D.D.O.S.

et D.O.S
L'attaque par dni de Service
Expliqu aux enfants.

dition Blu3 Cr3w

L'attaque par dni de Service Expliqu aux enfants

Par Dr C-

*Avertissement*
Tout le matriel prsent ici ne doit tre vu qu'a titre informatif.
Je n'encourage pas le piratage illgal injustifi.
Toutes les informations prsentes ici sont facilement
trouvable partout ailleurs sur le net.
Je dcline toute responsabilit au lecteur.

L'attaque par dni de Service Expliqu aux enfants

Par Dr C-

Dfinition
Une attaque par dni de service (denial of service attack, d'o l'abrviation DoS) est une
attaque informatique ayant pour but de rendre indisponible un service, d'empcher les
utilisateurs lgitimes d'un service de l'utiliser. Il peut s'agir de :
linondation dun rseau afin d'empcher son fonctionnement ;
la perturbation des connexions entre deux machines, empchant l'accs un service
particulier ;
l'obstruction d'accs un service une personne en particulier.
L'attaque par dni de service peut ainsi bloquer un serveur de fichiers, rendre impossible
l'accs un serveur web ou empcher la distribution de courriel dans une entreprise.
L'attaquant hacker n'a pas forcment besoin de matriel sophistiqu. Ainsi, certaines attaques
DoS peuvent tre excutes avec des ressources limites contre un rseau beaucoup plus grand
et moderne. On appelle parfois ce type d'attaque attaque asymtrique (en raison de la
diffrence de ressources entre les protagonistes). Un hacker avec un ordinateur obsolte et un
modem lent peut ainsi neutraliser des machines ou des rseaux beaucoup plus importants.
-Wikipdia

L'attaque par dni de Service Expliqu aux enfants

Par Dr C-

La Base
La base du Dos, c'est de demander a une machine d'envoyer des requte a un serveur.
Lorsqu'on demande une requte http (par exemple) a un serveur, le serveur recherche la page demande
et envoie le script a l'utilisateur. Normalement, le script est ensuite dchiffr et affich par le navigateur.
(D'autres protocoles sont affichs en ANNEXE A)

Illustration 1: Il faut souvent plusieurs pirates pour attaquer

un site (ou une connexion) avec une simple technique de Dos

Pour le Dos, le but est d'envoyer un un nombre assez important de requtes pour que le serveur ne
puissent pas rpondre a la totalit des requte. Ainsi le serveur n'est plus disponible sur le net puisque
les protocoles d'change entre le serveur et les clients est satur.
En gnral, le pirate utilise des logiciel de Dos (ANNEXE B), mais il est galement possible d'envoyer
des requtes a partir d'une console (CMD, Terminal Linux,,,).

L'attaque par dni de Service Expliqu aux enfants

Par Dr C-

Mais avec le Dos, les requtes tant directement envoy de l'ordinateur du pirate, la victime de l'attaque
pourrait avoir des informations sur l'attaquant. Il est recommander d'utiliser des VPNs.
Mais le tout tant risquer, les vrais black hats nous ont montrer le D.D.O.S.
La diffrance entre le DOS et le DDOS, c'est le nombre d'attaquants.
Pas le nombre de pirate, lui il reste a 1.
Les attaquants sont des ordinateurs.
Parfois, ils appartiennent tous au pirate.
Parfois, ils appartiennent tous a n'importe qui, qui n'ont aucune ide que leurs ordinateurs est utilis a
ses fins.
Le principe est trs simple.

Les Botnets et les Zombies

Le DDOS (Dnie de Service Distribu) consiste a infecter des ordinateur distant (zombie) avec un virus
(qui permettra d'tablir la connexion entre le pirate, le zombie et la cible de l'attaque) et d'utiliser les
zombie infects pour coordonn une attaque de dni de service.
En Gnral, les Botnets se retrouvent en deux princaple parties :
1. La partie web,
plusieur fichiers a uploader sur un serveur web (souvent en php)
Dont un panel pour l'attaque et des DataBases pour grer les zombies
C'est sur ce serveur que l'on commande l'attaque.
2. Et la partie logiciel, qui gnre le virus.
(Qui devra tre propager pour obtenir plus de zombie)

Plusieurs tuto son disponible sur le net.

Peut-tre vais-je en partager ici plus tard...

L'attaque par dni de Service Expliqu aux enfants

Par Dr C-

En Pratique
(Demandez-moi)

ANNEXE A
Types d'attaques
On appelle attaque par dni de service toutes les actions ayant pour rsultat la mise hors-ligne d'un
serveur. Techniquement, couper l'alimentation d'un serveur dans un but malfaisant peut-tre considr
comme une attaque par dni de service. Dans les faits, les attaques par dni de service sont opres en
saturant un des lments du serveur cibl.
Exploitation des failles ou des limites des machines
Une des attaques les plus courantes consistait envoyer un paquet ICMP de plus de 65 535 octets. Audessus de cette limite, les piles IP ne savaient pas grer le paquet proprement, ce qui entrainait des

L'attaque par dni de Service Expliqu aux enfants

Par Dr C-

erreurs de fragmentation UDP, ou encore les paquets TCP contenant des flags illgaux ou
incompatibles.
Les piles actuelles rsistent ce type dattaques. Nanmoins, les dlais de traitement de ce genre de
paquets restent plus longs que ceux ncessaires pour traiter les paquets lgitimes. Ainsi, il devient
commun voire trivial de gnrer une consommation excessive de processeur (CPU) par la simple
mission de plusieurs centaines de milliers danomalies par seconde, ce quun outil tel que hping3
permet en une unique ligne de commande
ex. : [root@localhost root]# hping3 -SARFU -L 0 -M 0 -p 80 www.cible.com --flood
Avec l'arrive du haut dbit et l'augmentation de la puissance des ordinateurs personnels, le potentiel
d'attaque a t dcupl, mettant en vidence la faiblesse des installations dveloppes il y a plusieurs
annes. Cette augmentation permet quasiment toutes les anomalies dtre lorigine dun dni de
service, pourvu quelles soient gnres un rythme suffisamment important.
Par exemple :
lusage des champs rservs de len-tte TCP
le positionnement dun numro de squence daccus de rception dans un paquet SYN
des paquets dont len-tte de couche 4 (TCP/UDP) est tronqu en dpit de checksums corrects
Attaque par dni de service SYN Flood
Article dtaill : SYN flood.
Une attaque SYN Flood est une attaque visant provoquer un dni de service en mettant un nombre
important de demandes de synchronisation TCP incomplte avec un serveur. Quand un systme (client)
tente d'tablir une connexion TCP vers un systme offrant un service (serveur), le client et le serveur
changent une squence de messages. Le systme client commence par envoyer un message SYN au
serveur. Le serveur reconnat ensuite le message en envoyant un SYN-ACK message au client. Le
client finit alors dtablir la connexion en rpondant par un message ACK. La connexion entre le client
et le serveur est alors ouverte, et le service de donnes spcifiques peut tre chang entre le client et le
serveur. Voici une vue de ce flux de messages :
Client
Serveur
-----------SYN ---------
--------- SYN-ACK
ACK ---------
Le risque d'abus se pose l'endroit o le systme de serveur a envoy un accus de rception (SYNACK) au client, mais ne reoit pas le message ACK. Le serveur construit dans sa mmoire systme une
structure de donnes dcrivant toutes les connexions. Cette structure de donnes est de taille finie, et
elle peut tre dborde en crant intentionnellement trop de connexions partiellement ouvertes.
Crer des connexions semi-ouvertes saccomplit facilement avec l'IP spoofing. Le systme de
l'agresseur envoie des messages SYN la machine victime ; ceux-ci semblent tre lgitimes, mais font

L'attaque par dni de Service Expliqu aux enfants

Par Dr C-

rfrence un systme client incapable de rpondre au message SYN-ACK. Cela signifie que le
message ACK final ne sera jamais envoy au serveur victime.
Normalement il y a un dlai d'attente associ une connexion entrante, les semi-connexions ouvertes
vont expirer et le serveur victime pourra grer lattaque. Toutefois, le systme agresseur peut
simplement continuer envoyer des paquets IP falsifis demandant de nouvelles connexions, plus
rapides que le serveur victime.
Dans la plupart des cas, la victime aura des difficults accepter toute nouvelle connexion rseau
entrante. Dans ces cas, l'attaque n'affecte pas les connexions entrantes, ni la possibilit d'tablir des
connexions rseau sortant. Toutefois, le systme peut saturer la mmoire, ce qui provoque un crash
rendant le systme inoprant.
UDP Flooding
Ce dni de service exploite le mode non connect du protocole UDP. Il cre un "UDP Packet Storm"
(gnration dune grande quantit de paquets UDP) soit destination dune machine soit entre deux
machines. Une telle attaque entre deux machines entrane une congestion du rseau ainsi quune
saturation des ressources des deux htes victimes. La congestion est plus importante du fait que le
trafic UDP est prioritaire sur le trafic TCP. En effet, le protocole TCP possde un mcanisme de
contrle de congestion, dans le cas o lacquittement dun paquet arrive aprs un long dlai, ce
mcanisme adapte la frquence dmission des paquets TCP et le dbit diminue. Le protocole UDP ne
possde pas ce mcanisme. Au bout dun certain temps, le trafic UDP occupe donc toute la bande
passante, ne laissant quune infime partie au trafic TCP.
Lexemple le plus connu dUDP Flooding est le Chargen Denial of Service Attack . La mise en
pratique de cette attaque est simple, il suffit de faire communiquer le service chargen dune machine
avec le service echo dune autre. Le premier gnre des caractres, tandis que le second se contente de
rmettre les donnes quil reoit. Il suffit alors au cracker denvoyer des paquets UDP sur le port 19
(chargen) une des victimes en usurpant ladresse IP et le port source de lautre. Dans ce cas, le port
source est le port UDP 7 (echo). LUDP Flooding entrane une saturation de la bande passante entre les
deux machines, il peut donc neutraliser compltement un rseau.
Packet Fragment
Les dnis de service de type Packet Fragment utilisent des faiblesses dans limplmentation de
certaines piles TCP/IP au niveau de la dfragmentation IP (r-assemblage des fragments IP).
Une attaque connue utilisant ce principe est Teardrop. Loffset de fragmentation du second fragment est
infrieur la taille du premier ainsi que loffset plus la taille du second. Cela revient dire que le
deuxime fragment est contenu dans le premier (overlapping). Lors de la dfragmentation, certains
systmes ne grent pas cette exception et cela entrane un dni de service. Il existe des variantes de
cette attaque : bonk, boink et newtear. Le dni de service Ping of Death exploite une mauvaise gestion
de la dfragmentation au niveau ICMP, en envoyant une quantit de donnes suprieure la taille
maximum dun paquet IP. Ces diffrents dnis de services aboutissent un crash de la machine cible.
Smurfing
Cette attaque utilise le protocole ICMP. Quand un ping (message ICMP ECHO) est envoy une
adresse de broadcast (par exemple 10.255.255.255), celui-ci est dmultipli et envoy chacune des

L'attaque par dni de Service Expliqu aux enfants

Par Dr C-

machines du rseau. Le principe de lattaque est de truquer les paquets ICMP ECHO REQUEST
envoys en mettant comme adresse IP source celle de la cible. Le cracker envoie un flux continu de
ping vers ladresse de broadcast dun rseau et toutes les machines rpondent alors par un message
ICMP ECHO REPLY en direction de la cible. Le flux est alors multipli par le nombre dhtes
composant le rseau. Dans ce cas tout le rseau cible subit le dni de service, car lnorme quantit de
trafic gnre par cette attaque entrane une congestion du rseau.
-Wikipdia

ANNEXE B
Programmes disponibles sur Internet

Ping O Death : il sagit de saturer un routeur ou un serveur en envoyant un nombre important de

requtes ICMP REQUEST dont les datagrammes dpassent la taille maximum autorise. Des patches
existent afin de se prmunir de ce type dagression sous les systmes MacOs, Windows NT/9x, Sun
[Oracle] Solaris, Linux et Novell Netware.
Land - Blat : il sagit denvoyer un paquet forg (spoof) contenant le flag SYN sur un port donn
(comme 113 ou 139 par exemple) et de dfinir la source comme tant ladresse de la station cible. Il
existe un certain nombre de patches pour ce bug pour les systmes UNIX et Windows.
Jolt : spcialement destine aux systmes Microsoft (NT, 9x et 2000), cette attaque permet de saturer

L'attaque par dni de Service Expliqu aux enfants

Par Dr C-

le processeur de la station qui la subit. La fragmentation IP provoque, lorsque lon envoie un grand
nombre de fragments de paquets identiques (150 par seconde), une saturation totale du processeur
durant toute la dure de lattaque. Des pr-patches existent dj pour tenter de contrer ce type
dattaque.
TearDrop - SynDrop : problme dcouvert dans lancien noyau du systme Linux dans la partie
concernant la fragmentation des paquets IP. Il sagit dun problme de reconstruction du paquet.
Lorsque le systme reconstitue le paquet, il excute une boucle qui va permettre de stocker dans un
nouveau buffer tous les paquets dj reus. Il y a effectivement un contrle de la taille du paquet
mais uniquement si ce dernier est trop grand. Sil est trop petit cela peut provoquer un problme au
niveau du noyau et planter le systme (problme dalignement des paquets). Ce problme a galement
t observ sur les systmes Windows (NT/9x) et des patches sont ds prsent disponibles.
Ident Attack : ce problme dans le daemon identd permet aisment de dstabiliser une machine UNIX
qui lutilise. Un grand nombre de requtes dautorisation entraine une instabilit totale de la machine.
Pour viter cela, il faut installer une version plus rcente du daemon identd ou alors utiliser le daemon
pidentd-2.8a4 (ou ultrieur).
Bonk - Boink : mme problme que le TearDrop mais lgrement modifi afin de ne pas tre affect
par les patches fournis pour le TearDrop. Il existe de nouveaux patches mieux construits qui permettent
galement dviter ce nouveau type dattaque.
Smurf : ce programme utilise la technique de lICMP Flood et lamplifie de manire crer un
vritable dsastre sur la (ou les) machines vises. En fait, il utilise la technique du Broadcast Ping
afin que le nombre de paquets ICMP envoys la station grandisse de manire exponentielle causant
alors un crash presque invitable. Il est difficile de se protger de ce type dattaque, il nexiste aucun
patch mais des rgles de filtrage correctes permettent de limiter son effet.
WinNuke : il sagit dun programme permettant de crasher les systmes Windows NT/95 par lenvoi
de donnes de type OOB (Out Of Band) lors dune connexion avec un client Windows. NetBIOS
semble tre le service le plus vulnrable ce type dattaque. Apparemment, Windows ne sait comment
ragir la rception de ce type de paquet et panique . De nombreux patches existent contre ce type
dattaque et les versions postrieures de Windows ( partir de Windows 98/2000) sont ds prsent
protges.
SlowLoris : Un script en Perl ciblant les serveurs web.

-Wikipdia

L'attaque par dni de Service Expliqu aux enfants

Par Dr C-