:10.0.0.1 Masque:255.255.255.0

XP 2
Dsactiver le firewall Mettre IP:10.0.0.2 Masque:255.255.255.0

BT
Ouvrir invite de commande ifconfig eth0 10.0.0.3 netmask 255.255.255.0 up

Faire sur XP 1 un ping de xp 2 Faire sur XP 2 un ping de xp 1 Noter les tables ARP de chaque machine : ARP a

Attaque de ARP SPOOF

Sur la machine BT arpspoof -t 10.0.0.1 10.0.0.2 arpspoof -t 10.0.0.2 10.0.0.1 Sur les machines XP Vrifier nouveau les tables ARP correspondantes Sur la machine BT pour activer le forwarding : echo 1 > /proc/sys/net/ipv4/ip_forward

Solutions de lattaque ARP SPOOF

Mappage statique des correspondances MAC --> IP Scurit sur les ports de switch

Arpwatch
IDS

Vulnrabilits des protocoles

Les protocoles non scuriss (FTP, Telnet, ...) font circuler des donnes en clair sur le rseau. Un sniffer peut facilement les intercepter.

Sniffing

Le sniffing a pour but de rcolter le maximum d'informations transitant sur les rseaux (mots de passe, compte, information potentiel...). Toutes les informations(Trames) qui se diffusent au travers d'un rseau peuvent tre interceptes.

Type dAttaques de sniffing

Saturation d'une table CAM Pour router le trafic, les switches maintiennent une table de correspondance appele Content Adressable Memory (CAM). Lorsque la mmoire est pleine, certains switches se comportent en hubs et envoient les paquets broadcast. Etape de lattaque

Le switch alimente sa table de correspondance CAM en analysant les en-ttes Ethernet du trafic. Le pirate sature la mmoire de la table CAM avec de fausses adresses MAC. Le switch envoie les paquets tous les htes.
La fonction macof du sniffer dsniff tente de passer les commutateurs en mode rptiteur (hub). Elle inonde le commutateur de rponses MAC falsifies (spoofed MAC replies flooding) une vitesse tellement rapide que la table de commutation du commutateur se trouve engorge.

Type dAttaques de sniffing

Attaque d'un switch avec des messages ARP

Arp spoofing + redirection

Type dAttaques de sniffing

Vol de port

Le pirate envoie des paquets sur le rseau avec une fausse information, afin de modifier la table CAM

Changer la correspondance entre @Mac et nport @Mac destinataire -- n port Machine Hacker

Configuration VM
Installer un serveur FTP sur XP1 Crer un utilisateur dans ce serveur(login:admin, pass: esprit) Vrifier que les rponses ARP sont encore actives
XP 1
Laisser le serveur en tat de marche

XP 2
Ouvrir un explorateur et mettre: ftp://10.0.0.1 Mettre le login et pw

BT
Lancer wireshark > Menu Capture > Boutton Options > Fitrage TCP > Cliquer sur Start

Analyser les trame et trouver la chaine : USER admin et PASS : esprit

Solutions de lattaque Sniffing

Les solutions utilises pour ARP spoofing Utiliser des protocoles de communication chiffrs

Le Scanner
il permet de trouver tous les ports ouverts sur une machine distante ou locale.
Il existe diffrents types de scan: la liste des ports ouverts type et version de l'OS tournant sur la machine

NMAP
Il est conu pour dtecter les ports ouverts, identifier les services hbergs et obtenir des informations sur le systme d'exploitation d'un ordinateur distant. Ce logiciel est devenu une rfrence pour les administrateurs rseaux car l'audit des rsultats de Nmap fournit des indications sur la scurit d'un rseau. Quelques options utilises avec le nmap: -sP: Ping Scan -PO [num de protocole]: Ping IP (par type) -sS/sT/sA/sW/sM: Scans TCP SYN/Connect() -p <plage de ports>: Ne scanne que les ports spcifis -sV: Teste les ports ouverts pour dterminer le service en coute et sa version -O: Active la dtection d'OS -f; --mtu <val>: Fragmente les paquets (en spcifiant ventuellement la MTU)

Configuration VM
Dans la machine BT - scan for hosts : nmap -sP 10.0.0.0/24 - scan for ports : nmap -sS 10.0.0.0/24 - O/S fingerprinting and version detection : nmap -O 10.0.0.0/24

TCP & UDP

En mode TCP il faut passer par une demande de connexion

En mode UDP les messages sont en libre transport

TCP & UDP

ATTAQUE SYN FLOODING

Cest saturer un serveur en envoyant des paquets TCP (SYN). Le serveur rpond (SYN + ACK). le client malveillant (hacker) ne renvoie pas de confirmation (ACK). Le serveur attend la rponse et consomme alors des ressources. En multipliant ce type de connexions, le hacker peut arriver crer un dni de service.

ATTAQUE SYN FLOODING

DoS

Configuration VM
XP 1
Laisser le serveur en tat de marche

Dans la machine BT - hping2 10.0.0.1 -I eth0 -i u1 -S --rand-source -p 80 &

XP 2
Ouvrir un explorateur et mettre: ftp://10.0.0.1 puis ping 10.0.01

Que remarquez vous??

Solutions de lattaque Synflooding

FIREWALL

ATTAQUE Password attaks

Les mots de passe sont stocks de 2 manires :

Mots de passe crypts Chiffre cl (Hash code) des mots de passe

ATTAQUE Password attaks

Dcrypter les mots de passe crypts. Lorsque l'on sait la lgret des algorithmes de cryptographie des mots de passe de Windows, par exemple, il ne suffit que de quelques secondes pour tous les dcrypter.

Casser les chiffres cls (les Hash code). Ils sont pourtant irrversibles mais on attaquera par dictionnaires ou en force brute http://www.dcode.fr http://sectools.org/crackers.html

Configuration VM
ajouter un nouvel user avec login et password: htpasswd -cb /test admin admin ajouter un deuxime user avec la commande : htpasswd -b /test admin2 3a1 afficher le contenu du ce dossier: cat /test lancer john the ripper : cd /pentest/passwords/jtr puis ./john /test

TO BE CONTINUED