[Dr.WoW] [No.13] Attaque et défense à un seul paquet

87 0 0 0

1 attaque DoS

Dans les deux chapitres précédents, nous avons appris que la principale fonction d'un pare-feu est de protéger un réseau particulier des attaques 

d'un réseau non sécurisé. Dans ce chapitre, nous allons apprendre les attaques communes à un seul paquet, basées sur le trafic et au niveau 

application, ainsi que les mesures de défense du pare-feu.


Tout d’abord, revenons sur l’évolution récente des attaques. Dans les années 90, Internet connaissait une croissance rapide, de même que les 

attaques, qui étaient passées des laboratoires à Internet. Cependant, un renard peut être renardé. Bien que les techniques d'attaque impliquent, 

les mesures de défense le sont aussi, comme le montre la figure 1-1.


Figure 1-1 Evolution des techniques d'attaque et de défense

555a8efbef26a.png

Lorsque nous parlons d '"attaques de réseau", nous ne pouvons jamais oublier de mentionner les attaques par déni de service (DoS). Comme son 

nom l'indique, le but d'une attaque par déni de service est d'empêcher l'ordinateur ou le réseau cible de fournir des services normaux.


Alors que signifie vraiment "déni de service"? Supposons qu'il y ait un restaurant dans la rue servant des repas, mais que certains malfaiteurs lui 

posent souvent des problèmes, tels qu'occuper des tables, bloquer la porte ou harceler des serveurs, des serveuses ou des chefs afin que les 

clients ne puissent pas profiter de l'inondation du restaurant. . C'est un "déni de service".


Les ordinateurs et les serveurs sur Internet ressemblent aux clients et fournissent des ressources et des services. Les attaquants peuvent épuiser 

les ressources des ordinateurs et des serveurs ou la bande passante de leurs liens pour lancer une attaque par déni de service.


2 attaque par paquet unique et défense


L’attaque par un seul paquet est une attaque DoS courante et est généralement lancée par des individus utilisant de simples paquets d’attaque.

De telles attaques peuvent provoquer de graves impacts, mais peuvent être facilement évitées si nous connaissons la signature de l'attaque.


Nous divisons les attaques par paquets uniques en trois types, comme illustré à la figure 1-2.

Figure 1-2 Types d'attaques à un seul paquet


555a8f0ad5dc1.png


* Attaque de paquet mal formé: les attaquants envoient des paquets mal formés. Les systèmes cibles peuvent tomber en panne s'ils ne peuvent 

pas traiter de tels paquets.


* Attaque par balayage: Pour être précis, les attaques par balayage ne sont pas vraiment des attaques, mais des activités de reconnaissance pour 

des attaques.


Attaques utilisant des messages de contrôle spéciaux: pour être précis, ces attaques ne sont pas vraiment des attaques, mais des activités de 

reconnaissance pour des attaques. Ils utilisent des messages de contrôle spéciaux pour sonder les structures de réseau.


La prévention des attaques par un seul paquet est une fonction de base des pare-feu. Tous les pare-feu Huawei prennent en charge cette fonction. 

Voyons maintenant comment les pare-feux Huawei empêchent les attaques typiques par un seul paquet.


2.1 Ping of Death Attack et Defense

Le champ de longueur d'un paquet IP a 16 bits, ce qui signifie que la longueur maximale de ce paquet IP est de 65 535 octets. Certaines 

anciennes  versions des systèmes d'exploitation imposent des restrictions sur la taille des paquets. Si un paquet dépasse 65 535 octets, une 

erreur d'allocation de mémoire se produit et le système récepteur se bloque. L'attaque ping de la mort est lancée en envoyant des paquets de 

plus de 65 535 octets aux hôtes cibles pour les bloquer.


Pour empêcher de telles attaques, le pare-feu vérifie la taille des paquets. Si un paquet dépasse 65535 octets, le pare-feu le considère comme un 

paquet d’attaque et l’élimine.


2.2 LAND Attaque et défense 

Dans une attaque local area network denial (LAND), l'attaquant envoie des paquets TCP usurpés avec l'adresse IP de l'hôte cible comme source 

et destination. Cela amène la victime à se répondre continuellement pour épuiser les ressources de son système.


Pour empêcher les attaques LAND, les pare-feu vérifient les adresses source et de destination des paquets TCP et les ignorent si les adresses 

source et de destination sont identiques ou si les adresses source sont des adresses en boucle.


2.3 Balayage IP

Un attaquant utilise des paquets ICMP (tels que des commandes ping ou Tracert) ou des paquets TCP / UDP pour établir les connexions avec 

certaines adresses IP afin de vérifier si les cibles répondent. De cette manière, l'attaquant peut déterminer si ces hôtes sont en direct sur le réseau.


L'analyse IP n'a pas d'impact direct, c'est une méthode de reconnaissance qui collecte des informations pour des attaques ultérieures. Cependant, 

les pare-feu n'ignoreront pas l'analyse IP.


Les pare-feu inspectent les paquets TCP, UDP et ICMP. Si l'adresse de destination d'un paquet envoyé à partir d'une adresse source est différente 

de celle du paquet précédent, le nombre d'exceptions augmentera de 1. Lorsque le nombre d'exceptions atteint le seuil prédéfini, les pare-feu 

considèrent que l'adresse IP source effectue une adresse IP. balayage. Ensuite, les pare-feu mettent en liste noire l'adresse IP source et 

suppriment les paquets suivants de la source.


2.4 Configurations recommandées pour la prévention des attaques par un seul paquet

Les pare-feu ont de nombreuses fonctions de défense pour empêcher les attaques par un seul paquet. Cependant, dans les réseaux réels, 

quelles fonctions doivent être activées et lesquelles ne le devraient pas? Cette question devait nous déranger depuis longtemps. Pour résoudre 

ce problème, certaines configurations recommandées sont fournies comme suit:


Comme le montre la figure 1-3, les configurations recommandées permettent aux pare-feu d'empêcher les attaques par un seul paquet sans 

compromettre les performances dans les réseaux du monde réel. Les fonctions de défense contre les attaques par balayage nécessitent beaucoup 

de ressources. Par conséquent, il vous est conseillé d'activer ces fonctions uniquement en cas d'attaque par balayage.


Figure 1-3 Configurations recommandées pour empêcher les attaques par un seul paquet


555a8f229c7df.png


Le tableau 1-1 répertorie les commandes permettant d'activer les fonctions de défense sur l'USG9500 V300R001, par exemple pour empêcher 

les attaques courantes par un seul paquet.


Tableau 1-1 Commandes permettant d'activer les fonctions de défense contre les attaques par un seul paquet

Fonction

Commande

Activer la défense Smurf attack 

firewall defend smurf enable

Activer la défense  LAND attack 

firewall defend land enable

Activer la défense  Fraggle attack 

firewall defend fraggle enable

Activer la défense  WinNuke attack 

firewall defend winnuke enable

Activer la défense  ping of death attack 

firewall defend ping-of-death enable

Activez la défense contre les attaques lancées via des paquets IP avec l'option d'horodatage (timestamp) définie.

firewall defend time-stamp enable

Activez la défense contre les attaques lancées via des paquets IP avec l'option d'enregistrement d'itinéraire (record route) définie

firewall defend route-record enable


En réalité, les attaques par un seul paquet ne représentent qu'une petite partie des attaques du réseau. Les attaques réseau les plus courantes 

et les plus gênantes sont les attaques basées sur le trafic (telles que les inondations SYN et UDP) et la couche applicative (telles que les 

inondations HTTP et DNS), qui seront décrites dans les sections suivantes.



This post was last edited by Oussema at 2019-03-01 17:39.
  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier