Comment fonctionnent les attaques DDOS ? – Démo avec hping

By | September 15, 2016

Comment fonctionnent les attaques DDOS ? - Démo avec hping

Qu’est-ce que le DOS ?

Le Déni de service (Denial of Service – DOS) est un type de cyber attaque qui vise à rendre inutilisable un site par une saturation de requêtes. Cela se reconnaît du côté utilisateur par une lenteur du chargement des pages du site, l’incapacité d’accéder au site, etc.

Le Déni de service devient distribué (Distributed DOS) lorsque plusieurs machines à la fois sont à l’origine de cette attaque. Ces machines, les botnets, sont le plus souvent piratées à cet effet et sont désormais sous le contrôle des pirates informatiques.
Le DDOS est la plus sérieuse menace à laquelle font face aujourd’hui les sites Webs et les centre de données. Ce type d’attaque cause des pertes de milliards de dollars aux compagnies et organisations.

Il existe plusieurs types d’attaque DOS : le Smurf attack, le ping de la mort, le ICMP Flood, etc.
L’attaque qui nous intéresse aujourd’hui est le SYN Flood. Pour comprendre cette attaque, vous devez avoir une bonne base sur le fonctionnement du protocole TCP/IP.

En quoi consiste le SYN Flood ?

Avant toute connexion TCP/IP (par exemple une connexion Web avec le HTTP), un échange en trois directions (TCP Three-way Handshake) se fait entre le serveur et le client. Le client initie une connexion TCP en envoyant une requête SYN au serveur. Celui-ci doit répondre avec un SYN ACK. Après la confirmation du client avec un ACK, l’échange de données peut enfin débuter entre les deux parties. Cette séquence se présente comme suit:

Three-way Handshake

Cela se traduit de cette manière dans Wireshark :

connexion à homptersecurity.com

Dans un scénario de SYN Flood, l’attaquant envoie des milliers de requêtes SYN et s’arrange à ce que les SYN ACK du serveur restent sans reponses. Le plus souvent, le pirate utilise des adresses IP usurpées. Dans chacun des cas, le serveur reste dans l’attente du ACK du client de chacune des requêtes pour compléter le TCP Three-way Handshake. Le serveur gardant toutes les connexions inabouties ouvertes finit par devenir surchargé lorsque son nombre maximum de connexions possibles est atteint. Ce qui conduit au déni de service.


Démonstration SYN Flood

Nous allons essayer de faire crasher ce site meta.marty.ci avec une attaque SYN Flood.

cible: meta.marty.ci

Pour cela, nous utiliserons hping, qui est puissant outil réseau. hping est disponible sur Kali.
La commande de hping qui nous aidera dans cette attaque est :
commande hping

-S meta.marty.ci permet de cibler le site Web,
-p 80 représente le port de destination. le numéro 80 correspond au HTTP, le protocole du Web,
–flood permet d’envoyer des paquets le plus rapidement possible vers l’adresse de destination (meta.marty.ci),
-a 192.168.1.1 consiste à usurper cette adresse. L’adresse IP réelle de la machine qui fera l’attaque est : 192.168.1.2.

adresse de l'attaquant

Après exécution de la commande, un coup d’œil dans Wireshark et on constate des milliers de paquets envoyés la seconde vers l’adresse 192.168.1.7, l’adresse du site meta.marty.ci.

paquets envoyés par hping vu par wireshark

Après quelques minutes, le site Web ne fonctionne plus correctement. Ses pages prennent une éternité pour charger. Aucun objet n’est accessible. Plus rien ne marche.

meta-marty.ci ne fonctionne plus correctement

meta-marty.ci ne fonctionne plus correctement

A la fin de l’attaque, nous constatons que 18 267 640 paquets ont été envoyés par hping. Pourtant, cette attaque n’aura duré que 5 petites minutes.

Dans le monde réel, il faudrait beaucoup plus de requêtes pour faire planter les sites Web. D’où l’utilisation des hackers de botnets.
Il existe plusieurs techniques pour prévenir ces attaques. L’utilisation des systèmes IDS/IPS, des pare-feu entre autres peuvent aider les compagnies à protéger les sites Web.

Cet article est le premier d’une série sur hping.

Merci pour votre attention,

mdestroy

Sources:
_ Sebsauvage.net: C’est quoi TCP/IP ?
_ hping
_ Wikipédia.org: Attaque par déni de service
_ Wikipédia.org: Three-way Handshake
_ Securiteinfo.com: Le Déni de service

Leave a Reply

Your email address will not be published. Required fields are marked *