LOGOProjet TuteuréRéalisé Par :- ELGAMANI Youness- RHATTAS Mohamed Adam- GHALLAB YassineSystèmes de detection et de preven...
Plan du jourAttaques réseau32Introduction1Anatomie d’une attaque2Attaques applicative4IGA Marrakech – 4ISRI ©2012-2013Conc...
Introduction3Détection d‟intrusion (IDS)IGA Marrakech – 4ISRI ©2012-2013
Suite …. Inconvénients– Peut paralyser le réseau4IGA Marrakech – 4ISRI ©2012-2013 Avantages– Attaque bloquée immédiateme...
Attaques réseau35Introduction1Anatomie d’une attaque2Attaques applicative4IGA Marrakech – 4ISRI ©2012-2013Conclusion5
Anatomie d’une attaque6 ProbeDans un premier temps, une personne mal intentionnée va chercher les faillespour pénétrer le...
7 PropagateLe réseau est infiltré, laccès est pérein. Le pirate pourra alors explorer le réseau ettrouver de nouvelles ci...
Attaques réseau38Introduction1Anatomie d’une attaque2Attaques applicative4IGA Marrakech – 4ISRI ©2012-2013Conclusion5
Dans cette section9SpoofingScansDenie deservicesLesAttaquesReseau
Dans cette section10ScansLesAttaquesReseau
Scan11IGA Marrakech – 4ISRI ©2012-2013Phase: ProbePrincipe: Manipuler des failles liées leur implémentation.Buts: Identi...
Scan Simple / Connect12 Consiste à établir une connexion TCP complète sur une suite de ports. S‟il arrive à se connecter...
Scan Furtif / SYN13 N‟établit pas complètement la connexion, Apparait comme du trafic légitime, Bien plus furtive que l...
Scan Xmas, FIN, NULL14
Dans cette section15SpoofingScansLesAttaquesReseau
Spoofing16Phase: PénetrationObjectifs: Cacher l‟identité du générateur du trafic ciculant, Usurper lidentité dune entité...
IP Spoofing17But : usurper l‟adresse IP d‟une autre machine.Finalité : Se faire passer pour une autre machine en truquant...
ARP Spoofing18But : Rediriger le trafic d‟une machine vers une autre.Finalité : La même que l‟IP spoofing mais on travai...
DNS Spoofing19But : Fournir de fausses réponses aux requêtes DNS, Indiquer une fausse adresse IP pour un nom de domaine....
Dans cette section20SpoofingScansDenie deservicesLesAttaquesReseau
21Le déni de service (DoS)InternetWebMailFTPssh…Objectifs:Moyens utilisés : Faille du protocole TCP/IP, Saturation de la...
 Connexion TCP classique:Primitive C: connect(socket, addr_dest, longueur_addr)RAM victimeAdresse IP client Adresse IP se...
23 Connexion TCP pirate:SYN séq=x1Ram victimeAdresse IPinexistanteAdresse IP victime TCPPirate Victimey1Connexionsemi ouv...
DNS ID Spoofing24VictimDNS Local DNS RacineServ.hackeriga-marrakech.maBotsnetsIPiga-marrakech.ma?IPiga-marrakech.ma???Code...
DNS Cache Spoofing25VictimDNS LocalServ.hacker172.16.16.7iga-marrakech.ma81.192.102.143??IP Serv.Hacker!!L‟adresse IP deig...
Plan du jourAttaques réseau326Introduction1Anatomie d’une attaque2Attaques applicatives4IGA Marrakech – 4ISRI ©2012-2013Co...
Attaques applicatives271) Les problèmes de configuration Il est très rare que les administrateurs réseaux configurent cor...
282) Les bugs Liés à un problème dans le code source, ils peuvent amener àl‟exploitation de failles . Il n‟est pas rare d...
294 ) Les scripts Principalement web (ex : Perl, PHP, ASP), ils s‟exécutent sur un serveur etrenvoie un résultat au clien...
30 Tout comme les attaques de scripts, les injections SQL profitent deparamètres d‟entrée non vérifiés. Comme leur nom l‟...
31IGA Marrakech – 4ISRI ©2012-2013
LOGO32ConclusionIGA Marrakech – 4ISRI ©2012-2013
33IGA Marrakech – 4ISRI ©2012-2013Prochaine soutenance
LOGO34Merci pour votre attentionIGA Marrakech – 4ISRI ©2012-2013
Prochain SlideShare
Chargement dans…5
×

pres2

377 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
377
Sur SlideShare
0
Issues des intégrations
0
Intégrations
14
Actions
Partages
0
Téléchargements
4
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

pres2

  1. 1. LOGOProjet TuteuréRéalisé Par :- ELGAMANI Youness- RHATTAS Mohamed Adam- GHALLAB YassineSystèmes de detection et de prevention des intrusionsIDS/IPSEncadré Par :M. ACHAHOD SamirM. DE LOPEZ CyrilM. AIT IBOURK Lahcen1IGA Marrakech – 4ISRI ©2012-2013
  2. 2. Plan du jourAttaques réseau32Introduction1Anatomie d’une attaque2Attaques applicative4IGA Marrakech – 4ISRI ©2012-2013Conclusion5
  3. 3. Introduction3Détection d‟intrusion (IDS)IGA Marrakech – 4ISRI ©2012-2013
  4. 4. Suite …. Inconvénients– Peut paralyser le réseau4IGA Marrakech – 4ISRI ©2012-2013 Avantages– Attaque bloquée immédiatementprévention dintrusion (IPS )
  5. 5. Attaques réseau35Introduction1Anatomie d’une attaque2Attaques applicative4IGA Marrakech – 4ISRI ©2012-2013Conclusion5
  6. 6. Anatomie d’une attaque6 ProbeDans un premier temps, une personne mal intentionnée va chercher les faillespour pénétrer le réseau . PenetrateUne fois une ou plusieurs failles identifiées, le pirate va chercher à les exploiterafin de pénétrer au sien du SI PersistLe réseau infiltré, le pirate cherchera à y revenir facilement. Pour cela, ilinstallera par exemple des back doors. Cependant, en général, il corrigera lafaille par laquelle il sest introduit afin de sassurer quaucun autre piratenexploitera sa cible.IGA Marrakech – 4ISRI ©2012-2013
  7. 7. 7 PropagateLe réseau est infiltré, laccès est pérein. Le pirate pourra alors explorer le réseau ettrouver de nouvelles cibles qui linterresseraient. ParalyzeLes cibles identifiées, le pirate va agir et nuire au sein du SI.IGA Marrakech – 4ISRI ©2012-2013
  8. 8. Attaques réseau38Introduction1Anatomie d’une attaque2Attaques applicative4IGA Marrakech – 4ISRI ©2012-2013Conclusion5
  9. 9. Dans cette section9SpoofingScansDenie deservicesLesAttaquesReseau
  10. 10. Dans cette section10ScansLesAttaquesReseau
  11. 11. Scan11IGA Marrakech – 4ISRI ©2012-2013Phase: ProbePrincipe: Manipuler des failles liées leur implémentation.Buts: Identifiers les hôtes active, Les ports ouverts, les services executes.
  12. 12. Scan Simple / Connect12 Consiste à établir une connexion TCP complète sur une suite de ports. S‟il arrive à se connecter, le port est ouvert ; sinon, il est fermé. Cette méthode de scan est efficace cependant est très facilement détectable.
  13. 13. Scan Furtif / SYN13 N‟établit pas complètement la connexion, Apparait comme du trafic légitime, Bien plus furtive que le scan normal.
  14. 14. Scan Xmas, FIN, NULL14
  15. 15. Dans cette section15SpoofingScansLesAttaquesReseau
  16. 16. Spoofing16Phase: PénetrationObjectifs: Cacher l‟identité du générateur du trafic ciculant, Usurper lidentité dune entité de confiance, Empêche l‟attaquant d‟être facilement tracer.
  17. 17. IP Spoofing17But : usurper l‟adresse IP d‟une autre machine.Finalité : Se faire passer pour une autre machine en truquant les paquets IP. Utile dans le cas où l‟authentification est basée sur l‟adressage IP (servicestels que rlogin ou ssh par exemple).Déroulement : Modifier les paquets IP ou créer ses propres paquets en spécifiant une adresseIP différente de celle que l‟on possède, et ainsi se faire passer pour une autre «machine ». Variété d‟outils et de méthode d‟utilisation.
  18. 18. ARP Spoofing18But : Rediriger le trafic d‟une machine vers une autre.Finalité : La même que l‟IP spoofing mais on travaille ici au niveau de la couche liaison dedonnées.Déroulement : Corrompre le cache ARP de la victime, à travers l‟envoie de multiples trames ARPen lui indiquant l‟adresse IP d‟une autre machine de confiance. Les caches ARP étant régulièrement vidés, il faudra veiller à maintenirl‟usurpation. Re-router les paquets qu‟il reçoit vers le véritable destinataire, ainsi l‟utilisateurusurpé ne se rendra compte de rien.
  19. 19. DNS Spoofing19But : Fournir de fausses réponses aux requêtes DNS, Indiquer une fausse adresse IP pour un nom de domaine.Finalité : Rediriger, des Internautes vers des sites pirates, Récupérer toutes sortes d‟informations.Déroulement : DNS Cache Poisoning DNS ID Spoofing
  20. 20. Dans cette section20SpoofingScansDenie deservicesLesAttaquesReseau
  21. 21. 21Le déni de service (DoS)InternetWebMailFTPssh…Objectifs:Moyens utilisés : Faille du protocole TCP/IP, Saturation de la bande passante, Bugs dans les applications. Empêcher l’accès à un service, Isoler une machine du réseau
  22. 22.  Connexion TCP classique:Primitive C: connect(socket, addr_dest, longueur_addr)RAM victimeAdresse IP client Adresse IP serveur TCPDatagramme IP
  23. 23. 23 Connexion TCP pirate:SYN séq=x1Ram victimeAdresse IPinexistanteAdresse IP victime TCPPirate Victimey1Connexionsemi ouverteSYN séq=x2SYN séq=x3y2y3Saturationbuffer desconnexionsLinux: Time-out pour la file d’attente des connexions en cours d’établissement = 180 secondes
  24. 24. DNS ID Spoofing24VictimDNS Local DNS RacineServ.hackeriga-marrakech.maBotsnetsIPiga-marrakech.ma?IPiga-marrakech.ma???Code secret ?“Attaquez!!”IP Serv.HackerIP Serv.Hacker!!DDoS Attack
  25. 25. DNS Cache Spoofing25VictimDNS LocalServ.hacker172.16.16.7iga-marrakech.ma81.192.102.143??IP Serv.Hacker!!L‟adresse IP deiga-marrakech.ma172.16.16.7Iga-marrakech.ma ?Botnet
  26. 26. Plan du jourAttaques réseau326Introduction1Anatomie d’une attaque2Attaques applicatives4IGA Marrakech – 4ISRI ©2012-2013Conclusion5
  27. 27. Attaques applicatives271) Les problèmes de configuration Il est très rare que les administrateurs réseaux configurent correctementun programme. En général, ils se contentent d‟utiliser les configurationspar défaut.ex : login/mdp par défaut d‟un serveur de base de données „ Les erreurs peuvent apparaître lors de la configuration d‟un logiciel. Unemauvaise configuration d‟un serveur peut entraîner l‟accès à des fichiersimportantIGA Marrakech – 4ISRI ©2012-2013
  28. 28. 282) Les bugs Liés à un problème dans le code source, ils peuvent amener àl‟exploitation de failles . Il n‟est pas rare de voir l‟exploitation d‟unemachine suite à une simple erreur de programmation.3 ) Les buffer overflows Les buffer overflows, ou dépassement de la pile, sont une catégorie debug particulière. Issus d‟une erreur de programmation, ils permettentl‟exploitation d‟un shellcode3 à distance. Ce shellcode permettra à unepersonne mal intentionnée d‟exécuter des commandes sur le systèmedistant, pouvant aller jusqu‟à sa destruction.IGA Marrakech – 4ISRI ©2012-2013
  29. 29. 294 ) Les scripts Principalement web (ex : Perl, PHP, ASP), ils s‟exécutent sur un serveur etrenvoie un résultat au client. Cependant, lorsqu‟ils sont dynamiques (ilsutilisent des entrées saisies par un utilisateur). L‟exemple classique est l‟exploitation de fichier à distance, tel quel‟affichage du fichier mot de passe du système en remontant l‟arborescencedepuis le répertoire web.IGA Marrakech – 4ISRI ©2012-2013
  30. 30. 30 Tout comme les attaques de scripts, les injections SQL profitent deparamètres d‟entrée non vérifiés. Comme leur nom l‟indique, le but desinjections SQL est d‟injecter du code SQL dans une requête de base dedonnées. Ainsi, il est possible de récupérer des informations se trouvantdans la base (exemple : des mots de passe) ou encore de détruire desdonnées.5 ) Les injections SQL6 ) Man in the middle Moins connue, mais tout aussi efficace, cette attaque permet de détournerle trafic entre deux stations.IGA Marrakech – 4ISRI ©2012-2013
  31. 31. 31IGA Marrakech – 4ISRI ©2012-2013
  32. 32. LOGO32ConclusionIGA Marrakech – 4ISRI ©2012-2013
  33. 33. 33IGA Marrakech – 4ISRI ©2012-2013Prochaine soutenance
  34. 34. LOGO34Merci pour votre attentionIGA Marrakech – 4ISRI ©2012-2013

×