Types d’attaques de réseau identifiées
Il existe à l’heure actuelle de nombreux types d’attaques de réseau différentes. Ces attaques exploitent des vulnérabilités du système d’exploitation ou d’autres programmes système ou applicatif.
Afin de garantir la protection de l’ordinateur en permanence, il est bon de connaître les menaces qui planent sur lui. Les attaques de réseau connues peuvent être scindées en trois grands groupes :
- Balayage des ports : ce type de menace n’est pas une attaque en tant que telle mais elle devance d’habitude l’attaque car il s’agit d’une des principales manières d’obtenir des informations sur le poste distant. Cette méthode consiste à balayer les ports UDP-/TCP- utilisés par les services de réseau sur l’ordinateur convoité afin de définir leur état (ouvert ou fermé).
Le balayage des ports permet de comprendre les types d’attaque qui pourraient réussir. De plus, les informations obtenues suite au balayage donnent à l’individu malintentionné une idée du système d’exploitation utilisé sur l’ordinateur distant. Ceci limite encore plus le cercle des attaques potentielles et, par conséquent, le temps consacré à leur organisation et cela permet également d’utiliser des vulnérabilités propres à ce système d’exploitation.
- Les attaques par déni de service sont des attaques qui rendent le système pris pour cible instable ou totalement inopérationnel. Parmi les conséquences de ce genre d’attaque, citons l’impossibilité d’utiliser les ressources informatiques ciblées par l’attaque (par exemple, impossible d’accéder à Internet).
Il existe deux types principaux d’attaques DoS :
- Envoi vers la victime de paquets spécialement formés et que l’ordinateur n’attend pas. Cela entraîne une surcharge ou un arrêt du système ;
- Envoi vers la victime d’un nombre élevé de paquets par unité de temps ; l’ordinateur est incapable de les traiter, ce qui épuise les ressources du système.
Voici des exemples frappants de ce groupe d’attaques :
- L’attaque Ping of death : envoi d’un paquet ICMP dont la taille dépasse la valeur admise de 64 Ko. Cette attaque peut entraîner une panne dans certains systèmes d’exploitation.
- L’attaque Land consiste à envoyer vers le port ouvert de votre ordinateur une requête de connexion avec lui-même. Suite à cette attaque, l’ordinateur entre dans une boucle, ce qui augmente sensiblement la charge du processeur et qui entraîne une panne éventuelle du système d’exploitation.
- L’attaque ICMP Flood consiste à envoyer vers l’ordinateur de l’utilisateur un grand nombre de paquets ICMP. Cette attaque fait que l’ordinateur est obligé de répondre à chaque nouveau paquet, ce qui entraîne une surcharge considérable du processeur.
- L’attaque SYN Flood consiste à envoyer vers votre ordinateur un nombre élevé de requêtes pour l’ouverture d’une connexion. Le système réserve des ressources définies pour chacune de ces connexions. Finalement, l’ordinateur gaspille toutes ses ressources et cesse de réagir aux autres tentatives de connexion.
- Attaques d’intrusion qui visent à s’emparer du système. Il s’agit du type d’attaque le plus dangereux car en cas de réussite, le système passe entièrement aux mains de l’individu malintentionné.
Ce type d’attaque est utilisé lorsque l’individu malintentionné doit absolument obtenir des informations confidentielles sur l’ordinateur distant (par exemple, numéro de carte de crédit, mots de passe) ou simplement pour s’introduire dans le système en vue d’utiliser ultérieurement les ressources au profit de l’individu malintentionné (utilisation du système dans un réseau de zombies ou comme base pour de nouvelles attaques).
Ce groupe reprend le plus grand nombre d’attaques. Elles peuvent être réparties en trois sous-groupes en fonction du système d’exploitation utilisés par les victimes : attaques sous Microsoft Windows, attaques sous Unix et un groupe commun pour les services de réseau utilisés dans les deux systèmes d’exploitation.
Les attaques utilisant les services de réseau du système d’exploitation les plus répandues sont :
- Attaque par débordement de tampon. Le débordement de tampon survient en cas d’absence de contrôle (ou de contrôle insuffisant) lors de l’utilisation de massifs de données. Il s’agit de l’une des vulnérabilités les plus anciennes et les plus faciles à exploiter.
- Attaques qui reposent sur des erreurs dans les chaînes de format. Les erreurs dans les chaînes de format surviennent en raison d’un contrôle insuffisant des valeurs des paramètres entrant des fonctions d’entrée-sortie de format de type printf(), fprintf(), scanf() ou autres de la bibliothèque standard du langage C. Lorsqu’une telle vulnérabilité est présente dans un logiciel, l’individu malintentionné, qui peut envoyer des requêtes formulées spécialement, peut prendre le contrôle complet du système.
Le système de détection des intrusions analyse automatiquement l’utilisation de telles vulnérabilité et les bloque dans les services de réseau les plus répandus (FTP, POP3, IMAP), s’ils fonctionnent sur l’ordinateur de l’utilisateur.
- Les attaques ciblant les ordinateurs fonctionnant sous Microsoft Windows, reposent sur l’exploitation de vulnérabilités d’un logiciel installé (par exemple, des applications telles que Microsoft SQL Server, Microsoft Internet Explorer, Messenger ainsi que les composants systèmes accessibles via le réseau tels que DCom, SMB, Wins, LSASS, IIS5).
De plus, dans certains cas, les attaques d’intrusion exploitent divers types de scripts malveillants, y compris des scripts traités par Microsoft Internet Explorer et diverses versions du ver Helkern. L’attaque Helkern consiste à envoyer vers l’ordinateur distant des paquets UDP d’un certain type capable d’exécuter du code malveillant.
|