Types d'attaques. Attaques DOS et DDoS : concept, types, méthodes de détection et de protection

Internet change complètement notre mode de vie : travail, études, loisirs. Ces changements se produiront aussi bien dans des domaines que nous connaissons déjà (commerce électronique, accès à l'information en temps réel, capacités de communication accrues, etc.) que dans des domaines dont nous n'avons pas encore d'idée.

Le moment viendra peut-être où une entreprise passera tous ses appels téléphoniques sur Internet, de manière entièrement gratuite. Dans la vie privée, des sites Web spéciaux peuvent apparaître, grâce auxquels les parents peuvent à tout moment savoir comment vont leurs enfants. Notre société commence tout juste à prendre conscience des possibilités illimitées d'Internet.

Introduction

Parallèlement à l'énorme croissance de la popularité d'Internet, un danger sans précédent de divulgation de données personnelles, de ressources critiques de l'entreprise, de secrets d'État, etc. apparaît.

Chaque jour, les pirates menacent ces ressources en tentant d'y accéder à l'aide d'attaques spéciales, de plus en plus sophistiquées d'une part et plus faciles à exécuter d'autre part. Deux facteurs principaux y contribuent.

Premièrement, il s’agit de la pénétration généralisée d’Internet. Il existe aujourd’hui des millions d’appareils connectés à Internet, et plusieurs millions d’appareils le seront dans un avenir proche, ce qui rend de plus en plus probable que des pirates informatiques accèdent à des appareils vulnérables.

De plus, l’utilisation généralisée d’Internet permet aux pirates informatiques d’échanger des informations à l’échelle mondiale. Une simple recherche de mots-clés comme « hacker », « hacking », « hack », « crack » ou « phreak » vous renverra des milliers de sites, dont beaucoup contiennent du code malveillant et comment l'utiliser.

Deuxièmement, il s'agit de la distribution la plus large de systèmes d'exploitation et d'environnements de développement faciles à utiliser. Ce facteur réduit considérablement le niveau de connaissances et de compétences requis par un pirate informatique. Auparavant, pour créer et distribuer des applications faciles à utiliser, un hacker devait avoir de bonnes compétences en programmation.

Désormais, pour accéder à l'outil d'un hacker, il suffit de connaître l'adresse IP du site souhaité, et pour mener une attaque, d'un simple clic de souris.

Classification des attaques réseau

Les attaques réseau sont aussi variées que les systèmes qu’elles ciblent. Certaines attaques sont très complexes, tandis que d’autres sont à la portée d’un opérateur ordinaire, qui n’imagine même pas les conséquences de ses activités. Pour évaluer les types d’attaques, vous devez connaître certaines des limitations inhérentes au protocole TPC/IP. Filet

Internet a été créé pour la communication entre les agences gouvernementales et les universités afin de faciliter le processus éducatif et la recherche scientifique. Les créateurs de ce réseau n’avaient aucune idée de l’ampleur qu’il prendrait. En conséquence, les spécifications des premières versions du protocole Internet (IP) manquaient d’exigences de sécurité. C'est pourquoi de nombreuses implémentations IP sont intrinsèquement vulnérables.

Après de nombreuses années et de nombreuses plaintes (Request for Comments, RFC), des mesures de sécurité pour la propriété intellectuelle ont finalement commencé à être mises en œuvre. Cependant, étant donné que les mesures de sécurité pour le protocole IP n'étaient pas initialement développées, toutes ses implémentations ont commencé à être complétées par une variété de procédures réseau, de services et de produits réduisant les risques inhérents à ce protocole. Ensuite, nous examinerons brièvement les types d'attaques couramment utilisées contre les réseaux IP et énumérerons les moyens de les combattre.

Renifleur de paquets

Un renifleur de paquets est un programme d'application qui utilise une carte réseau fonctionnant en mode promiscuité (dans ce mode, la carte réseau envoie tous les paquets reçus sur des canaux physiques à l'application pour traitement).

Dans ce cas, le renifleur intercepte tous les paquets réseau transmis via un domaine spécifique. Actuellement, les renifleurs opèrent sur les réseaux sur une base tout à fait légale. Ils sont utilisés pour le diagnostic des pannes et l'analyse du trafic. Cependant, étant donné que certaines applications réseau transmettent des données au format texte ( Telnet, FTP, SMTP, POP3, etc..), à l'aide d'un renifleur, vous pouvez trouver des informations utiles et parfois confidentielles (par exemple, noms d'utilisateur et mots de passe).

L’interception des identifiants et des mots de passe constitue une menace majeure, car les utilisateurs utilisent souvent les mêmes identifiants et mots de passe pour plusieurs applications et systèmes. De nombreux utilisateurs disposent généralement d’un seul mot de passe pour accéder à toutes les ressources et applications.

Si l'application s'exécute en mode client-serveur et que les données d'authentification sont transmises sur le réseau sous forme de texte lisible, ces informations peuvent très probablement être utilisées pour accéder à d'autres ressources d'entreprise ou externes. Les hackers connaissent et exploitent trop bien les faiblesses humaines (les méthodes d’attaque reposent souvent sur des méthodes d’ingénierie sociale).

Ils savent bien que nous utilisons le même mot de passe pour accéder à de nombreuses ressources et parviennent donc souvent à accéder à des informations importantes en apprenant notre mot de passe. Dans le pire des cas, un pirate informatique obtient un accès au niveau du système à une ressource utilisateur et l'utilise pour créer un nouvel utilisateur pouvant être utilisé à tout moment pour accéder au réseau et à ses ressources.

Vous pouvez réduire la menace de détection de paquets en utilisant les outils suivants ::

Authentification. L'authentification forte constitue la défense la plus importante contre le reniflage de paquets. Par « fort », nous entendons des méthodes d’authentification difficiles à contourner. Un exemple d'une telle authentification est celui des mots de passe à usage unique (OTP).

OTP est une technologie d'authentification à deux facteurs qui combine ce que vous avez avec ce que vous savez. Un exemple typique d'authentification à deux facteurs est le fonctionnement d'un guichet automatique classique, qui vous identifie, d'une part, par votre carte en plastique, et d'autre part, par le code PIN que vous saisissez. Un code PIN et votre carte personnelle sont également requis pour l'authentification dans le système OTP.

Par « carte » (jeton), nous entendons un outil matériel ou logiciel qui génère (par un principe aléatoire) un mot de passe unique, à usage unique. Si un pirate informatique découvre ce mot de passe à l'aide d'un renifleur, alors cette information sera inutile, car à ce moment-là, le mot de passe sera déjà utilisé et retiré.

A noter que cette méthode de lutte contre le reniflage n'est efficace qu'en cas d'interception de mot de passe. Les renifleurs qui interceptent d'autres informations (telles que les messages électroniques) restent efficaces.

Infrastructure commutée. Une autre façon de lutter contre le reniflage de paquets dans votre environnement réseau consiste à créer une infrastructure commutée. Si, par exemple, l'ensemble de l'organisation utilise une connexion Ethernet commutée, les pirates ne peuvent accéder qu'au trafic entrant dans le port auquel ils sont connectés. Une infrastructure commutée n’élimine pas la menace de sniffing, mais elle en réduit considérablement la gravité.

Anti-renifleurs. La troisième façon de lutter contre le reniflage consiste à installer du matériel ou des logiciels qui reconnaissent les renifleurs exécutés sur votre réseau. Ces outils ne peuvent pas éliminer complètement la menace, mais, comme de nombreux autres outils de sécurité réseau, ils sont inclus dans le système de protection global. Les antisniffers mesurent les temps de réponse des hôtes et déterminent si les hôtes doivent traiter un trafic inutile. Un de ces produits, disponible auprès de LOpht Heavy Industries, s'appelle AntiSniff.

Cryptographie. C'est le moyen le plus efficace de lutter contre le reniflage de paquets, bien qu'il n'empêche pas l'interception et ne reconnaisse pas le travail des renifleurs, mais rend ce travail inutile. Si le canal de communication est cryptographiquement sécurisé, le pirate informatique n'intercepte pas le message, mais le texte chiffré (c'est-à-dire une séquence de bits incompréhensible). La cryptographie de la couche réseau Cisco est basée sur IPSec, qui est une méthode standard de communication sécurisée entre les appareils utilisant le protocole IP. D'autres protocoles de gestion de réseau cryptographique incluent les protocoles SSH (Secure Shell) et SSL (Secure Socket Layer).

Usurpation d'adresse IP

L'usurpation d'adresse IP se produit lorsqu'un pirate informatique, à l'intérieur ou à l'extérieur d'une entreprise, usurpe l'identité d'un utilisateur autorisé. Cela peut se faire de deux manières : le pirate informatique peut utiliser soit une adresse IP comprise dans la plage d'adresses IP autorisées, soit une adresse externe autorisée qui lui permet d'accéder à certaines ressources du réseau.

Les attaques d’usurpation d’adresse IP sont souvent le point de départ d’autres attaques. Un exemple classique est une attaque DoS, qui démarre à partir de l'adresse de quelqu'un d'autre, cachant ainsi la véritable identité du pirate informatique.

En règle générale, l'usurpation d'adresse IP se limite à l'insertion de fausses informations ou de commandes malveillantes dans le flux normal de données transmises entre une application client et serveur ou via un canal de communication entre des appareils homologues.

Pour une communication bidirectionnelle, le pirate informatique doit modifier toutes les tables de routage pour diriger le trafic vers la fausse adresse IP. Cependant, certains pirates n'essaient même pas d'obtenir une réponse des applications : si l'objectif principal est d'extraire un fichier important du système, alors les réponses des applications n'ont pas d'importance.

Si un pirate informatique parvient à modifier les tables de routage et à diriger le trafic vers une fausse adresse IP, il recevra tous les paquets et pourra y répondre comme s'il était un utilisateur autorisé.

La menace d'usurpation d'identité peut être atténuée (mais pas éliminée) par les mesures suivantes :

• Contrôle d'accès. Le moyen le plus simple d’empêcher l’usurpation d’adresse IP consiste à configurer correctement les contrôles d’accès. Pour réduire l'efficacité de l'usurpation d'adresse IP, configurez le contrôle d'accès pour rejeter tout trafic provenant d'un réseau externe avec une adresse source qui doit être située à l'intérieur de votre réseau.

  Certes, cela permet de lutter contre l'usurpation d'adresse IP, lorsque seules les adresses internes sont autorisées ; si certaines adresses réseau externes sont également autorisées, cette méthode devient inefficace ;

• Filtrage RFC 2827. Vous pouvez empêcher les utilisateurs de votre réseau d'usurper les réseaux d'autres personnes (et devenir un bon citoyen en ligne). Pour ce faire, vous devez rejeter tout trafic sortant dont l'adresse source n'est pas l'une des adresses IP de votre organisation.

  Ce type de filtrage, connu sous le nom de RFC 2827, peut également être effectué par votre fournisseur d'accès Internet (FAI). En conséquence, tout le trafic qui n’a pas d’adresse source attendue sur une interface particulière est rejeté. Par exemple, si un FAI fournit une connexion à l'adresse IP 15.1.1.0/24, il peut configurer un filtre afin que seul le trafic provenant de 15.1.1.0/24 soit autorisé depuis cette interface vers le routeur du FAI.

Notez que jusqu'à ce que tous les fournisseurs mettent en œuvre ce type de filtrage, son efficacité sera bien inférieure à celle possible. De plus, plus vous êtes éloigné des appareils filtrés, plus il est difficile d’effectuer une filtration précise. Par exemple, le filtrage RFC 2827 au niveau du routeur d'accès nécessite de faire passer tout le trafic depuis l'adresse réseau principale (10.0.0.0/8), tandis qu'au niveau de la distribution (dans une architecture donnée) il est possible de restreindre plus précisément le trafic (adresse - 10.1.5.0/24).

La méthode la plus efficace pour lutter contre l’usurpation d’adresse IP est la même que dans le cas du reniflage de paquets : vous devez rendre l’attaque totalement inefficace. L'usurpation d'adresse IP ne peut fonctionner que si l'authentification est basée sur les adresses IP.

Par conséquent, l’introduction de méthodes d’authentification supplémentaires rend de telles attaques inutiles. Le meilleur type d’authentification supplémentaire est cryptographique. Si cela n’est pas possible, l’authentification à deux facteurs utilisant des mots de passe à usage unique peut donner de bons résultats.

Déni de service

Le déni de service (DoS) est sans aucun doute la forme d’attaque de piratage la plus connue. De plus, ces types d’attaques sont les plus difficiles à protéger à 100 %. Parmi les hackers, les attaques DoS sont considérées comme un jeu d'enfant, et leur utilisation provoque des sourires méprisants, car organiser le DoS nécessite un minimum de connaissances et de compétences.

Néanmoins, c’est précisément la facilité de mise en œuvre et l’ampleur des dommages causés qui attirent l’attention des administrateurs responsables de la sécurité des réseaux. Si vous souhaitez en savoir plus sur les attaques DoS, vous devriez considérer les types les plus connus, à savoir :

• Inondation TCP SYN ;
• Ping de la mort ;
• Réseau d'inondation de tribu (TFN) et réseau d'inondation de tribu 2000 (TFN2K) ;
• Trinco ;
• Stacheldracht;
• Trinité.

Une excellente source d'informations sur la sécurité est la Computer Emergency Response Team (CERT), qui a publié un excellent travail sur la lutte contre les attaques DoS.

Les attaques DoS sont différentes des autres types d'attaques. Elles ne visent pas à accéder à votre réseau, ni à obtenir des informations de ce réseau, mais une attaque DoS rend votre réseau indisponible pour une utilisation normale en dépassant les limites acceptables du réseau, du système d'exploitation ou de l'application.

Dans le cas de certaines applications serveur (comme un serveur Web ou un serveur FTP), les attaques DoS peuvent impliquer de prendre le contrôle de toutes les connexions disponibles pour ces applications et de les maintenir occupées, empêchant ainsi les utilisateurs ordinaires d'être servis. Les attaques DoS peuvent utiliser des protocoles Internet courants tels que TCP et ICMP ( Protocole de message de contrôle Internet).

La plupart des attaques DoS ne ciblent pas les bogues logiciels ou les failles de sécurité, mais plutôt les faiblesses générales de l'architecture du système. Certaines attaques paralysent les performances du réseau en l'inondant de paquets indésirables et inutiles ou d'informations trompeuses sur l'état actuel des ressources du réseau.

Ce type d’attaque est difficile à prévenir car il nécessite une coordination avec le prestataire. Si vous n'arrêtez pas le trafic destiné à saturer votre réseau chez le fournisseur, alors vous ne pourrez plus le faire à l'entrée du réseau, puisque toute la bande passante sera occupée. Lorsque ce type d'attaque est mené simultanément à travers de nombreux appareils, on parle d'attaque DoS distribuée (Distributed DoS, DDoS).

La menace des attaques DoS peut être réduite de trois manières :

• Fonctionnalités anti-usurpation. La configuration correcte des fonctionnalités anti-usurpation sur vos routeurs et pare-feu contribuera à réduire le risque de DoS. Au minimum, ces fonctionnalités devraient inclure le filtrage RFC 2827. Si un pirate informatique ne peut pas dissimuler sa véritable identité, il est peu probable qu'il mène une attaque.
• Fonctions anti-DoS. Une configuration appropriée des fonctionnalités anti-DoS sur les routeurs et les pare-feu peut limiter l'efficacité des attaques. Ces fonctionnalités limitent souvent le nombre de canaux semi-ouverts à un moment donné.
• Limitation du débit de trafic. Une organisation peut demander à son fournisseur d'accès Internet (FAI) de limiter la quantité de trafic. Ce type de filtrage vous permet de limiter la quantité de trafic non critique qui transite par votre réseau. Un exemple typique est la limitation du volume du trafic ICMP, qui est utilisé uniquement à des fins de diagnostic. Les attaques (D)DoS utilisent souvent ICMP.

Attaques de mot de passe

Les pirates peuvent mener des attaques par mot de passe en utilisant un certain nombre de méthodes, telles que l'attaque par force brute, le cheval de Troie, l'usurpation d'adresse IP et le reniflage de paquets. Bien que l'identifiant et le mot de passe puissent souvent être obtenus via l'usurpation d'adresse IP et le reniflage de paquets, les pirates informatiques tentent souvent de deviner le mot de passe et de se connecter via plusieurs tentatives d'accès. Cette approche est appelée recherche simple (attaque par force brute).

Souvent, une telle attaque utilise un programme spécial qui tente d'accéder à une ressource publique (par exemple, un serveur). Si, en conséquence, le pirate informatique obtient l'accès aux ressources, il le reçoit alors avec les droits d'un utilisateur régulier dont le mot de passe a été sélectionné.

Si cet utilisateur dispose de privilèges d'accès importants, le pirate informatique peut créer un « pass » pour un accès futur qui restera valide même si l'utilisateur modifie son mot de passe et son identifiant.

Un autre problème survient lorsque les utilisateurs utilisent le même mot de passe (même très bon) pour accéder à de nombreux systèmes : systèmes d'entreprise, personnels et Internet. Étant donné que la force d'un mot de passe est égale à celle de l'hôte le plus faible, un pirate informatique qui apprend le mot de passe via cet hôte accède à tous les autres systèmes où le même mot de passe est utilisé.

Les attaques par mot de passe peuvent être évitées en n'utilisant pas de mots de passe en texte brut. Les mots de passe à usage unique et/ou l'authentification cryptographique peuvent pratiquement éliminer la menace de telles attaques. Malheureusement, toutes les applications, hôtes et appareils ne prennent pas en charge les méthodes d'authentification ci-dessus.

Lorsque vous utilisez des mots de passe classiques, essayez d’en trouver un qui serait difficile à deviner. La longueur minimale du mot de passe doit être d'au moins huit caractères. Le mot de passe doit inclure des caractères majuscules, des chiffres et des caractères spéciaux (#, %, $, etc.).

Les meilleurs mots de passe sont difficiles à deviner et à mémoriser, ce qui oblige les utilisateurs à les écrire sur papier. Pour éviter cela, les utilisateurs et les administrateurs peuvent utiliser un certain nombre d'avancées technologiques récentes.

Par exemple, il existe des programmes d'application qui chiffrent une liste de mots de passe pouvant être stockés dans un ordinateur de poche. En conséquence, l'utilisateur n'a besoin de mémoriser qu'un seul mot de passe complexe, tandis que tous les autres seront protégés de manière fiable par l'application.

Il existe plusieurs méthodes permettant à un administrateur de lutter contre la tentative de deviner un mot de passe. L'une d'elles consiste à utiliser l'outil L0phtCrack, qui est souvent utilisé par les pirates pour deviner les mots de passe dans l'environnement Windows NT. Cet outil vous montrera rapidement si le mot de passe choisi par l'utilisateur est facile à deviner. Pour plus d'informations, visitez http://www.l0phtcrack.com/.

Attaques de l'homme du milieu

Pour une attaque Man-in-the-Middle, un pirate informatique a besoin d'accéder aux paquets transmis sur le réseau. Un tel accès à tous les paquets transmis d'un fournisseur vers tout autre réseau peut, par exemple, être obtenu par un employé de ce fournisseur. Les renifleurs de paquets, les protocoles de transport et les protocoles de routage sont souvent utilisés pour ce type d'attaque.

Les attaques sont menées dans le but de voler des informations, d'intercepter la session en cours et d'accéder aux ressources du réseau privé, d'analyser le trafic et d'obtenir des informations sur le réseau et ses utilisateurs, de mener des attaques DoS, de déformer les données transmises et de saisir des informations non autorisées. en sessions réseau.

Les attaques de l’homme du milieu ne peuvent être combattues efficacement qu’en utilisant la cryptographie. Si un pirate informatique intercepte les données d’une session cryptée, ce qui apparaîtra sur son écran n’est pas le message intercepté, mais un ensemble de caractères dénués de sens. Notez que si un pirate informatique obtient des informations sur une session cryptographique (par exemple, une clé de session), cela pourrait rendre possible une attaque Man-in-the-Middle même dans un environnement crypté.

Attaques au niveau des applications

Les attaques au niveau des applications peuvent être menées de plusieurs manières. La plus courante d'entre elles est l'utilisation de faiblesses bien connues des logiciels serveur (sendmail, HTTP, FTP). En exploitant ces faiblesses, les pirates peuvent accéder à un ordinateur en tant qu'utilisateur exécutant l'application (généralement pas un utilisateur régulier, mais un administrateur privilégié disposant de droits d'accès au système).

Les informations sur les attaques au niveau des applications sont largement publiées pour donner aux administrateurs la possibilité de corriger le problème à l'aide de modules correctifs (correctifs). Malheureusement, de nombreux hackers ont également accès à ces informations, ce qui leur permet de s'améliorer.

Le principal problème des attaques au niveau des applications est que les pirates utilisent souvent des ports autorisés à traverser le pare-feu. Par exemple, lors d'une attaque TCP, un pirate informatique exploitant une faiblesse connue d'un serveur Web utilisera souvent le port 80. Puisque le serveur Web fournit des pages Web aux utilisateurs, le pare-feu doit fournir l'accès à ce port. Du point de vue du pare-feu, l'attaque est traitée comme du trafic standard sur le port 80.

Les attaques au niveau des applications ne peuvent pas être complètement éliminées. Les pirates découvrent et publient constamment de nouvelles vulnérabilités dans les programmes d'application sur Internet. La chose la plus importante ici est une bonne administration du système. Voici quelques mesures que vous pouvez prendre pour réduire votre vulnérabilité à ce type d’attaque :

• lire les fichiers journaux du système d'exploitation et du réseau et/ou les analyser à l'aide d'applications analytiques spéciales ;
• Abonnez-vous au service de reporting des vulnérabilités des applications : Bugtrad (http://www.securityfocus.com).

Intelligence réseau

L'intelligence réseau fait référence à la collecte d'informations sur le réseau à l'aide de données et d'applications accessibles au public. Lorsqu’il prépare une attaque contre un réseau, un pirate informatique essaie généralement d’obtenir le plus d’informations possible à son sujet. La reconnaissance du réseau s'effectue sous forme de requêtes DNS, de pings et d'analyse des ports.

Les requêtes DNS vous aident à comprendre à qui appartient un domaine particulier et quelles adresses sont attribuées à ce domaine. Les adresses ping révélées par DNS vous permettent de voir quels hôtes s'exécutent réellement dans un environnement donné. Après avoir reçu une liste d'hôtes, le pirate informatique utilise des outils d'analyse de ports pour compiler une liste complète des services pris en charge par ces hôtes. Enfin, le hacker analyse les caractéristiques des applications exécutées sur les hôtes. En conséquence, il obtient des informations pouvant être utilisées à des fins de piratage.

Il est impossible de se débarrasser complètement de l’intelligence réseau. Si, par exemple, vous désactivez l'écho et la réponse d'écho ICMP sur les routeurs périphériques, vous supprimez les tests ping, mais vous perdez les données nécessaires au diagnostic des pannes réseau.

De plus, vous pouvez analyser les ports sans test ping préalable - cela prendra simplement plus de temps, car vous devrez analyser des adresses IP inexistantes. Les systèmes IDS au niveau du réseau et de l'hôte font généralement un bon travail en alertant les administrateurs de la reconnaissance en cours du réseau, leur permettant de mieux se préparer à une attaque à venir et d'alerter le fournisseur d'accès Internet (FAI) sur le réseau duquel le système est trop curieux :

1. utiliser les dernières versions des systèmes d'exploitation et des applications ainsi que les derniers modules de correction (correctifs) ;
2. En plus de l'administration système, utilisez des systèmes de détection d'attaques (IDS) - deux technologies d'identification complémentaires :
   • Le système Network IDS (NIDS) surveille tous les paquets transitant par un domaine spécifique. Lorsque le système NIDS détecte un paquet ou une série de paquets correspondant à la signature d'une attaque connue ou probable, il génère une alarme et/ou met fin à la session ;
   • Le système IDS (HIDS) protège l'hôte à l'aide d'agents logiciels. Ce système ne combat que les attaques contre un seul hôte.

Dans leur travail, les systèmes IDS utilisent des signatures d'attaque, qui sont des profils d'attaques ou de types d'attaques spécifiques. Les signatures définissent les conditions dans lesquelles le trafic est considéré comme un pirate informatique. Les analogues de l'IDS dans le monde physique peuvent être considérés comme un système d'alerte ou une caméra de surveillance.

Le plus gros inconvénient des IDS est leur capacité à générer des alarmes. Pour minimiser le nombre de fausses alarmes et garantir le bon fonctionnement du système IDS sur le réseau, une configuration minutieuse du système est nécessaire.

Abus de confiance

Ce type d’action ne constitue pas à proprement parler une attaque ou une agression au sens plein du terme. Il s'agit d'une exploitation malveillante des relations de confiance qui existent dans un réseau. Un exemple classique de tels abus est la situation dans la partie périphérique du réseau d’entreprise.

Ce segment héberge souvent des serveurs DNS, SMTP et HTTP. Puisqu’ils appartiennent tous au même segment, pirater l’un d’entre eux entraîne le piratage de tous les autres, puisque ces serveurs font confiance à d’autres systèmes de leur réseau.

Un autre exemple est un système installé à l'extérieur du pare-feu qui entretient une relation de confiance avec un système installé à l'intérieur du pare-feu. Si un système externe est compromis, le pirate informatique peut utiliser la relation de confiance pour pénétrer dans le système protégé par le pare-feu.

Le risque d’abus de confiance peut être réduit en contrôlant plus étroitement les niveaux de confiance au sein de votre réseau. Les systèmes situés à l'extérieur du pare-feu ne doivent jamais bénéficier d'une confiance absolue de la part des systèmes protégés par le pare-feu.

Les relations de confiance doivent être limitées à des protocoles spécifiques et, si possible, authentifiées par des paramètres autres que les adresses IP.

Redirection de port

La redirection de port est une forme d'abus de confiance dans laquelle un hôte compromis est utilisé pour faire passer du trafic à travers un pare-feu qui serait autrement rejeté. Imaginons un pare-feu avec trois interfaces, chacune étant connectée à un hôte spécifique.

Un hôte externe peut se connecter à un hôte partagé (DMZ), mais pas à un hôte installé à l'intérieur du pare-feu. Un hôte partagé peut se connecter à la fois à un hôte interne et externe. Si un pirate informatique s'empare d'un hôte partagé, il peut y installer un logiciel qui redirige le trafic de l'hôte externe directement vers l'hôte interne.

Bien que cela ne viole aucune des règles affichées à l'écran, l'hôte externe obtient un accès direct à l'hôte protégé grâce à la redirection. Netcat est un exemple d'application pouvant fournir un tel accès. De plus amples informations peuvent être trouvées sur http://www.avian.org.

Le principal moyen de lutter contre la redirection de port consiste à utiliser des modèles de confiance forts (voir section précédente). De plus, un système Host IDS (HIDS) peut empêcher un pirate informatique d'installer son logiciel sur un hôte.

L'accès non autorisé

L'accès non autorisé ne peut pas être identifié comme un type d'attaque distinct, car la plupart des attaques réseau sont menées précisément pour obtenir un accès non autorisé. Pour deviner une connexion Telnet, un pirate informatique doit d'abord obtenir un indice Telnet sur son système. Après connexion au port Telnet, le message « autorisation requise pour utiliser cette ressource » apparaît à l'écran (« Une autorisation est requise pour utiliser cette ressource.»).

Si le pirate continue de tenter d'accéder après cela, il sera considéré comme non autorisé. La source de ces attaques peut être soit à l’intérieur du réseau, soit à l’extérieur.

Les méthodes pour lutter contre les accès non autorisés sont assez simples. L'essentiel ici est de réduire ou d'éliminer complètement la capacité du pirate informatique à accéder au système à l'aide d'un protocole non autorisé.

À titre d'exemple, envisagez d'empêcher les pirates d'accéder au port Telnet sur un serveur qui fournit des services Web à des utilisateurs externes. Sans accès à ce port, un pirate informatique ne pourra pas l'attaquer. Quant au pare-feu, sa tâche principale est d'empêcher les tentatives d'accès non autorisés les plus simples.

Virus et chevaux de Troie

Les postes de travail des utilisateurs finaux sont très vulnérables aux virus et aux chevaux de Troie. Les virus sont des programmes malveillants insérés dans d'autres programmes pour exécuter une fonction spécifique indésirable sur le poste de travail de l'utilisateur final. Un exemple est un virus qui est écrit dans le fichier command.com (l'interprète principal des systèmes Windows) et efface d'autres fichiers, et infecte également toutes les autres versions de command.com qu'il trouve.

Un cheval de Troie n'est pas un insert logiciel, mais un véritable programme qui, à première vue, semble être une application utile, mais qui joue en réalité un rôle nuisible. Un exemple de cheval de Troie typique est un programme qui ressemble à un simple jeu pour le poste de travail de l'utilisateur.

Cependant, pendant que l'utilisateur joue au jeu, le programme envoie une copie de lui-même par courrier électronique à chaque abonné du carnet d'adresses de cet utilisateur. Tous les abonnés reçoivent le jeu par courrier, ce qui entraîne sa distribution ultérieure.

La lutte contre les virus et les chevaux de Troie s'effectue à l'aide d'un logiciel antivirus efficace qui fonctionne au niveau de l'utilisateur et, éventuellement, au niveau du réseau. Les produits antivirus détectent la plupart des virus et chevaux de Troie et arrêtent leur propagation.

Obtenir les dernières informations sur les virus vous aidera à les combattre plus efficacement. À mesure que de nouveaux virus et chevaux de Troie apparaissent, les entreprises doivent installer de nouvelles versions d'outils et d'applications antivirus.

Nos systèmes informatiques sont vulnérables à divers types d'attaques. Pour protéger le système contre ces attaques, il est important de connaître les attaques informatiques courantes. Dans le monde d'aujourd'hui, il est devenu presque courant d'entendre parler d'attaques sur des systèmes ou des réseaux informatiques personnels. À l'ère de la technologie, il existe différents types d'attaques informatiques contre lesquelles vous devez protéger vos précieuses données, systèmes et réseaux. Bien que certaines attaques puissent simplement endommager les données de l'ordinateur, il existe d'autres attaques où les données du système informatique peuvent être volés, ainsi que d'autres attaques où l'ensemble du réseau peut être arrêté.

En termes simples, il existe deux principaux types d'attaques, les attaques passives et les attaques actives. Les attaques passives sont celles où les données d'un ordinateur sont surveillées et utilisées ultérieurement à des fins malveillantes, tandis que les attaques actives sont celles où des modifications sont apportées aux données ou aux données. seront supprimés ou les réseaux seront complètement détruits. Vous trouverez ci-dessous quelques-uns des types d'attaques actives et passives les plus courants pouvant affecter les ordinateurs.

Types actifs d'attaques informatiques

Virus

Les attaques informatiques et les virus les plus connus existent depuis longtemps : ils s’installent sur les ordinateurs et se propagent à d’autres fichiers du système. Ils sont souvent distribués via des disques durs externes, ou via certains sites Internet ou sous forme de pièces jointes à des courriers électroniques. Une fois lancés, les virus deviennent indépendants de leur créateur et leur objectif est d'infecter de nombreux fichiers et autres systèmes.

Kit racine

Les pirates informatiques accèdent au système à l'aide de l'ensemble racine de pilotes et prennent le contrôle total de l'ordinateur. Ils font partie des attaques informatiques les plus dangereuses, car le pirate informatique peut obtenir plus de contrôle sur le système que le propriétaire du système. Dans certains cas, les pirates peuvent également allumer une webcam et surveiller les activités de la victime, tout en sachant tout sur elle.

troyen

Dans la liste des attaques informatiques, les chevaux de Troie arrivent en tête après les virus. Ils sont souvent intégrés dans un logiciel, dans des économiseurs d'écran ou dans des jeux qui fonctionneront normalement. Cependant, une fois copiés sur le système, ils infecteront l'ordinateur. avec un virus ou un root kit. En d’autres termes, ils agissent comme des porteurs de virus ou des rootkits pour infecter le système.

Ver

Les vers peuvent être appelés parents des virus. La différence entre les virus et les vers Internet réside dans le fait que les vers infectent un système sans aucune aide de l'utilisateur. La première étape consiste à ce que les vers analysent les ordinateurs à la recherche de vulnérabilités. Ils se copient ensuite dans le système et l'infectent, et le processus se répète.

Types passifs d'attaques informatiques

Écoute clandestine

Comme son nom l’indique, les pirates entendront furtivement les conversations ayant lieu entre deux ordinateurs sur un réseau. Cela peut se produire dans un système fermé ainsi que sur Internet. Les autres noms auxquels il est associé sont espionnage. Grâce aux écoutes clandestines, les données sensibles peuvent se frayer un chemin à travers le réseau et être accessibles à d'autres personnes.

Attaques de mot de passe

L'un des types de cyberattaques les plus courants est l'attaque par mot de passe. Ici, les pirates informatiques accèdent à un ordinateur et aux ressources du réseau en obtenant un mot de passe de contrôle. On constate souvent que l'attaquant a modifié la configuration du serveur et du réseau et, dans certains cas, peut même supprimer des données. De plus, les données peuvent être transmises à différents réseaux.

Clé d'attaque compromise

Pour stocker des données confidentielles, on peut utiliser un code ou un numéro secret. Obtenir la clé est sans aucun doute une tâche vraiment énorme pour un pirate informatique, et il est possible qu'après des recherches intensives, le pirate informatique parvienne réellement à mettre la main sur les clés. Lorsqu’une clé est en possession d’un pirate informatique, on parle de clé compromise. Le pirate informatique aura désormais accès aux données confidentielles et pourra apporter des modifications aux données. Cependant, il est également possible que le pirate informatique essaie différentes permutations et combinaisons de clés pour accéder à d’autres ensembles de données sensibles.

Usurpation d'identité

Chaque ordinateur possède une adresse IP grâce à laquelle il est valide et indépendant sur le réseau. L'une des attaques informatiques courantes consiste à usurper l'identité d'un autre ordinateur. Ici, les paquets IP peuvent être envoyés à partir d'adresses valides et accéder à une adresse IP spécifique. Une fois l'accès obtenu, les données du système peuvent être supprimées, modifiées ou redirigées. De plus, un pirate informatique peut utiliser cette adresse IP compromise pour attaquer d'autres systèmes à l'intérieur ou à l'extérieur du réseau.

Attaques de la couche application

Le but d'une attaque au niveau de l'application est de provoquer un crash du système d'exploitation du serveur. Une fois qu'une erreur est créée dans le système d'exploitation, le pirate informatique peut accéder au contrôle du serveur. Cela conduit à son tour à la modification des données de diverses manières. . Un virus peut être introduit dans le système, ou plusieurs requêtes peuvent être envoyées au serveur, ce qui peut provoquer son blocage, ou encore les contrôles de sécurité peuvent être désactivés, ce qui rend difficile la récupération du serveur.

Voilà quelques-uns des types d'attaques auxquelles les serveurs et les systèmes informatiques individuels peuvent être soumis. La liste des dernières attaques informatiques continue de s'allonger chaque jour, pour lesquelles les pirates utilisent de nouvelles méthodes de piratage.

Les menaces exercées sur le réseau sont classées selon les principales caractéristiques suivantes :

1. nature de la menace.

   Passif - une menace qui n'affecte pas le fonctionnement du système d'information, mais peut violer les règles d'accès aux informations protégées. Exemple : utiliser un sniffer pour « écouter » un réseau. Actif – menace qui affecte les composants d'un système d'information et dont la mise en œuvre a un impact direct sur le fonctionnement du système. Exemple : attaque DDOS sous la forme d'une tempête de requêtes TCP.

2. but de la menace(respectivement confidentialité, disponibilité, intégrité des informations).
3. condition de début d'attaque:
   • à la demande de l'agressé. C'est-à-dire que l'attaquant s'attend à la transmission d'une requête d'un certain type, qui sera la condition du lancement de l'attaque.
   • lors de l'apparition d'un événement attendu sur l'objet attaqué.
   • impact inconditionnel - l'attaquant n'attend rien, c'est-à-dire que la menace est mise en œuvre immédiatement et quel que soit l'état de l'objet attaqué.
4. disponibilité des commentaires avec l'objet attaqué :
   • avec feedback, c'est-à-dire que l'attaquant doit recevoir une réponse à certaines demandes. Ainsi, il existe un retour d'information entre la cible et l'attaquant, permettant à l'attaquant de surveiller l'état de l'objet attaqué et de répondre de manière adéquate à ses changements.
   • sans retour d'information - par conséquent, il n'y a pas de retour d'information et l'attaquant n'a pas besoin de réagir aux changements survenus dans l'objet attaqué.
5. localisation de l'intrus par rapport au système d'information attaqué: intra-segment et inter-segment. Un segment de réseau est une association physique d'hôtes, de matériel et d'autres composants réseau possédant une adresse réseau. Par exemple, un segment est formé d'ordinateurs connectés à un bus commun basé sur Token Ring.
6. Couche du modèle de référence ISO/OSI au niveau de laquelle la menace est implémentée: physique, canal, réseau, transport, session, représentant, application.

Examinons les attaques actuellement les plus courantes dans les réseaux basées sur pile de protocoles TCP/IP.

1. Analyse du trafic réseau. Cette attaque est mise en œuvre à l'aide d'un programme spécial appelé sniffer. Sniffer est un programme d'application qui utilise une carte réseau fonctionnant en mode promiscuous, le mode dit « promiscuous » dans lequel la carte réseau permet d'accepter tous les paquets, quel que soit leur destinataire. Dans l'état normal, le filtrage des paquets de couche liaison est utilisé sur l'interface Ethernet et si l'adresse MAC dans l'en-tête de destination du paquet reçu ne correspond pas à l'adresse MAC du paquet actuel. interface réseau et qu'il ne s'agit pas d'une diffusion, le paquet est rejeté. En mode "promiscuous", filtrer par interface réseau est désactivé et tous les paquets, y compris ceux qui ne sont pas destinés au nœud actuel, sont autorisés à entrer dans le système. Il convient de noter que bon nombre de ces programmes sont utilisés à des fins juridiques, par exemple pour diagnostiquer des pannes ou analyser le trafic. Cependant, le tableau que nous avons examiné ci-dessus répertorie les protocoles qui envoient des informations, y compris des mots de passe, en texte clair - FTP, SMTP, POP3, etc. Ainsi, à l'aide d'un renifleur, vous pouvez intercepter votre nom d'utilisateur et votre mot de passe et obtenir un accès non autorisé à des informations confidentielles. De plus, de nombreux utilisateurs utilisent les mêmes mots de passe pour accéder à de nombreux services en ligne. Autrement dit, s’il existe une faiblesse à un endroit du réseau sous la forme d’une authentification faible, l’ensemble du réseau peut en souffrir. Les attaquants sont bien conscients des faiblesses humaines et utilisent largement des méthodes d’ingénierie sociale.

   La protection contre ce type d’attaque peut inclure les éléments suivants :

   • Authentification forte par exemple en utilisant mots de passe à usage unique(Mot de passe à usage unique). L’idée est que le mot de passe peut être utilisé une seule fois, et même si un attaquant l’intercepte à l’aide d’un sniffer, il n’a aucune valeur. Bien entendu, ce mécanisme de protection ne protège que contre l'interception des mots de passe, et est inutile en cas d'interception d'autres informations, par exemple des e-mails.
   • Les anti-renifleurs sont du matériel ou des logiciels capables de détecter le fonctionnement d'un renifleur dans un segment de réseau. En règle générale, ils vérifient la charge sur les nœuds du réseau afin de déterminer la charge « excédentaire ».
   • Infrastructure commutée. Il est clair que l’analyse du trafic réseau n’est possible que sur un seul segment de réseau. Si le réseau est construit sur des appareils qui le divisent en plusieurs segments (commutateurs et routeurs), alors une attaque n'est possible que dans les parties du réseau qui appartiennent à l'un des ports de ces appareils. Cela ne résout pas le problème du reniflage, mais cela réduit les limites qu'un attaquant peut « écouter ».
   • Méthodes cryptographiques. Le moyen le plus fiable de gérer le travail des renifleurs. Les informations pouvant être obtenues par interception sont cryptées et n’ont donc aucune utilité. Les plus couramment utilisés sont IPSec, SSL et SSH.
2. Analyse réseau.Le but de l'analyse réseau est d'identifier les services exécutés sur le réseau, les ports ouverts, les services réseau, les protocoles utilisés, etc., c'est-à-dire la collecte d'informations sur le réseau. Les méthodes les plus couramment utilisées pour l'analyse réseau sont :
   • Les requêtes DNS aident un attaquant à découvrir le propriétaire du domaine, la zone d'adresse,
   • test ping – identifie les hôtes fonctionnels en fonction des adresses DNS obtenues précédemment ;
   • analyse des ports - une liste complète des services pris en charge par ces hôtes, ports ouverts, applications, etc. est compilée.

   Une contre-mesure efficace et la plus courante consiste à utiliser l'IDS, qui détecte avec succès les signes d'analyse réseau et en informe l'administrateur. Il est impossible de se débarrasser complètement de cette menace, car si, par exemple, vous désactivez l'écho et la réponse d'écho ICMP sur votre routeur, vous pouvez vous débarrasser de la menace ping, mais en même temps perdre les données nécessaires au diagnostic des pannes de réseau. .

3. Révélation du mot de passe.L'objectif principal de cette attaque est d'obtenir un accès non autorisé aux ressources protégées en contournant la protection par mot de passe. Pour obtenir un mot de passe, un attaquant peut utiliser de nombreuses méthodes : force brute simple, force brute par dictionnaire, reniflage, etc. La plus courante est une simple recherche par force brute de toutes les valeurs de mot de passe possibles. Pour se protéger contre la simple force brute, il est nécessaire d'utiliser des mots de passe forts et difficiles à deviner : de 6 à 8 caractères, utilisez des lettres majuscules et minuscules, utilisez des caractères spéciaux (@, #, $, etc.).

   Un autre problème de sécurité de l'information est que la plupart des gens utilisent les mêmes mots de passe pour tous les services, applications, sites, etc. De plus, la vulnérabilité d'un mot de passe dépend du domaine le plus faible de son utilisation.

   Ces types d’attaques peuvent être évités en utilisant des mots de passe à usage unique, dont nous avons parlé précédemment, ou en utilisant une authentification cryptographique.

4. Usurpation d'adresse IP ou substitution d'un objet réseau de confiance.Trusted désigne dans ce cas un objet réseau (ordinateur, routeur, pare-feu, etc.) légalement connecté au serveur. La menace consiste en un attaquant se faisant passer pour un objet réseau approuvé. Ceci peut être fait de deux façons. Tout d’abord, utilisez une adresse IP comprise dans la plage d’adresses IP autorisées ou une adresse externe autorisée qui permet d’accéder à certaines ressources réseau. Ce type d’attaque est souvent le point de départ d’autres attaques.

   En règle générale, l'usurpation d'une entité réseau de confiance se limite à l'insertion de fausses informations ou de commandes malveillantes dans le flux normal de données transmises entre les entités réseau. Pour une communication bidirectionnelle, un attaquant doit modifier toutes les tables de routage pour diriger le trafic vers une fausse adresse IP, ce qui est également possible. Pour atténuer la menace (mais pas l'éliminer), vous pouvez utiliser les éléments suivants :

   • contrôle d'accès. Vous pouvez configurer le contrôle d'accès pour rejeter tout trafic provenant d'un réseau externe avec une adresse source à l'intérieur du réseau. Cette méthode est efficace si seules les adresses internes sont autorisées et ne fonctionne pas s'il existe des adresses externes autorisées.
   • Filtrage RFC 2827 – ce type de filtrage vous permet d'arrêter les tentatives des utilisateurs de votre réseau d'usurper d'autres réseaux. Pour ce faire, vous devez rejeter tout trafic sortant dont l'adresse source n'est pas l'une des adresses IP de votre organisation. Ce type de filtrage est souvent effectué par le fournisseur. En conséquence, tout le trafic qui n’a pas d’adresse source attendue sur une interface particulière est rejeté. Par exemple, si un FAI fournit une connexion à l'adresse IP 15.1.1.0/24, il peut configurer un filtre afin que seul le trafic provenant de 15.1.1.0/24 soit autorisé depuis cette interface vers le routeur du FAI. Notez que jusqu'à ce que tous les fournisseurs mettent en œuvre ce type de filtrage, son efficacité sera bien inférieure à celle possible.
   • Mise en place de méthodes d'authentification supplémentaires. L'usurpation d'adresse IP n'est possible qu'avec l'authentification basée sur IP. Si vous introduisez des mesures d'authentification supplémentaires, par exemple cryptographiques, l'attaque devient inutile.
5. Déni de service (DoS)- une attaque contre un système informatique dans le but de le mettre en panne, c'est-à-dire de créer des conditions dans lesquelles les utilisateurs légitimes du système ne peuvent pas accéder aux ressources fournies par le système, ou cet accès est difficile.

   Une attaque DoS est l’attaque la plus courante et la plus connue ces derniers temps, principalement en raison de sa facilité de mise en œuvre. Organiser une attaque DOS nécessite un minimum de connaissances et de compétences et repose sur les lacunes des logiciels réseau et des protocoles réseau. Si une attaque est menée sur de nombreux appareils réseau, on parle d’attaque DoS distribuée (DDoS).

   Aujourd'hui, les cinq types d'attaques DoS suivants sont les plus couramment utilisés, pour lesquels il existe une grande quantité de logiciels et contre lesquels il est le plus difficile de se protéger :

   • Schtroumpf- Requêtes ping ICMP. Lorsqu'un paquet ping (message ICMP ECHO) est envoyé à une adresse de diffusion (par exemple, 10.255.255.255), il est transmis à chaque machine de ce réseau. Le principe de l'attaque est d'envoyer un paquet ICMP ECHO REQUEST avec l'adresse source de l'hôte attaqué. Un attaquant envoie un flux constant de paquets ping à une adresse de diffusion réseau. Toutes les machines, dès réception de la demande, répondent à la source avec un paquet ICMP ECHO REPLY. En conséquence, la taille du flux de paquets de réponse augmente plusieurs fois proportionnellement au nombre d’hôtes. En conséquence, l’ensemble du réseau est sujet à un déni de service dû à la congestion.
   • Inondation ICMP- une attaque similaire à Schtroumpf, mais sans l'amplification créée par les requêtes vers une adresse de diffusion dirigée.
   • Inondation UDP- envoi de plusieurs paquets UDP (User Datagram Protocol) à l'adresse du nœud attaqué.
   • Inondation TCP- envoi de plusieurs paquets TCP à l'adresse du nœud attaqué.
   • Inondation TCP SYN- lors de la réalisation de ce type d'attaque, un grand nombre de requêtes sont émises pour initialiser les connexions TCP avec le nœud attaqué, qui doit donc consacrer toutes ses ressources au suivi de ces connexions partiellement ouvertes.

   Si vous utilisez un serveur Web ou une application de serveur FTP, une attaque DoS entraîne l'occupation de toutes les connexions disponibles pour ces applications et les utilisateurs ne peuvent pas y accéder. Certaines attaques peuvent détruire un réseau entier en l'inondant de paquets inutiles. Pour contrer de telles attaques, l’implication du fournisseur est nécessaire, car s’il n’arrête pas le trafic indésirable à l’entrée du réseau, l’attaque ne sera pas stoppée car la bande passante sera occupée.

   Les programmes suivants sont le plus souvent utilisés pour mettre en œuvre une attaque DoS :

   • Trinoo- est un programme plutôt primitif, qui est historiquement devenu le premier à organiser des attaques DoS d'un seul type - l'inondation UDP. Les programmes de la famille « trinoo » sont facilement détectés par les outils de sécurité standards et ne constituent pas une menace pour ceux qui se soucient au moins un peu de leur sécurité.
   • TFN et TFN2K- une arme plus sérieuse. Permet d'organiser simultanément plusieurs types d'attaques - Smurf, UDP Flood, ICMP Flood et TCP SYN Flood. L’utilisation de ces programmes nécessite que l’attaquant soit beaucoup plus compétent.
   • Le dernier outil pour organiser des attaques DoS - Stacheldracht("fil barbelé"). Ce package vous permet d'organiser une variété de types d'attaques et d'avalanches de requêtes ping diffusées. De plus, les échanges de données entre contrôleurs et agents sont cryptés et une fonction d'auto-modification est intégrée au logiciel lui-même. Le cryptage rend très difficile la détection d’un attaquant.

   Pour atténuer la menace, vous pouvez utiliser les éléments suivants :

   • Fonctionnalités anti-usurpation – La configuration correcte des fonctionnalités anti-usurpation sur vos routeurs et pare-feu contribuera à réduire le risque de DoS. Ces fonctionnalités doivent, au minimum, inclure le filtrage RFC 2827. Si un pirate informatique ne peut pas dissimuler sa véritable identité, il est peu probable qu'il mène une attaque.
   • Fonctionnalités anti-DoS – Une configuration appropriée des fonctionnalités anti-DoS sur les routeurs et les pare-feu peut limiter l'efficacité des attaques. Ces fonctionnalités limitent souvent le nombre de canaux semi-ouverts à un moment donné.
   • Limitation du débit de trafic : une organisation peut demander au FAI de limiter la quantité de trafic. Ce type de filtrage vous permet de limiter la quantité de trafic non critique qui transite par votre réseau. Un exemple courant consiste à limiter le volume du trafic ICMP, qui est utilisé uniquement à des fins de diagnostic. Les attaques DoS utilisent souvent ICMP.

   Il existe plusieurs types de menaces de ce type :

   • Déni de service caché, lorsqu'une partie des ressources du réseau est utilisée pour traiter les paquets transmis par un attaquant, réduisant ainsi la capacité du canal, perturbant le temps de traitement des requêtes et perturbant les performances des périphériques réseau. Exemple : une tempête de demandes d'écho ICMP dirigée ou une tempête de demandes de connexion TCP.
   • Un déni de service apparent provoqué par l'épuisement des ressources du réseau suite au traitement des paquets envoyés par des attaquants. Dans le même temps, les demandes légitimes des utilisateurs ne peuvent pas être traitées car toute la bande passante du canal est occupée, les tampons sont pleins, l'espace disque est plein, etc. Exemple : tempête dirigée (SYN-inondation).
   • Un déni de service évident provoqué par une violation de la connectivité logique entre les moyens techniques du réseau lorsqu'un attaquant transmet des messages de contrôle au nom des périphériques du réseau. Dans ce cas, les données de routage et d'adresse changent. Exemple : hôte de redirection ICMP ou inondation DNS.
   • Un déni de service explicite provoqué par un attaquant transmettant des paquets avec des attributs non standard (par exemple, bombe UDP) ou ayant une longueur dépassant le maximum (Ping Death).

   Les attaques DoS visent à perturber la disponibilité des informations et ne violent pas l'intégrité et la confidentialité.

6. Attaques au niveau des applications. Ce type d'attaque consiste à exploiter des failles dans les logiciels serveur (HTML, sendmail, FTP). En utilisant ces vulnérabilités, un attaquant accède à un ordinateur au nom de l'utilisateur de l'application. Les attaques de la couche application utilisent souvent des ports qui peuvent « passer » à travers le pare-feu.

   Le principal problème des attaques au niveau de la couche application est qu’elles utilisent souvent des ports autorisés à traverser le pare-feu. Par exemple, un pirate informatique attaquant un serveur Web pourrait utiliser le port TCP 80. Pour que le serveur Web puisse proposer des pages aux utilisateurs, le port 80 du pare-feu doit être ouvert. Du point de vue du pare-feu, l'attaque est traitée comme du trafic standard sur le port 80.

   Il est impossible d’éliminer complètement les attaques au niveau des applications, car des programmes d’application présentant de nouvelles vulnérabilités apparaissent régulièrement. La chose la plus importante ici est une bonne administration du système. Voici quelques mesures que vous pouvez prendre pour réduire votre vulnérabilité à ce type d’attaque :

   • lecture des journaux (système et réseau) ;
   • suivre les vulnérabilités des nouveaux logiciels à l'aide de sites spécialisés, par exemple http://www.cert.com.
   • utilisation de l'IDS.

De par la nature même d’une attaque réseau, il est clair que son apparition n’est pas contrôlée par chaque nœud spécifique du réseau. Nous n’avons pas envisagé toutes les attaques possibles sur le réseau ; en pratique, elles sont bien plus nombreuses. Cependant, il ne semble pas possible de se protéger contre tous les types d’attaques. La meilleure approche pour protéger le périmètre du réseau consiste à éliminer les vulnérabilités utilisées dans la plupart des attaques cybercriminelles. Des listes de ces vulnérabilités sont publiées sur de nombreux sites qui collectent de telles statistiques, par exemple le site Web du SANS Institute : http://www.sans.org/top-cyber-security-risks/?ref=top20. Un attaquant ordinaire ne recherche pas de méthodes d'attaque originales, mais analyse le réseau à la recherche d'une vulnérabilité connue et l'exploite.

Il existe quatre grandes catégories d'attaques :

· attaques d'accès ;

· attaques de modification ;

· attaques par déni de service ;

· attaques contre la clause de non-responsabilité.

Examinons de plus près chaque catégorie. Il existe de nombreuses manières de mener des attaques : en utilisant des outils spécialement conçus, des méthodes d'ingénierie sociale et en utilisant les vulnérabilités des systèmes informatiques. En ingénierie sociale, les moyens techniques ne sont pas utilisés pour obtenir un accès non autorisé à un système. Un attaquant obtient des informations via un simple appel téléphonique ou pénètre dans une organisation sous le couvert d'un employé. Ces types d'attaques sont les plus destructeurs.

Les attaques visant à capturer des informations stockées électroniquement présentent une caractéristique intéressante : les informations ne sont pas volées, mais copiées. Il reste chez le propriétaire d'origine, mais l'attaquant le reçoit également. Ainsi, le propriétaire de l'information subit des pertes et il est très difficile de détecter le moment où cela s'est produit.

Attaques d'accès

Attaque d'accès est une tentative d'un attaquant d'obtenir des informations qu'il n'est pas autorisé à consulter. Une telle attaque est possible partout où existent des informations et des moyens de transmission. Une attaque d'accès vise à violer la confidentialité des informations. On distingue les types d'attaques d'accès suivants :

· regarder;

· les écoutes clandestines ;

· interceptions.

Lorgnant(espionnage) consiste à consulter des fichiers ou des documents pour rechercher des informations susceptibles d'intéresser l'attaquant. Si les documents sont stockés sous forme d’imprimés, l’attaquant ouvrira les tiroirs du bureau et les fouillera. Si l'information se trouve sur un système informatique, il parcourra fichier après fichier jusqu'à ce qu'il trouve l'information dont il a besoin.

Écoute clandestine(écoute clandestine) est l’écoute clandestine non autorisée d’une conversation à laquelle l’attaquant ne participe pas. Pour obtenir un accès non autorisé aux informations, dans ce cas, l'attaquant doit en être proche. Très souvent, il utilise des appareils électroniques. L’introduction des réseaux sans fil a augmenté les chances de réussite des écoutes clandestines. Désormais, l’attaquant n’a plus besoin d’être à l’intérieur du système ni de connecter physiquement le dispositif d’écoute clandestine au réseau.

Contrairement aux écoutes clandestines interception(interception) est une attaque active. L'attaquant capture les informations au fur et à mesure qu'elles sont transmises à leur destination. Après avoir analysé les informations, il prend la décision d'autoriser ou d'interdire leur passage ultérieur.

Les attaques d'accès prennent différentes formes selon la manière dont les informations sont stockées : sous forme de documents papier ou électroniquement sur un ordinateur. Si les informations dont un attaquant a besoin sont stockées dans des documents papier, il devra avoir accès à ces documents. On les retrouve aux endroits suivants : dans des classeurs, dans des tiroirs ou sur des tables, dans un télécopieur ou une imprimante, dans une poubelle, dans une archive. Par conséquent, un attaquant doit pénétrer physiquement dans tous ces emplacements.

Ainsi, l’accès physique est la clé pour obtenir des données. Il convient de noter qu'une protection fiable des locaux protégera les données uniquement contre les personnes non autorisées, mais pas contre les employés de l'organisation ou les utilisateurs internes.

Les informations sont stockées électroniquement : sur les postes de travail, sur les serveurs, sur les ordinateurs portables, sur disquettes, sur CD, sur bandes magnétiques de sauvegarde.

Un attaquant peut simplement voler le support de stockage (disquette, CD, bande de sauvegarde ou ordinateur portable). Parfois, cela est plus facile à faire que d'accéder aux fichiers stockés sur les ordinateurs.

Si un attaquant a un accès légal au système, il analysera les fichiers en les ouvrant simplement un par un. Avec un contrôle d'autorisation approprié, l'accès à un utilisateur illégal sera refusé et les tentatives d'accès seront enregistrées dans les journaux.

Des autorisations correctement configurées empêcheront les fuites accidentelles d’informations. Cependant, un attaquant sérieux tentera de contourner le système de contrôle et d'accéder aux informations nécessaires. Il existe un grand nombre de vulnérabilités qui l'aideront dans ce domaine.

Au fur et à mesure que les informations transitent par le réseau, elles sont accessibles en écoutant la transmission. Pour ce faire, l'attaquant installe un analyseur de paquets réseau (renifleur) sur le système informatique. Il s'agit généralement d'un ordinateur configuré pour capturer tout le trafic réseau (pas seulement le trafic destiné à cet ordinateur). Pour ce faire, l'attaquant doit augmenter son autorité dans le système ou se connecter au réseau. L'analyseur est configuré pour capturer toutes les informations transitant par le réseau, mais surtout les identifiants utilisateur et les mots de passe.

Les écoutes clandestines sont également effectuées dans les réseaux informatiques mondiaux tels que les lignes louées et les connexions téléphoniques. Toutefois, ce type d’interception nécessite un équipement approprié et des connaissances particulières.

L'interception est possible même dans les systèmes de communication par fibre optique à l'aide d'équipements spécialisés, généralement effectués par un attaquant expérimenté.

L'accès aux informations par interception est l'une des tâches les plus difficiles pour un attaquant. Pour réussir, il doit placer son système dans les lignes de transmission entre l'expéditeur et le destinataire de l'information. Sur Internet, cela se fait en modifiant la résolution du nom, ce qui entraîne la conversion du nom de l'ordinateur en une adresse incorrecte. Le trafic est redirigé vers le système de l'attaquant au lieu du nœud de destination réel. Si un tel système est configuré correctement, l'expéditeur ne saura jamais que ses informations ne sont pas parvenues au destinataire.

L'interception est également possible lors d'une session de communication valide. Ce type d'attaque est le mieux adapté pour détourner le trafic interactif. Dans ce cas, l’attaquant doit se trouver dans le même segment de réseau où se trouvent le client et le serveur. L'attaquant attend qu'un utilisateur légitime ouvre une session sur le serveur, puis, à l'aide d'un logiciel spécialisé, détourne la session pendant son exécution.

Attaques de modifications

Attaque de modification est une tentative de modification non autorisée des informations. Une telle attaque est possible partout où des informations existent ou sont transmises. Il vise à violer l’intégrité de l’information.

Un type d'attaque de modification est remplacement informations existantes, par exemple, un changement dans le salaire d'un employé. Une attaque de remplacement cible à la fois les informations secrètes et publiques.

Un autre type d'attaque est ajout de nouvelles données, par exemple, en informations sur l'histoire des périodes passées. Dans ce cas, l'attaquant effectue une transaction dans le système bancaire, à la suite de laquelle les fonds du compte du client sont transférés vers son propre compte.

Attaque suppression signifie déplacer des données existantes, comme annuler une entrée de transaction du bilan d'une banque, laissant les fonds retirés du compte rester dans le compte.

Comme les attaques d’accès, les attaques de modification sont menées contre des informations stockées sous forme de documents papier ou électroniquement sur un ordinateur.

Il est difficile de modifier des documents sans que personne ne s'en aperçoive : s'il y a une signature (par exemple dans un contrat), il faut veiller à la falsifier, et le document scellé doit être soigneusement remonté. S'il existe des copies du document, elles doivent également être refaites, tout comme l'original. Et comme il est quasiment impossible de retrouver toutes les copies, il est très facile de repérer un faux.

Il est très difficile d'ajouter ou de supprimer des entrées dans les journaux d'activité. Premièrement, les informations qu'ils contiennent sont classées par ordre chronologique, de sorte que tout changement sera immédiatement remarqué. Le meilleur moyen est de supprimer le document et de le remplacer par un nouveau. Ces types d’attaques nécessitent un accès physique aux informations.

Il est beaucoup plus facile de modifier les informations stockées électroniquement. Considérant que l’attaquant a accès au système, une telle opération laisse un minimum de preuves. S'il n'y a pas d'accès autorisé aux fichiers, l'attaquant doit d'abord sécuriser une connexion au système ou modifier les paramètres de contrôle d'accès aux fichiers.

La modification des fichiers de base de données ou des listes de transactions doit être effectuée avec beaucoup de soin. Les transactions sont numérotées séquentiellement et la suppression ou l'ajout de numéros de transaction incorrects sera noté. Dans ces cas, un travail approfondi doit être effectué dans tout le système pour empêcher la détection.

Dans la plupart des cas, l'apparition d'un code malveillant sur un site Web n'est pas la conséquence d'un comportement malveillant de la part du propriétaire du site, mais s'avère souvent être une surprise pour le propriétaire du site, car elle est la conséquence d'un piratage.

Nous travaillons sur ce sujet depuis de nombreuses années, nous avons examiné de nombreux cas différents et, ces dernières années, j'ai également vu un assez grand nombre de cas différents de piratage de divers sites. Il s'agit par exemple à la fois de très grands sites, comme les médias en ligne les plus connus, les banques, les sites de grandes entreprises, et parfois de très petits sites, les sites de cartes de visite, certains sites d'établissements éducatifs et religieux.

Comment protéger votre site Web

Tous sont, à un degré ou à un autre, sensibles à certaines menaces, risques associés à la sécurité informatique, et cela sera discuté. Nous parlerons également de la façon de réduire ces risques, d'un minimum de base, d'un aperçu général de tout ce qui s'y rapporte, des menaces qui existent, de ce à quoi le webmaster d'un site particulier est confronté dans son travail.

Aujourd'hui, nous allons parler de l'exemple le plus courant, lorsque nous avons une sorte d'attaquant externe qui menace le site d'une manière ou d'une autre.

Afin de comprendre à quoi s'attendre, quels dégâts sont possibles, quelles attaques sont possibles, vous devez comprendre qui est l'attaquant.

Tous ces attaquants et types d’attaques se répartissent en deux grandes catégories. Selon quels critères peuvent-ils être divisés ?

• sur les approches d’attaque utilisées ;
• par des groupes de sites sensibles à l'un ou l'autre groupe d'attaques ;
• selon des techniques de réduction des risques appropriées pour chacun de ces groupes.

Par exemple, les attaques de masse sont largement automatisées, comme par exemple l’obtention d’accès non autorisés. Les attaques de masse visent à toujours accéder à l'ensemble du site. L'extorsion de masse se produit également ici, mais elle est également mise en œuvre par le biais d'un accès non autorisé.

Souvent, des systèmes automatiques entiers fonctionnent simplement, un script s'exécute qui recherche simplement les versions vulnérables de divers composants logiciels qui l'intéressent. Par exemple, les versions vulnérables d'un système de gestion de contenu, ou vice versa, ou il recherche certains problèmes typiques de configuration de l'environnement du serveur. Par exemple, vous disposez d'une sorte de serveur HTTP et des mots de passe sont recherchés.

Puisque tout est automatisé, l'exploitation des accès reçus est également automatisée, et si vous disposez d'une base de données avec les détails de paiement sur votre site internet, en cas d'attaque automatique, vous pouvez vous considérer chanceux, car le script ne sera pas compris, ils sont pour la plupart plutôt stupides.

Il ne comprendra pas quelles données importantes vous avez sur votre site, il mettra en œuvre un schéma très simple dans le style de l'envoi de spam, en organisant des attaques par déni de service distribué, une simple petite extorsion, en infectant les visiteurs de votre site.

Dans le cas d'attaques ciblées, tout est un peu plus triste pour le propriétaire du site. Souvent sujette à une attaque majeure, une personne arrive avec ses mains avec beaucoup d'expérience et des outils bien développés, et commence à rechercher des problèmes caractéristiques. Avec une très forte probabilité, comme le montre la pratique, c'est le cas.

Et puis commence une exploitation particulièrement crapuleuse, qui, d’une part, est beaucoup plus difficile à détecter que dans le cas d’attaques de masse, et d’autre part, il est beaucoup plus difficile de minimiser à l’avance d’éventuels dommages. Par conséquent, une fois qu’un attaquant pénètre dans le système avec ses mains, il comprend très bien le contexte et sait souvent au départ pourquoi il vient.

Qu’est-ce qui est le plus sûr à utiliser ? Par exemple, un système de gestion de contenu de stock populaire ou quelque chose de fait maison ? Pour réduire le risque d'attaques massives, il est préférable d'utiliser quelque chose de non standard.

Parce que tout cela est automatisé, des solutions standard sont recherchées et l'utilisation d'une sorte de système de gestion de contenu auto-écrit, pratiquement, un captcha auto-écrit - toute solution auto-écrite contre une sorte d'attaque de masse, lorsqu'un script vient sur votre site et cherche quelque chose de familier , mais tout cela ne fonctionnera pas.

Dans le cas d’attaques ciblées, c’est le contraire. Autrement dit, la probabilité que des erreurs critiques typiques soient commises dans une solution auto-écrite, qui deviennent alors des vulnérabilités et sont exploitées pour y accéder, est beaucoup plus élevée que si vous utilisiez des solutions logicielles populaires qui, au cours de la longue histoire de leur développement. Nous avons collecté beaucoup de « râteaux » dans ce domaine. Par conséquent, lorsque leurs vulnérabilités sont publiées, elles sont souvent soit complexes, soit se produisent à l’intersection de différents systèmes.

L'attaque comprend les étapes suivantes :

Surtout pour les occasions de masse. Prenez une ligne spéciale, telle que Power Add Buy, phpBB version 1.6.1. Un ensemble de sites est automatiquement recherché à l'aide d'une technologie spécifique - l'un des vecteurs. Tous ces sites sont trouvés, un script est lancé sur eux, le script va, recherche quelques vulnérabilités, divers admins. panneaux le long des chemins standard, certains outils standards, tels que php my admin, qui sont également situés le long des chemins standard.

Et, par conséquent, si une vulnérabilité est trouvée, elle est automatiquement exploitée s'il y a des administrateurs. panneaux où vous pouvez saisir des mots de passe et il n'y a aucune protection contre la force brute, la recherche commence pour des cas simples qui, comme le montre la pratique, sont également très efficaces.

Une fois l'accès obtenu, un composant appelé web-shell est téléchargé - c'est un tel outil, un tel élément d'application Web, un script qui ouvre un large éventail de possibilités, laissant une « porte dérobée » permanente sur votre serveur pour poursuivre d'autres actions.

Après cela, lorsque l'attaquant dispose d'un accès stable à votre serveur au-delà de tous les moyens d'auto-protection, l'attaquant tente de prendre pied dans le système et, par exemple, de disperser toutes sortes de shells Web de rechange, d'exploiter, par exemple, une vulnérabilité dans le système d'exploitation et augmenter les privilèges. Par exemple, devenir root, qui est souvent aussi automatisé et après quoi l'exploitation devient encore plus sévère. Et puis les pressions financières commencent en raison du piratage du site. De nos jours, il est rare de trouver des cas où quelqu'un ou quelque chose pirate un site avec autre chose que l'argent comme motif, d'une manière ou d'une autre.

Voici à quoi ressemble ce web-shell du point de vue de l’attaquant :

Il s'agit d'un système qui vous permet de travailler via une interface, ainsi que automatiquement. Ce qui est intéressant, c’est qu’il y a une ligne en haut qui donne des informations très détaillées sur le noyau du système d’exploitation. Juste pour automatiser l’opération d’augmentation des privilèges sur place.

Lorsque des vulnérabilités sont découvertes dans le noyau du système d’exploitation, des exploits sont publiés sur des sites populaires. Qu'est-ce qu'un exploit ? Un programme qui utilise cette vulnérabilité pour atteindre son propre objectif et dont les privilèges sont augmentés. Cela ressemble grossièrement à ceci :

Outre le fait que divers scripts malveillants commencent à se propager sur tout le serveur, des composants binaires se retrouvent parfois également sur le site. Par exemple, comme l'assemblage binaire principal ou les plugins pour le serveur Web lui-même. Il peut s'agir de modules pour un correctif, pour njinx, njinx reconstruit ou tout autre composant binaire important que vous avez sur le système, SSHD.

Il s'agit d'un site Virustotal où vous pouvez vérifier n'importe quel fichier, ce que 50 moteurs antivirus en pensent.

Voici des exemples de composants binaires ajoutés, de ce que disent divers analyseurs antivirus à propos de divers serveurs Web malveillants ou de leurs modules que nous avons trouvés :

Je voudrais noter que lorsque nous les avons trouvés, tout était vide ici, et personne n'a souvent rien détecté. Ce n’est que plus tard que nous avons parfois commencé à envoyer ces exemples à des éditeurs d’antivirus, et des détections sont apparues.

Parfois, si vous essayez déjà de trouver la source d’un code malveillant sur votre site, l’industrie antivirus peut vous aider d’une manière ou d’une autre. Tous les fichiers préparatoires peuvent être « transmis » soit au site, soit à des utilitaires spécifiques, mais nous en reparlerons un peu plus tard, mais c'est là l'essentiel.

Après exploitation, des scripts serveur apparaissent, ainsi que des configurations de serveur web modifiées. Il y avait un exemple souvent rencontré où, lorsqu'un site était piraté, la configuration du serveur web était également automatiquement modifiée en ajoutant des redirections conditionnelles.

Tous les visiteurs mobiles de votre site Web ont été redirigés vers divers sites frauduleux, les monétisant ainsi. Et comme il n'y a pas si longtemps, il y a quelques années, de nombreux webmasters ne pensaient pas aux utilisateurs mobiles de leurs sites, ils n'ont même pas pu remarquer pendant longtemps que les visiteurs mobiles, lorsqu'ils visitent leur site, sont envoyés vers diverses escroqueries. De nombreux webmasters l'ont mis en place consciemment, en essayant de procéder à une telle monétisation, mais il y a eu des cas vraiment massifs où tout cela est apparu dans le cadre d'un piratage.

Il est également possible qu'il y ait du code malveillant dans la base de données. L’exemple le plus courant est celui d’une attaque utilisant la classe XXS. Par exemple, vous disposez d'un formulaire de saisie de commentaires sur le site et la validation des paramètres est insuffisante.

L'attaquant, comme je l'ai déjà dit, est souvent des systèmes entièrement automatisés qui recherchent eux-mêmes votre site ; ils y chargent non seulement du texte, mais une charge spéciale qui, lorsque la page est rendue, deviendra un script contrôlé par l'attaquant. Et de cette façon, vous pouvez faire ce que vous voulez avec les visiteurs de votre site Web.

Cela se produit de manière statique, lorsqu'ils ajoutent simplement du code malveillant aux modèles ou au JavaScript statique. Comme je l'ai déjà dit, il arrive que des fichiers binaires soient remplacés. Il existe des cas très astucieux où, par exemple, des attaquants créent un système aussi astucieux, nous l'avons déjà rencontré.

Le fichier principal du serveur Web est pris, par exemple, s'il s'agit d'un correctif de serveur Web, il s'agit d'un fichier binaire sshd qui est copié vers un autre emplacement, un assembly malveillant est placé à sa place, puis il est lancé.

Après cela, le fichier modifié est effacé du système de fichiers et l'original est placé. Vous exécutez un serveur Web malveillant, mais vous en avez une version inchangée dans votre système de fichiers, et même le contrôle d'intégrité ne montre aucun problème.

Lorsque des attaquants s'introduisent sur un serveur, notamment dans le cas d'attaques ciblées, ils sont assez rusés dans leurs inventions et parfois, surtout pour des attaques ciblées, lorsque de vraies personnes arrivent, il faut faire preuve d'une grande dextérité pour généralement trouver la source de l'attaque. le compromis du site.

Pourquoi tout cela est-il fait ? Il est également important de comprendre afin de garder à l'esprit un certain modèle de menace, de prédire ce qui va arriver au site et quels problèmes il pourrait y avoir. Comme je l'ai déjà dit, les méthodes de monétisation qui motivent les attaquants à attaquer diffèrent entre ces groupes, qu'il s'agisse d'attaques ciblées ou de masse.

Si pour les attaques de masse, nous avons quelque chose qui peut être réalisé sans approfondir le contexte du site. Nous venons de nous retrouver sur un serveur abstrait, que pouvons-nous en faire ? Il y a des visiteurs, ils peuvent donc être infectés. Il est le plus susceptible d’apparaître dans le moteur de recherche, il peut donc être utilisé dans la position du moteur de recherche pour diverses optimisations Black Hat SEO.

Ajoutez-y des catalogues avec des portes, répertoriez-les sur l'échange de liens, en général, tout ce qui s'y rapporte. Envoi de spam, organisation d'attaques DDoS, par exemple. Pour les attaques DDoS, dont nous parlerons plus tard, les attaquants ont également besoin de certaines ressources, par exemple de très nombreux serveurs différents.

La phrase « extorsion » est très intéressante. Cela s’est également beaucoup développé ces derniers temps. Tout le monde a entendu à plusieurs reprises et a peut-être rencontré de tels chevaux de Troie ransomware, par exemple sur les ordinateurs de bureau, sur le système d'exploitation Windows. Il y a quelques années, ils ont plus ou moins commencé à prendre le relais et à se connecter aux téléphones Android lorsque...

Tout le monde le sait, tout le monde l'a rencontré d'une manière ou d'une autre, ou du moins a entendu parler de la façon dont un fichier malveillant est lancé. Il commence à chiffrer l’intégralité du système de fichiers puis demande une rançon. Ainsi, au cours de la dernière année, nous avons vu que de telles choses ont commencé sur les serveurs. Le site est piraté, après quoi tout le contenu des bases de données est crypté, ainsi que l'ensemble du système de fichiers, et l'attaquant demande une rançon à l'administrateur, en espérant que l'administrateur ne dispose pas de sauvegardes à jour du système de fichiers et de la base de données.

Dans le cas d’attaques ciblées, les choses sont encore plus sophistiquées. Souvent, si une attaque ciblée est menée, on sait déjà ce qui peut être obtenu sur le site. Il s’agit soit d’une clientèle, soit d’un très, très grand nombre de visiteurs, qui peuvent également être monétisés de diverses manières. Souvent inaperçu par l'administrateur des ressources pendant des mois.

Vous pouvez, une fois à l'intérieur, interférer sur le site de toutes les manières possibles, créer diverses difficultés techniques dans un but de concurrence déloyale. Il faut comprendre qu'en fait il existe un tel mythe dans l'environnement antivirus selon lequel, par exemple, j'ai un ordinateur à la périphérie ou dans le cas d'un site, le site a peu de trafic, ce qui signifie que personne en a besoin. Ce n'est pas vrai.

Même le site Web le plus minable proposé sur un hébergement gratuit est d’une manière ou d’une autre monétisé au moins un peu, et il représentera toujours une cible souhaitable pour des attaques massives. Sans oublier bien sûr les grands sites, encore plus faciles à monétiser.

Attaque contre les visiteurs : téléchargement au volant

Oui, nous avons parlé littéralement, en un mot, de l’infection des visiteurs. Il est probable que cette menace ait disparu d’elle-même au cours de l’année écoulée. Qu’est-ce que l’infection des visiteurs ? Un attaquant a piraté un site et que se passe-t-il ensuite s'il veut gagner de l'argent en infectant les visiteurs :

Comme je l'ai déjà dit, il peut rediriger les utilisateurs mobiles vers un site où il leur est proposé d'installer une application sous le couvert d'une mise à jour de Flash Player ou quelque chose comme ça. Et pour les ordinateurs de bureau, un schéma aussi populaire consiste à exploiter une vulnérabilité dans le navigateur du visiteur ou dans l’un des plugins de son environnement.

Par exemple, en 2012, les vulnérabilités les plus exploitées concernaient le plugin Java, qui a coûté plus de la moitié des utilisateurs exploités dans Adobe Reader en 2012. Maintenant, ils n'exploitent plus Adobe Reader, ils n'exploitent plus Java, maintenant ils exploitent Flash Player.

De nouvelles vulnérabilités dans Flash Player sont publiées régulièrement, et chacune d'entre elles permet souvent une attaque appelée téléchargement au volant. Qu'est-ce que ça veut dire? Cela signifie que le visiteur visite simplement le site, ne fait rien d’autre et, en raison de l’exploitation de la vulnérabilité du plugin, un programme malveillant apparaît dans son système, qui s’exécute et infecte automatiquement le système.

Déni de service, alias DDoS

C'est le cas si nous parlons du moment où un attaquant accède toujours au site et à sa gestion. Dans de nombreux cas, l'attaquant n'essaie même pas d'accéder, il veut simplement interférer avec le fonctionnement normal de votre site d'une manière ou d'une autre. Tout le monde a probablement entendu et rencontré un déni de service, appelé déni de service distribué.

Motifs principaux : concurrence et extorsion. Concurrence - c'est clair, alors que les utilisateurs ne vont pas sur votre site, ils vont sur le site d'un concurrent, extorsion - il est aussi bien évident qu'une attaque contre votre site commence, vous recevez une sorte de lettre vous invitant à payer quelque chose à quelqu'un, et là, vous devez faire quelque chose.

Les attaques se répartissent en trois catégories principales

L’attaque la plus simple est une attaque contre l’application. Le scénario le plus typique pour une attaque contre une application est que vous ayez un site Web, par exemple une boutique en ligne avec une sorte de recherche. Vous avez là une recherche avancée avec un tas de paramètres, ce qui crée une requête de base de données relativement lourde. Un attaquant arrive, voit votre option de recherche avancée et crée un script qui commence à envoyer des requêtes lourdes et lourdes dans votre formulaire de recherche avancée. La base de données s'effondre rapidement même sous la pression d'un hébergeur standard pour de nombreux sites en pratique et c'est tout. Pour cela, aucune ressource particulière n’est nécessaire de la part de l’attaquant.

Attaque de la couche de transport. Au niveau de la couche transport, il existe essentiellement deux protocoles. Les attaques sur UDP, elles font plutôt référence à une attaque sur le canal, car il n'y a pas de session là-bas. Et si nous parlons du protocole TCP, il s'agit alors d'un cas d'attaque assez courant.

Qu'est-ce que le protocole TCP ? Le protocole TCP signifie que vous disposez d'un serveur et qu'il dispose d'une table de connexions ouvertes avec les utilisateurs. Il est clair que cette table ne peut pas être d'une taille infinie et l'attaquant conçoit spécifiquement de très nombreux paquets qui initient la création d'une nouvelle connexion, et les paquets proviennent souvent même de fausses adresses IP.

Il déborde de cette table et, par conséquent, les utilisateurs légitimes qui viennent sur votre site ne peuvent pas accéder à cette table de connexion et, par conséquent, ne reçoivent pas votre service. Il s’agit d’un exemple typique d’attaque courante que les gens ont appris à combattre ces dernières années.

Et le pire, c'est l'attaque de la chaîne. C'est à ce moment-là que vous disposez d'un canal entrant par lequel certaines requêtes peuvent parvenir à votre serveur et que l'ensemble du canal est tout simplement obstrué.

Si dans deux attaques de niveau supérieur, vous pouvez toujours appliquer une sorte de logique sur le serveur lui-même afin de donner un tour à ces attaques, alors dans le cas d'une attaque sur le canal sur le serveur lui-même, il est impossible de faire quoi que ce soit, car pour faire quelque chose dont vous avez besoin, j'aimerais accepter la demande, mais tout le canal est déjà bouché, les utilisateurs ne peuvent généralement pas frapper à la porte.

Pourquoi? Pourquoi discutons-nous même de cette classification et pourquoi en avez-vous besoin ? Oui, tout simplement parce que chacun de ces types d’attaques possède sa propre contre-mesure. Si vous rencontrez cela, vous comprenez que vous faites face à une attaque par déni de service et la première chose à faire est de décider quel type d'attaque est en cours et de choisir la bonne façon de commencer à combattre cette attaque. Bien qu'ils puissent également être combinés.

Magomed Tcherbizhev