j'ai compris

Types d'attaques de réseau

publié il y a  2021-7-19 12:35:59 307 0 0 0 0

Attaque par déni de service (DoS)

L'idée d'une attaque DOS est de réduire la qualité de service offerte par le serveur, ou de faire planter le serveur avec une charge de travail importante. L'attaque DoS (Denial of Service) n'implique pas de s'introduire dans le serveur cible. Ceci est normalement réalisé soit en surchargeant le réseau cible ou le serveur cible, soit en envoyant des paquets réseau qui peuvent provoquer une confusion extrême sur le réseau cible ou le serveur cible.

Une attaque par "déni de service" est caractérisée par une tentative explicite des attaquants d'empêcher les utilisateurs légitimes d'un service d'utiliser ce service. Certains des exemples sont

• Tente d'« inonder » un réseau, empêchant ainsi le trafic réseau légitime.

• Tente de perturber les connexions entre deux machines, empêchant ainsi l'accès à un service.

• Tente d'empêcher une personne en particulier d'accéder à un service.

• Tente de perturber le service d'un système ou d'une personne spécifique.

Une simple attaque DoS (Denial of Service) a été appelée le "Ping of Death". Le Ping of Death a pu exploiter un simple outil de ping de dépannage TCP/IP. En utilisant l'outil ping, les pirates inonderaient un réseau de requêtes de paquets volumineux qui pourraient finalement faire planter le serveur cible.

 

Comment minimiser l'impact des attaques par déni de service (DoS)

 

L'impact d'une attaque par déni de service (DoS) peut être minimisé si vous prenez des précautions contre cela. Les conseils suivants peuvent aider à minimiser les attaques par déni de service (DoS).

•              Surveillez les performances du système du serveur et tabulez l'activité d'exploitation normale pour le trafic disque, CPU et réseau. Surveillez les performances du système du serveur pour détecter tout écart par rapport aux valeurs ci-dessus.

•              Surveillez la quantité de paquets réseau et le type de nature qui transitent par votre réseau ou vos passerelles.

•              Mettez à jour votre logiciel avec n'importe quelle mise à jour disponible et surveillez toujours les rapports des organisations de sécurité sur toute nouvelle menace.

•              Mettre en œuvre des dispositifs de sécurité réseau capables de détecter toute attaque par déni de service (DoS).

•              Enregistrez les détails de toute attaque par déni de service (DoS) pour empêcher de futures attaques. Connectez-vous et rapportez les détails suivants :

   L'heure de l'attaque

   Votre adresse IP au moment de l'attaque

   L'adresse IP de l'attaquant

   Autres détails et nature de l'attaque

•              Signalez les détails de l'attaque à votre fournisseur de services et demandez son aide.

 

Attaque par déni de service distribué (DDoS)

Une attaque par déni de service distribué (DDoS) est un type de déni de service (DoS). Dans les attaques par déni de service distribué (DDoS), plusieurs systèmes inondent la bande passante ou surchargent les ressources d'un serveur ciblé.

Dans le déni de service distribué (DDoS), un intrus compromet un ordinateur et en fait le maître du déni de service distribué (DDoS). À l'aide de ce maître de déni de service distribué (DDoS), l'intrus identifie et communique avec d'autres systèmes qui peuvent être compromis. Ensuite, l'intrus installe des outils de déni de service distribué (DDoS) sur tous les systèmes compromis. Avec une seule commande, l'intrus demande aux ordinateurs compromis de lancer des attaques par inondation contre le serveur cible. Ici, des milliers d'ordinateurs compromis inondent ou surchargent les ressources du serveur cible, empêchant les utilisateurs légitimes d'accéder aux services offerts par le serveur.

attaque SYN

Avant de comprendre ce qu'est l'attaque SYN, nous devons connaître le mécanisme de négociation à trois voies TCP/IP. La session TCP/IP (Transmission Control Protocol/Internet Protocol) est lancée avec une poignée de main à trois voies. Les deux ordinateurs communicants échangent un SYN, un SYN/ACK et un ACK pour initier une session. L'ordinateur initiateur envoie un paquet SYN, auquel l'hôte répondant émettra un SYN/ACK et attendra une réponse ACK de l'initiateur. Cliquez sur le lien suivant pour en savoir plus sur  le  mécanisme de négociation à trois voies TCP/IP .

L'attaque par inondation SYN est le type d'attaque par inondation le plus courant. L'attaque se produit lorsque l'attaquant envoie un grand nombre de paquets SYN à la victime, la forçant à attendre des réponses qui ne viennent jamais. La troisième partie de la négociation à trois voies TCP n'est pas exécutée. Étant donné que l'hôte attend un grand nombre de réponses, les vraies demandes de service ne sont pas traitées, ce qui entraîne l'arrêt du service. L'adresse source de ces paquets SYN dans une attaque par inondation SYN est généralement définie sur un hôte inaccessible. En conséquence, il est impossible de trouver l'ordinateur attaquant.

Les cookies SYN offrent une protection contre le flux SYN. Un cookie SYN est implémenté en utilisant un numéro de séquence TCP initial spécifique par le logiciel TCP et est utilisé comme défense contre les attaques SYN Flood. En utilisant des pare-feu avec état qui réinitialisent les connexions TCP en attente après un délai d'expiration spécifique, nous pouvons réduire l'effet de l'attaque SYN.

Attaque par renifleur

Un renifleur est une application qui peut capturer des paquets réseau. Les renifleurs sont également appelés analyseurs de protocole réseau. Alors que les analyseurs de protocoles sont vraiment des outils de dépannage réseau, ils sont également utilisés par les pirates pour pirater le réseau. Si les paquets réseau ne sont pas cryptés, les données contenues dans le paquet réseau peuvent être lues à l'aide d'un renifleur. Le reniflage fait référence au processus utilisé par les attaquants pour capturer le trafic réseau à l'aide d'un renifleur. Une fois le paquet capturé à l'aide d'un renifleur, le contenu des paquets peut être analysé. Les renifleurs sont utilisés par les pirates pour capturer des informations réseau sensibles, telles que des mots de passe, des informations de compte, etc.

De nombreux renifleurs sont disponibles en téléchargement gratuit. Les principaux renifleurs de paquets sont Wireshark, Dsniff, Etherpeek, sniffit, etc.

Attaque de l'homme du milieu (MITM)

L'attaque Man-In-The-Middle (MITM) est le type d'attaque où les attaquants s'introduisent dans une communication existante entre deux ordinateurs, puis surveillent, capturent et contrôlent la communication. Dans l'attaque Man-in-the-middle, un intrus assume l'identité d'un utilisateur légitime pour prendre le contrôle de la communication réseau. L'autre extrémité du chemin de communication pourrait croire que c'est vous et continuer à échanger les données.

Les attaques de type « Man-in-the-Middle » (MITM) sont également appelées « attaques de détournement de session », ce qui signifie que l'attaquant détourne la session d'un utilisateur légitime pour contrôler la communication.

De nombreuses méthodes préventives sont disponibles pour les attaques Man-In-The-Middle (MITM) et certaines sont énumérées ci-dessous.

• Technologies d'infrastructure à clé publique (PKI),

• Vérification du délai de communication

• Authentification mutuelle renforcée

Attaque d'usurpation d'adresse IP

L'usurpation d'adresse IP est un type d'attaque lorsqu'un attaquant suppose l' adresse IP (Internet Protocol) source   des paquets IP pour donner l'impression que le paquet provient d'une autre adresse IP valide. Dans l'usurpation d'adresse IP, des paquets IP sont générés avec de fausses adresses IP source afin d'usurper l'identité d'autres systèmes ou de protéger l'identité de l'expéditeur.

Pour expliquer cela clairement, dans l'usurpation d'adresse IP, les informations d'adresse IP placées sur le champ source de l'en-tête IP ne sont pas la véritable adresse IP de l'ordinateur source, d'où provient le paquet. En changeant l'adresse IP source, l'expéditeur réel peut donner l'impression que le paquet a été envoyé par un autre ordinateur et donc la réponse de l'ordinateur cible sera envoyée à la fausse adresse spécifiée dans le paquet et l'identité de l'attaquant est également protégée .

Le filtrage de paquets est une méthode pour empêcher les attaques d'usurpation d'adresse IP. Le blocage des paquets provenant de l'extérieur du réseau avec une adresse source à l'intérieur du réseau (filtrage d'entrée) et le blocage des paquets de l'intérieur du réseau avec une adresse source à l'extérieur du réseau (filtrage de sortie) peuvent aider à prévenir les attaques d'usurpation d'adresse IP.

ARP (Address Resolution Protocol) Attaques d'usurpation ou inondation ARP ou empoisonnement ARP

Un ordinateur connecté à un réseau local IP/Ethernet possède deux adresses. L'un est le MAC (Media Access Control) qui est une adresse mondialement unique et non modifiable qui est gravée sur la carte réseau elle-même. Les adresses MAC sont nécessaires pour que le protocole Ethernet puisse envoyer des données dans les deux sens, indépendamment des protocoles d'application utilisés dessus. Ethernet envoie et reçoit des données en fonction des adresses MAC. L'adresse MAC est également connue sous le nom d'adresse de couche2, d'adresse physique ou d'adresse matérielle.

L'autre adresse est l'adresse IP. IP est un protocole utilisé par les applications, indépendamment de la technologie de réseau exploitée en dessous. Chaque ordinateur sur un réseau doit avoir une adresse IP unique pour communiquer. Les applications utilisent l'adresse IP pour communiquer. L'adresse IP est également connue sous le nom d'adresse de couche 3 ou d'adresse logique.

Pour l'expliquer plus clairement, les applications utilisent l'adresse IP pour la communication et le matériel bas utilise l'adresse MAC pour la communication. Si une application exécutée sur un ordinateur doit communiquer avec un autre ordinateur à l'aide d'une adresse IP, le premier ordinateur doit résoudre l'adresse MAC du deuxième ordinateur, car les technologies Ethernet de couche inférieure utilisent des adresses MAC pour fournir des données. Cliquez sur le lien suivant pour en savoir plus sur  ARP (Address Resolution Protocol) .

Les systèmes d'exploitation conservent un cache des réponses ARP pour minimiser le nombre de requêtes ARP. ARP est un protocole sans état et la plupart des systèmes d'exploitation mettront à jour leur cache si une réponse est reçue, qu'ils aient ou non envoyé une demande réelle.

Les attaques d'usurpation ARP (Address Resolution Protocol) (ARP flooding ou ARP poisoning) aident un attaquant à renifler des trames de données sur un réseau local (LAN), à modifier le trafic, etc. Les attaques d'usurpation ARP sont effectuées en envoyant de faux messages ARP à un réseau local Ethernet. . Le but est d'associer l'adresse MAC de l'attaquant à l'adresse IP d'un autre ordinateur, généralement la passerelle par défaut. Ici, tout trafic envoyé à la passerelle par défaut serait envoyé par erreur à l'attaquant. L'attaquant peut alors transférer le trafic vers la passerelle par défaut réelle après avoir reniflé ou modifier les données avant de les transférer.

Attaques d'usurpation DNS (Domain Name System)

DNS est l'abréviation de Domain Name System. DNS est un service requis dans les réseaux TCP/IP et il traduit les noms de domaine en adresses IP. Les ordinateurs du réseau communiquent en utilisant l'adresse IP. Les adresses IP sont des nombres de 32 bits difficiles à mémoriser. Les noms de domaine sont alphabétiques et pour les humains, ils sont plus faciles à retenir. Lorsque nous utilisons un nom de domaine pour communiquer avec un autre hôte, le service DNS doit traduire le nom en l'adresse IP correspondante.

Les serveurs DNS conservent une base de données des noms de domaine et des adresses IP correspondantes. Les attaques d'usurpation DNS sont effectuées en modifiant une entrée de nom de domaine d'un serveur légitime dans le serveur DNS pour pointer vers une adresse IP autre que celle-ci, puis en détournant l'identité du serveur.

Généralement, il existe deux types d'attaques par empoisonnement DNS ; Empoisonnement du cache DNS et usurpation d'identité DNS.

Dans l'empoisonnement du cache DNS, un serveur DNS est créé pour mettre en cache les entrées qui ne proviennent pas de sources DNS (Domain Name System) faisant autorité. DANS L'usurpation d'identité DNS, un attaquant pirate le numéro d'identification aléatoire dans la requête DNS et répond à une fausse adresse IP en utilisant le numéro d'identification piraté.

Attaques de phishing et de pharming

L'attaque d'usurpation de phishing est une combinaison d'usurpation de courrier électronique et d'attaque d'usurpation de site Web. L'attaquant de phishing lance l'attaque de phishing en envoyant des e-mails en masse se faisant passer pour un site Web qu'il a usurpé. Normalement, les e-mails d'attaque de phishing semblent provenir d'organisations financières légitimes comme les banques, alertant l'utilisateur qu'il doit se connecter à son compte pour une raison ou une autre. Le lien sera également fourni dans l'e-mail, qui est un faux site Web, conçu de manière très similaire au site Web de la banque. Normalement, le texte d'ancrage du lien sera la véritable URL du site Web de la banque, mais l'ancre sera une URL avec l'adresse IP du site Web qui est sous le contrôle de l'attaquant. Une fois que l'utilisateur a saisi la combinaison identifiant/mot de passe et a soumis ces valeurs, l'attaquant collecte ces valeurs et la page Web est redirigée vers le site réel.

Le pharming est une autre attaque d'usurpation d'identité, où l'attaquant falsifie le DNS (Domain Name System) afin que le trafic vers un site Web soit secrètement redirigé vers un faux site, même si le navigateur semble afficher l'adresse Web que vous vouliez visiter.

Attaques de porte dérobée

Une porte dérobée dans un système d'exploitation ou une application complexe est une méthode de contournement de l'authentification normale et d'accès. Lors du développement d'un système d'exploitation ou d'une application, les programmeurs ajoutent des portes dérobées à des fins différentes. Les portes dérobées sont retirées lorsque le produit est prêt pour l'expédition ou la production. Lorsqu'une porte dérobée est détectée, qui n'est pas supprimée, le fournisseur publie une mise à niveau de maintenance ou un correctif pour fermer la porte dérobée.

Un autre type de porte dérobée peut être un programme installé ou une modification d'un programme existant. Le programme installé peut permettre à un utilisateur de se connecter à l'ordinateur sans mot de passe avec des privilèges administratifs. De nombreux programmes sont disponibles sur Internet pour créer des attaques de porte dérobée sur les systèmes. L'un des outils les plus populaires est Back Orifice, qui est également disponible en téléchargement gratuit sur Internet.

Attaques par devinette de mot de passe, attaque par force brute, attaque par dictionnaire

Un autre type d'attaque réseau est l'attaque par devinette de mot de passe. Ici, les droits d'accès d'un utilisateur légitime à un ordinateur et aux ressources du réseau sont compromis en identifiant la combinaison identifiant/mot de passe de l'utilisateur légitime.

Les attaques par devinette de mot de passe peuvent être classées en deux.

•              Attaque par force brute : une attaque par force brute est un type d'attaque par devinette de mot de passe et consiste à essayer tous les codes, combinaisons ou mots de passe possibles jusqu'à ce que vous trouviez le bon. Ce type d'attaque peut prendre beaucoup de temps. Un mot de passe complexe peut allonger le temps d'identification du mot de passe par force brute.

•              Attaque par dictionnaire : une attaque par dictionnaire est un autre type d'attaque par devinette de mot de passe qui utilise un dictionnaire de mots courants pour identifier le mot de passe de l'utilisateur.

Attaques par injection SQL

L'attaque par injection SQL est un autre type d'attaque pour exploiter des applications qui utilisent des données fournies par le client dans des instructions SQL. Ici, le code malveillant est inséré dans des chaînes qui sont ensuite transmises à l'application de base de données pour l'analyse et l'exécution. La méthode courante d'attaque par injection SQL est l'insertion directe de code malveillant dans des variables d'entrée utilisateur qui sont concaténées avec des commandes SQL et exécutées. Un autre type d'attaque par injection SQL injecte du code malveillant dans des chaînes et est stocké dans des tables. Une attaque par injection SQL est effectuée ultérieurement par l'attaquant.

L'exemple suivant montre la forme la plus simple d'injection SQL.

var ID utilisateur ;
UserID = Request.form ("UserID");
var InfoUser = "select * from UserInfo où UserID = '" + UserID + "'" ;

Si l'utilisateur remplit le champ avec les informations correctes de son ID utilisateur (F827781), après l'exécution du script, la requête SQL ci-dessus ressemblera à

SELECT * FROM UserInfo WHERE UserID = 'F827781'

Prenons le cas où un utilisateur remplit le champ avec l'entrée ci-dessous.

F827781 ; déposer la table UserInfo--

Après l'exécution du script, le code SQL ressemblera à

SELECT * FROM UserInfo WHERE UserID = ' F827781'; déposer la table UserInfo--

Cela entraînera finalement la suppression de la table UserInfo.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.