Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Les attaques « classiques » : interception de trafic, dénis de service (2/10)

Les attaques « classiques » : interception de trafic, dénis de service (2/10)
2011-09-132013-02-27sériesfr
En préalable à une attaque, il faut collecter des informations sur le réseau. Sur un LAN bureautique configuré sans précautions, il suffit d'écouter l'activité pour récolter de nombreuses informations. Un PC bureautique et un programme spécial appelé « sniffer » suffisent. Ainsi,...
Publié le 13 Septembre 2011 par Pascal Bonnard dans séries

Il s’agit ici des quelques attaques dont on peut trouver la mention suite à une recherche sur la toile. Notons toutefois que la qualité de la documentation n’est pas toujours au rendez-vous. Sans être exhaustif, voici celles qui me viennent en tête :

1) en préalable à une attaque, il faut collecter des informations sur le réseau.

Sur un LAN bureautique configuré sans précautions, il suffit d’écouter l’activité pour récolter de nombreuses informations. Un PC bureautique et un programme spécial appelé « sniffer » suffisent. Ainsi, Gaston utilise Wireshark, un excellent sniffer gratuit qu’il exécute depuis une clef USB.

Ceci est un moyen discret, simple et efficace pour collecter par exemple les adresses physiques et les adresses IP présentes sur le LAN. D'autres informations intéressantes sur les équipements de réseaux et les serveurs présents peuvent aussi être collectées...

Une configuration avisée permet ainsi de réduire considérablement la moisson, tout en limitant les possibilités d’attaque. Il est difficile de faire mieux : un sniffer est passif, et malgré tous ses efforts, l’agent Lontarin ne peut espérer le détecter.

2) le vol d’adresse

Après avoir collecté les adresses de niveau 2 et 3 de ses victimes, l’attaquant peut aisément détourner le trafic vers ses outils. On trouve par exemple des programmes capables d’intercepter les noms de comptes et les mots de passe associés.

3) la saturation de la table d’adresses physiques du switch (mac@ flooding).

Cette attaque amène le switch à diffuser toutes les trames vers toutes les interfaces. L’attaquant peut ainsi voir tout ou partie du traffic qui traverse le switch. Toutefois, il est très probable que les données récoltées seront incomplètes.

La parade classique consiste à limiter le nombre d’adresses autorisées sur un port (sur Catalyst, « switchport port-security »).

que faire ?

Une bonne pratique consiste à désactiver les protocoles inutiles et à empêcher que les PC puissent communiquer entre eux au niveau 2. De la sorte, le sniffer verra beaucoup moins de choses et cela réduira considérablement l’impact de l’attaque.

En ce qui concerne les dénis de service (DoS attack) ce sont des attaques bêtes et méchantes, puisqu’il s’agit de perturber une interface, voire un VLAN, ou même le fonctionnement de tout un switch. Ces attaques ne sont pas discrètes et peu sélectives...

Quelques exemples d’attaques :
- perturber le fonctionnement des protocoles de niveau 2 comme STP, VTP, CDP. Ces points seront détaillés par la suite.
- générer des trames irrégulières au niveau 2 ou au niveau 3. Le switch, plein de bonne volonté, les normalise mais, pour cela, il consomme de la CPU. Avec seulement 2000 « mauvaises » trames par secondes, on peut consommer toute la puissance CPU d’un Catalyst 3750.

Vos remarques, questions et autres interventions sont les bienvenues.

Pascal

les articles de la série "Ethernet" :

Ethernet, un niveau à ne pas négliger
Les attaques « classiques » : interception de trafic, dénis de service
A éliminer d’urgence : DTP
Les VLANs pour les Nuls : je configure les VLANs de mes trunks bien propres
Les VLANs pour les Nuls : VTP / MRP
Les boucles et les tempêtes : STP et comment s’en dispenser
L’art d’en dire trop : CDP et LLDP
Incroyable, mais vrai : CTP loopback
A utiliser sans (trop) d’ illusions : LAG (PaGP, LACP)
Conclusion, la configuration ultime pour mes switches

© Tilio & Paolo - Fotolia.com

1 Commentaire

  • 3 Décembre 2014
    2014-12-03
    par
    Gab
    Cette suite d'article est vraiment super. Merci d'avoir partagé votre expérience :D!

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage