FTP (File Transfer Protocol) est utilisé pour transférer des documents et des données de façon anonyme d’une machine locale vers un serveur et vice-versa.
Dans une attaque par rebond, le hacker met un fichier sur le serveur FTP et demande alors à ce que le fichier soit envoyé sur un autre serveur par le serveur interne. Le fichier peut contenir un logiciel malsain ou un simple script qui occupera le serveur et utilisera toutes les ressources CPU et mémoire.
Pour empêcher cette attaque, les démons FTP sur les serveurs Web doivent être mis à jour régulièrement. Le site FTP doit être monitoré de façon régulière pour identifier si un fichier n’est pas envoyé au serveur Web. En résumé, une attaque ftp bounce est le fait d’initier de nombreux transferts ftp afin de saturer un ser- veur ftp.
Cette technique utilise la “fonctionnalité” proxy d’un serveur FTP décrite dans le RCF 959 qui permet de se connecter à n’importe quel serveur en passant par ce serveur FTP. Cette méthode était utilisable en 1985, date à laquelle le RFC a été rédigée, de nos jours la plupart des serveurs FTP ne possèdent plus cette fonctionnalité. Cette méthode permettait surtout de masquer l’identité de l’attaquant, les paquets contiennent l’adresse du serveur FTP qui a été utilisée comme proxy.
23.3.2
Ping Flooding Attack
Pinguer un ordinateur signifie envoyer un signal à une machine afin que celle-ci réponde en retour. Une utilisation responsable du ping procure des informations sur la diponibilité d’un service particulier. Le Ping Flooding est l’utilisation extrème du ping par l’envoi de centaines de millions de pings par seconde. Le Ping Flooding peut endommager un système ou même stopper un site entier.
Une attaque de type Ping Flooding inonde le réseau ou la machine de la victime avec des paquets IP de type Ping. De nombreux routeurs ou imprimantes sont aussi vulnérables.
23.3.3
Smurf Attack
Un attaque de type Smurf est un dérivé de l’attaque "ping attack". Au lieu d’envoyer des pings directe- ment au système attaqué, on envoie les pings à l’adresse de broadcast avec pour adresse de retour l’adresse de la machine de la victime. Un certain nombre de machines intermédiaires enverront des pings à la victime, bombardant ainsi la machine de la victime ou le système avec des milliers ou des centaines de pings.
source adresse IP de la victime destination adresse IP du broadcast
Une contre mesure peut être d’interdire sur les routeurs l’envoi de trame sur l’adresse de broadcast.
23.3.4
SYN Flooding Attack
Cette attaque exploite une vulnérabilité du protocole TCP/IP. Cette attaque demande à la machine de la victime de répondre à une machine inexistante. La victime envoie des paquets en réponse à la machine émettrice qui a pris soin d’envoyer le tout avec une adresse IP incorrecte. En guise de réponse, il est innondé de requêtes. Ces requêtes attendent une réponse jusqu’à ce que les paquets reviennent en Time Out ou
Doc
umen
t sou
s
lic
ence
FDL
CHAPITRE 23. QUELQUES ATTAQUES RANGÉES 90
plus répondre aux requêtes légitimes.
Lorsqu’une connexion TCP démarre, la machine de destination reçoit un paquet SYN (synchronize/start) de l’hôte source et envoie en retour un SYN ACK (accusé de réception de synchronisation) en réponse. La machine destination doit écouter pour recevoir cet acquittement, ou un paquet ACK, avant que la connexion ne puisse être établie. Ceci se nomme le "TCP three-way handshake".
Réduire le time-out d’attente peut aider à réduire les risques d’attaque par SYN flooding, comme augmenter la taille de la queue de la connexion (the SYN ACK queue).
23.3.5
IP Fragmentation/Overlapping Fragment Attack
Pour faciliter la transmission IP au travers de réseaux encombrés, les paquets IP peuvent être réduits en taille ou cassés en de plus petits paquets. En construisant des paquets très petits, les routeurs et les IDS ne peuvent identifier la nature du contenu de ces paquets et les laisseront passer sans examen plus approfondi. Lorsque le paquet sera réassemblé à la fin, il remplira le buffer. Le machine alors se bloquera ou rebootera ou tuera le processus.
Dans une attaque de type Overlapping Fragment, le réassemblage des paquets commence par le milieu d’un autre paquet. Comme le système reçoit ces paquets invalides, il alloue de la mémoire pour les stocker afin de les reconstruire. Ceci peut éventuellement utiliser toutes les ressources mémoire et causer un reboot ou un gel de la machine.
23.3.6
IP Sequence Prediction Attack
Utilisant la méthode du SYN Flood, un hacker peut établir une connexion avec une victime et obtenir les numéros de séquences des paquets IP. Avec ce nombre, le hacker peut controler la victime et le duper en lui faisant croire qu’il est en train de dialoguer avec une autre machine.
La plupart des OS rendent maintenant aléatoire la génération de ces numéros de séquences pour réduire le risque de prédiction. Malgré ceci, l’aléatoire n’est pas véritable et obéit à des fonctions mathématiques plus ou moins complexes.
23.3.7
DNS Cache Poisoning
Le DNS permet d’obtenir des informations sur un hôte. Pour augmenter leur productivité les DNS dis- posent d’un cache où sont stockés les données les plus récentes. Ce cache peut être attaqué et les informations corrompues pour rediriger une connexion réseau sur un autre site, ou bloquer l’accès à un site en supprimant son entrée dans le cache.
23.3.8
SNMP Attack
La plupart des réseaux supportent SNMP car il est actif par défaut. Le rôle du protocole SNMP est de récupérer des informations de maintenance. Une attaque SNMP peut résulter dans le mapping du réseau existant, le monitoring de celui-ci ou même de la redirection d’informations.
23.3.9
UDP Flood Attack
Un attaque de type UDP Flood paralyse deux systèmes inconnus. Par Spoofing, le flux UDP envoie des requêtes au service UDP d’une machine (qui pour des buts de tests génère une série de caractères pour chaque paquet reçu) avec le service echo UDP d’une autre machine (qui renvoie tous les caractères reçus dans le but de tester des programmes réseaux). Il en résulte un flux continu d’échange de données entre les
Doc
umen
t sou
s
lic
ence
FDL
CHAPITRE 23. QUELQUES ATTAQUES RANGÉES 91
deux systèmes.
source adresse IP de la victime destination adresse IP de la seconde victime Envoi d’une trame echo UDP avec l’adresse source de l’une sur l’autre.
23.3.10
Send Mail Attack
Dans cette attaque, des centaines de milliers de messages sont envoyées sur une courte période de temps. Le but est de ralentir le système visé.