Quelques Dénis de services Sympa ou pas

Bijour à vous en ce dimanche ensoleillé (en Alsace ^^).

Petite note : Vous seul êtes responsable de vos actes (de toutes façon, la plupart de ces commandes exécutées par une seule machine ne peuvent plus venir à bout d’un serveur (ou d’une machine quoique …) … donc n’imaginez pas pouvoir planter le serveur de votre petite copine avec les commandes fournit dans l’article … mieux vaut la corriger autrement …)

Voilà mon premier article un peu orienté attaque de l’année (après plein de truc inutile sur comment fortifier son serveur sauce juvamine), ça fait suite à l’attaque qu’a subit korben, et je suis tombé (par hasard!! ça arrive si si je vous jure) sur un vieux numéro de MISC (le numéro 19 de mai-juin 2005 qui était très intéressant … leurs articles sont toujours très intéressant d’ailleurs), qui analysait diverses méthodes de dénis de services.

Donc voici le petit résumé des commandes sympa du mag en question : (Oui dites-le, je ne suis qu’un copieur … et alors ?! J’ai aussi rajouté quelques trucs trouvés sur le net histoire de me faire pardonner ou pas)

  • SynFloods :
    • L’une des attaques les plus simpliste : on balance un paquet TCP avec un syn et on arrête là (donc pas de syn-ack a réceptionner et donc de ack a envoyer, le serveur attendra une réponse qui ne viendra jamais), ce qui peut à termes bouffer pas mal de ressource côté serveur
    • La commande en mode « normal » : hping3 –syn -M 123456 -L 0 -p 80 <ip> –flood
    • Paquets générés : syn-flood-normal On remarque que les paquets ont tous la même tronche (même adresse source et destination) sympa pour se faire choper ^^
    • La commande en random source : hping3 –syn -M 123456 -L 0 -p 80 <ip> –flood –rand-source
    • Paquets générés : syn-flood-randomOn remarque que les ips sources changent … comme c’est direct écrit dans le paquet tcp, y’a de grande chance de ne pas se faire choper … à part si le FAI le détecte ^^.
  • Syn-Ack Floods
    • Un autre type d’attaque sympa, on balance un syn-ack au serveur, le serveur n’ayant pas de ack associé va renvoyer un rst et là … owned, on peut donc par exemple, flooder un serveur en lui envoyant les syn-ack avec comme ip source un autre serveur, et c’est le premier serveur qui enverra les rst au second serveur … on attaque une machine et ce sont deux machines qui trinquent !! Par contre ici, la consommation de mémoire est moindre à cause de l’envoi du rst. A noter que sur une attaque de grande ampleur, en randomisant/incrémentant les numéros de séquence on peut (peut-être) couper des connexions existante (faut soit avoir du bol, soit avoir pas mal de machines sous la main ;))
    • La commande : hping3 -SA -M 123456 -L 0 -p 80 –flood –rand-source
    • Paquets générés : syn-ackOn remarque le flag syn/ack, et toujours l’ip source spoofé (l’ip de destination est mon serveur … et je m’autorise à me flooder ^^)
  • Le sapin de noël TCP
    • Ici, un envoi de paquets avec un numéro de séquence nul
    • La commande : sudo hping3 -SAFRU -M 0 -L 0 -p 80 –flood
    • Paquets générés : safru-modeOn remarque les flags FIN/SYN/RST/ACK/URG qui sont set … j’ai oublié de prendre le numéro de séquence en screen, mais bon …
  • Le trou noir de niveau 2!! (ARP)
    • Ici, c’est l’attaque d’un sous-réseaux, l’attaque parfaitement inutile … on balance ettercap pour détourner les paquets en local vers sa machine … et on oubli comme un noob le forwarding des paquets … et plus d’accès au net … cela dit, faire passer sa machine pour la passerelle et rediriger le traffic pour choper des pass semble plus intelligent …
    • La commande : cf. l’un de mes articles sur ettercap en omettant le forwarding
  • Le trou noir de niveau 3 (IP)
    • Ici ba c’est pareil que le niveau 2 … aussi naze, sauf que c’est au niveau au-dessus, au lieu de rediriger vers une MAC qui bloque le traffic on envoi le traffic sur une ip inexistante ou non-configuré comme gateway
    • La commande : sing -red -S <ip gateway> -gw <ip nouveau gateway> -dest 0.0.0.0 (le net quoi) -x net <ip victime>
    • Exemple avec captures du paquet : sing -red -S 192.168.0.1 -gw 192.168.0.13 -dest 0.0.0.0 -x net 192.168.0.11
      192.168.0.1 est ma passerelle de base, 192.168.0.13 est la machine qui va servir de nouvelle passerelle qui prendra le traffic à destination de 0.0.0.0 (le net quoi) -x net 192.168.0.11 qui est ma machine « victime »
      icmp-redirectA noter qu’encore une fois … le paquet est entièrement forgé, donc si vous ne mettez pas votre ip dedans … ben elle y sera pas ^^, donc on remarque les différents champs du paquet ICMP source/destination et adresse du nouveau gateway, …
    • On peut aussi faire cette attaque sur un DHCP (genre on le descend avec maraveDHCP encore un DoS!! … un DoS pour faire un autre DoS futé :p) puis on utilise irdp de façon similaire à la commande précédente : irdp -i eth0 -S 192.168.0.13 -D 192.168.0.11 (quand même plus court que l’autre commande ^^).
  • Les attaques sur les sessions
    • Ici, le but est d’ouvrir une session sans la fermer, donc on suit le cheminement SYN/SYN-ACK/ACK et plus rien, sachant que la config par défaut des serveurs est d’avoir genre 150-200 clients simultannés au maximum, ouvrir autant de session rendra le serveur aphone ou le fera pas mal lagguer
    • La commande pour un service apache : webdevil <ip-serveur> 80 <nb session> (je l’ai fait sur localhost cette fois … j’ai pas envie de tester sur mon serveur ^^)flood-apache
      On voit les paquets syn, syn-ack et ack … et plus rien (j’ai pas pris la suite dans le screen parce que y’avait plein de dup … allez savoir pourquoi ;))
    • A noter que webdevil est vraiment orienté bad … l’auteur a même prévu un ensemble d’outil pour lancer des attaques distribuées (suffit de remplir le fichier slaveservers.txt encore un truc de SM … de lancer le webdevild sur les machines esclaves et le devilmaster sur le maitre^^ si c’est pas méchant)
  • Flood sur le service DNS
    • Encore une attaque sympa avec un outils sympa … toujours et encore sur packetstorms … qui permet de flooder un serveur DNS … encore mieux ^^
    • La commande : dnsflood <ip serveur> (j’ai pas fait de capture … too lazy)
  • Flooder un routeur Wifi avec mdk3

Je rajouterai encore des trucs prochainement … ou pas (si j’arrive à déchiffrer le PDF plus bas :p), si ça vous a intéressé, lisez donc le numéro 19 de MISC (vous serez surement surpris de voir le nombre de truc que j’ai pas encore copié de l’article en question 😉 j’ai quand même pris des screenshots :p c’est du boulot, bon je m’enfonce j’arrête là … bon apétit).

Quelques liens :

  • Une doc, (j’ai pas réussi à le lire … probleme de police sa TimeNewsRoman est planté, j’ai juste réussi à lire les titres ^^) sur les attaques DOS, moi qui pensait avoir honteusement pompé sur MISC (ce PDF parle d’autre attaque DoS en plus de ceux présenté ici … faut dire, y’a pas mal de technique possible avec d’autre logiciels et d’autre config), sinon, le site de l’auteur est sympa.
  • Sinon, y’a google qui donne toujours de très bon liens 😉

Une réflexion sur « Quelques Dénis de services Sympa ou pas »

  1. Merci pour cet article. Dommage qu’il n’y ai du coup pas les détails des protections. Car je subi actuellement ces attaques. Tes exemples sont donc parfait pour tester mes tentatives de correctif. Mais bon c’est pas encore ça.

Les commentaires sont fermés.