Cours 1 : Reseautique Flashcards
Quels sont les objectifs de l’analyse du trafic reseau?
Identifier les trafics réseau qui sont suspects.
Découvrir le réseau qui génère du trafic douteux.
Découvrir la destination du trafic douteux.
Découvrir les sources des attaques de sécurité contre le réseau.
Identifier les problèmes du réseau.
Simple en théorie mais relativement complexe en pratique.
Le prealable est Capture et enregistrement des paquets (fichiers de trafic).
Quelles sont les infos revelles par l’analyse du trafic reseau?
Comment l’intrus a accédé au réseau.
Le parcours de l’intrusion.
Les techniques d’intrusion utilisées.
Les traces laissées par l’intrus et les preuves
Qu’est-ce que l’analyste reseau ne peut faire?
Résoudre seul le cas d’attaque.
Lier un suspect à une attaque.
Quelles sont les principaux types d’attaques contre le reseau?
IP spoofing. Attaque contre le routeur. Ecoute (eavesdropping, sniffing). Dénie de service. Attaque de l’homme du milieu (man-in-the-middle). Altération de données.
Quelles sont les vulnerabilites du routeur?
Vulnérabilité relative à l’authentification HTTP : Avec l’aide de http//router.address/level/$NUMBER/exec/… où $NUMBER est un entier entre 16 et 99, il est possible pour un utilisateur distant d’avoir un complet accès administrateur à un routeur
Vulnérabilité NTP : En envoyant un paquet de contrôle NTP (network time protocol) fabriqué, il est possible de déclencher un buffer overflow dans le démon NTP
Vulnérabilité relative au parsing SNMP : La réception de messages SNMP malformés par un système affecté peut causer l’échec du parsing et du traitement de ces messages, d’où un crash du système ou des tentatives répétées de chargement.
Quelles sont les types d’attaques contre le routeur?
Attaque de dénie de service Empoisonnement de la table de routage Attaque Hit-and-run Attaque de paquet maltraité (Packet-mistreating) Attaques persistantes
Comment peut-on identifier les attaques DoS/DDoS?
Arrêt inhabituel des services réseau.
Indisponibilité d’un site Web particulier.
Augmentation drastique du volume de courriels indésirables (spams).
Quelles sont les types d’attages DOS?
Ping de la mort (ping of death) Teardrop (utilise fragmentation 2003) SYN flooding Smurf (spoofed ICMP) (utilise broadcast adresse 2003) Buffer Overflow attack SIP INVITE Flood Attacks Encrypted SSL DDoS Attacks
Quelles sont les odes d’action DoS?
Connectivité réseau Manque de ressources internes Consommation de la bande passante Consommation des ressources Destruction ou altération des informations de configuration
Quelles sont les techniques de detection des attaques DoS?
Profilage d’activité
Surveillance de l’utilisation du CPU
Utilisation de Cisco NetFlow
Utilisation des systèmes de détection d’intrusion réseau (NIDS)
Decrire ce qu’est un DNS AMPLIFICATION ATTACK.
The attacker triggers and directs the compromised machines to begin the attack
The compromised machines send a DNS query for the domain example.com and set the source IP address to the victim’s IP address
The open resolver servers ask the upstream name server(s) the location of example.com
The name server sends a reply back to the open recursive servers
The open recursive servers send DNS responses to the victim
Comment identifie-t-on des attaques web?
Incapacité de l’utilisateur à accéder aux services en ligne.
Redirection des URLs bien saisis vers des sites indésirables.
Diminution inhabituelle des performances du réseau.
Redémarrage fréquent du serveur.
Anomalies dans les fichiers journaux (log).
Quelles sont les types d’attaque
Cross-site scripting (XSS). Cross-site request forgery (CSRF). Injection SQL. Injection de code. Injection de commande. Falsification de paramètre (parameter tampering). Empoisonnement de cookie (cookie poisoning). Buffer overflow. Espionnage de cookie (cookie snooping). Attaque de protocoles dans la DMZ. Zero-day attack. Détournement d’authentification (authentication hijacking). Directory traversal. Falsification de journal (log tampering). Interception cryptographique. Interprétation d’URL. Usurpation d’identité.
Qu’est-ce que du cross-site scripting? Nommer aussi deux types d’attaques XSS et les decrire.
Une page web dynamique exécute du code (script) malicieux sur le system de l’utilisateur.
Deux types d’attaques XSS
XSS Stocké : le code malicieux est stocké en permanence sur un serveur web cible, dans une base de données, un message de forum ou dans le journal du visiteur. Le visiteur est infecté dès l’exécution des données reçues de la source.
XSS réfléchie : Le code malicieux parvint à l’utilisateur de diverses autres manières comme le courriel. Il est par suite transmit à tous serveurs Web (vulnérables) auxquels l’utilisateur adresse des requêtes.
Qu’est-ce que Cross-site Request Forgery (CSRF)?
L’attaquant force la victime à soumettre au serveur Web victime un formulaire préparé par l’attaquant.
Le formulaire soumis par l’attaquant permet de forger une requête.
Le serveur Web accepte les données du formulaire car provenant d’un utilisateur de confiance.
Utilisation d’expressions régulières pour détecter l’attaque