Avant de commencer je dois vous préciser que si vous êtes déjà pro dans le sujet , si vous le connaissez par cœur , si ça ne vous intéresse pas la culture générale of da underground , c’est pas la peine de continuer à lire , pis coté DiScLaIm3r , y’en a pas , vu que c’est pas la peine
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
En anglais c’est une « saturation attack » ou bien saturation computer attack , denial of service attack , DOSA , ditributed denial of service , DDOS , distributed denial-of-service attack .
En français c’est une attaque par saturation , bon comme évident et comme vous l’aurez sans doute remarqué toutes les langues sont d’accord sur le faite que c’est avant tout une attaque qui consiste à saturer la cible « lors qu’on dit saturer c’est surtout la partie mémoire de la cible ». encors une fois ; dans le dictionnaire français on trouve que c’est une Attaque informatique qui consiste à envoyer des milliers de messages depuis des dizaines d'ordinateurs, dans le but de submerger les serveurs d'une société, de paralyser pendant plusieurs heures son site Web et d'en bloquer ainsi l'accès aux internautes.
Note(s): Cette technique de piratage, assez simple à réaliser, est possible grâce à certains logiciels qui donnent l'instruction à des dizaines de serveurs d'inonder de messages (à un rythme de un par seconde) des sites Web, souvent des sites commerciaux connus, pour provoquer un blocage du système informatique, appelé refus de service ou déni de service. Ces cyberattaques, jugées comme de la pure malveillance, ne font que bloquer l'accès aux sites, sans en altérer le contenu.
C’est toujours ce que dis les dictionnaires français , et c’est juste , mais faut préciser que ces attaque ne sont pas aussi simple que le décrivent ce dictionnaire , car avant de lancer ce logiciels qui donne l’instruction à des dizaines de serveurs d’attaquer , il faudra d’abords avoir ces serveurs sous contrôle , vous ne penser pas , et avant même de tenter d’avoir accès à ces serveurs pour les contrôler , il faudra se rendre parfaitement anonyme , soit disant que c’est facile de se cacher derrière des proxy , il faudra savoir « distribuer » l’attaque sur toutes les machines esclaves ….bon en gros il ne faut pas toujours croire ce que raconte les dictionnaire .
Le Ddos :
C’est une attaque très avancée qui consiste à faire planter un serveur , un simple poste de travail , une réseau tout entier , ou bien à le rendre inactif , on l’appel distributed attack parce que cette seule attaque est distribuée par plusieurs machines , elles sont toutes à la fois à l’origine de l’attaque .cela rend un peu la cible dans un état de vulnérabilité même si cette dernière est assez sécurisée .Cette attaque est très crainte , vu qu ‘elle est presque indétectable , et surtout difficile à contrer , mais aussi vu le grand développement que connaît le domaine de l’informatique , qui rend la menace encors plus forte .
Comme j’ai dis plus haut , pour pouvoir faire cette attaque il faudra avoir sous son contrôle un nombre de machines hôtes , donc il faudra être le maître , établir une connexion avec ses hôtes via UDP , TCP ….. ,leur prédéfinir le type d’attaque qu’ils vont suivre , le protocole qui sera utilisé pour l’attaque , le port par le quel passeront les paquets envoyés , une fois cela définis , les machines exécuterons l’ordre donné , et ils commenceront à envoyer un nombre déjà définis de paquets , pour chaque paquet la cible alloue un espace mémoire à la demande que ce soit une requête UDP , ICMP ou autre , et elle attends la réponse , et ainsi de suite , jusqu’à ce qu’elle soit submergé de faux requêtes sur le port pré-spécifié , ce qui déclenchera automatiquement le down de la cible .
Newbie Serveur
Syn
|-------------------------------->
Syn Ack
<--------------------------------|
Ack
|-------------------------------->
Comme vous l’aurez compris en suivant ce tit schéma , le serveur après avoir reçu un appel de requête , ouvre une connexion sur le port avec la machine distante « dans notre cas c’est celle de Newbie » , et attend une réponse d’accusé de réception , si « et c’est la normal » la machine réponds , la connexion est ou bien établie ou refusée , mais dans notre cas on s’intéresse plutôt à ne pas répondre , et ainsi ne pas mettre fin à cette communication , le serveur n’est qu’un simple d’esprit , il va donc attendre pour un certain temps la réponse ,mais ne crois pas que ça va durer éternellement , car après un bon bout d’attente la cible coupe automatiquement la liaison avec votre machine ,et vous répond expired time out , ou closed by host ou autre ,c’est de la qu’on tien la nécessité d’avoir plusieurs machines sous son contrôle car c’est lors de l’attente d’une réponse que tout se passe ; il donne à ma communication une place mémoire en attendant la réponse , alors imaginer un tit peu plusieurs connexions au même temps , toutes sans réponse d’accusé et aux quelles le serveur attributs des places mémoire , après un certain temps il se retrouvera incapable de répondre au requête des simple visiteurs non méchant.
il existe plusieurs type d’attaque mais ils respectent toujours le même principe , on pourra citer par exemple l'ICMP flood, le SYN flood (TCP), le smurf attaque , stream attack .
Je reviens au comment trouver les bon serviteurs qui obéiront à nos ordres ? c’est la partie la plus dur dans cette attaque , car il faudra tout d’abords se mettre une ou plusieurs cibles entre les yeux et en tirer les failles potentielles qui pourront donner un accès root ce qui revient à dire maître et ce qui implique le pouvoir de commander ces machines , personnellement , je matte des serveurs complet à la recherche de faille sur leurs routeurs , une fois l’accès garantis sur le routeur , plus besoin d scanner chaque machine à part , je deviens maître du réseau …
croyez moi ils existe un nombre vraiment incroyable de réseaux vulnérables à des failles courantes et pas très dur à exploiter , il faudra juste savoir chercher , je vous donnerais volontiers une tite liste , mais ça sera peut être pour une autre fois , donc voilà . Une fois l’accès trouvé ;trouve toi des clients d’attaques , je crois que c’est pas la peine que je te donne l’adresse ou chercher , ok je vois .Au faite au plus newbie d’entre vous je vous conseillerais plutôt d’utiliser des tit serveurs irc que vous commanderais sous votre client préféré « mirc , Xchat …. » ainsi ça deviendra un vrai jeu d’enfant , mais attention , ce n’est pas sans risque car sachez que non seulement la cible est à elle seule touchée par l’attaque mais les hotes utilisés deviennent complices à contre grés , et c’est pas vraiment très sympas , vous le comprendrais si vous vous faites arrêté soit disant parce que le serveur d la NASA à subis une attaque du genre SYN FLOOD , et que votre machine faisait partie d cette attaque .
Mais bon ça c’est une autre histoire , restant du coté du pirate , et non pas d la victime , au faite si vous avez un accès root sur un réseau , pensez avant tout à l’utiliser pour effacer vos logs .
Contre mesure :
Comme vous le savez déjà il n’est pas possible d’assurer une sécurité 100% contre ce type d’attaque , mais il est possible que si les responsable de sécurité des différents espace réseaux prêtent plus d’importance à la gestion d leurs machines , peut être qu’ils arriveront à éviter de tel attaque , je m’explique :
Comme on a dis , pour mettre à jour cette attaque , on aura besoin de prendre le contrôle d’un certains nombre de machines , ces machines bien sur ne sont pas auto-gestionnables , ils ont bien entendu un responsable qui veille à leur bonne fonctionnement que ce soit un grand/petit réseau ou un poste personnel , et si ce dernier pouvait surveiller de plus prêt les processus de ses machines , s’il regardait de temps en temps les nouveautés des failles et appliquait les patchs adéquats , il bloquera à coup sur le passage au pirate , et sans hôtes pas d’attaques , alors on a la cible , on a les outils d’attaque , on a appris 2 3 commande pour diriger l’attaque , mais qui va la faire cette attaque ? J=
Les administrateurs peuvent faire plus malin , en laissant par exemple un poste qui ne sert pas à grand chose « pour ne pas compromettre le réseaux » , vulnérable à une prise de contrôle , on le met en quarantaine « toujours pour ne pas compromettre la Sécu du réseaux » un tit netcat ou plus en écoute sur les ports TCP et voilà l travail , une fois tu essaie de t’introduire sur la machine en question , t’es logé même pas la peine d’essayer d’y déposer quelque chose t’es déjà pris au piège, c’est ce qu’on appel un HONEYPOT .alors faites gaffes , ne vous connectez pas à n’importe quel machine .
Je vous présente si dessous un tit autre schéma représentant l’attaque TFN « Tribe Flood Network » établie par un stacheldraht , outils d’attaque dénie de service « codé par Mixter » :
N.B : ce schéma ce n’est pas moi qui l’a crée mais c’est un schéma par défaut qu’on trouve sur une étude de cette attaque faite par « University of Washington » et édité par David Dittrich.
Au faite pour établir ce type de liaison le pirate passe d’abords par prendre le contrôle de plusieurs routeurs qui ceux ci déjà ont sous leurs contrôle plusieurs machines , ce qui rend l’attaque plus féroce , mais sachez que l’attaque sur laquelle on a pu relevé cette démonstration à été faite via telnet et en mode crypté .
Aussi ce type d’outils « stacheldraht » utilise en même temps le TCP ou le ICMP pour la communication entre les différentes machines , et utilise le port 16660/tcp , pour sa connexion avec les handler , en cryptant comme j’ai dis tout à l’heure cette dernière .
Il y’as le code source et plus d’explication sur ce type d’attaque sur l’adresse suivante :
Sachez que celui qui a écris cette analyse à créé un programme en perl pour contrer ce type d’attaque « pour le détecter surtout » , vous le trouverais sur la même adresse .Vous y trouverais aussi un patch ICMP ,ainsi que quelques intéressantes adresses , je vous conseil de les visiter .
Surtout pour les autres analyse de deux outils utilisés aussi dans des Denis de service :
http://staff.washington.edu/dittrich/misc/trinoo.analysis
http://staff.washington.edu/dittrich/misc/tfn.analysis
Et comme j’ai dis au départ d cette article , il n’existe pas une seule catégorie d’attaque de type denial of service ou bien une seule méthode , ce sont des exploits , donc il sont pas limité , et encors moins facile à repérer ,vous pouvez vous même en codé un….
Malheureusement notre article touche à sa fin , j’espère du moins que vous avez apprécié , surtout que je n’ai presque pas abordé le coté technique de l’attaque et encor moins les moyens à utiliser , je ne vous ai parlé la que de sa terminologie en gros et surtout de son principe, mais j’ai confiance en vous et je sais que vous parviendrez à tout comprendre et Pq pas tester une tite attaque comme ça juste pour s’assurer que ça marche toujours lol .
Je vous préviens que vous n’avez lu jusqu’ici que la premier partie de mon article , je vous prépare la seconde partie , qui sera en ligne très bientôt « enfin je l’espère », dsl si je prend un tit peu d retard , mais c’est pour vous présenter quelque chose de complet , on abordera dans le second volume les techniques utilisés en plus de détails , des exemples de vécu personnel , et des news….soyez juste un peu patient.
allez @ plus et comme d’hab si vous avez des remarques , des suggestions , des questions non lamerz , n’hésitez pas à me
les faire parvenir sur cette adresse :
sn0opy
Home
