Obtenez un accès complet à toutes nos leçons dès maintenant. Start $1 Trial

Attaque et Prévention TCP SYN

Je suis sûr qu’en tant qu’ingénieur réseau, vous savez déjà comment la communication s’établit entre deux appareils qui souhaitent utiliser une application fonctionnant sur le protocole TCP. Ces applications sont notamment http, https, Telnet, SSH, etc.

Si vous ne vous souvenez pas de la poignée de main à trois voies qui se produit dans chaque session TCP, je vais vous le rappeler.

En fait, chaque fois que vous ouvrez un site web (par exemple), une poignée de main TCP à trois voies se produit en arrière-plan (il est très probable que le site web fonctionne avec une application https qui utilise le protocole TCP).

Il s’agit d’une illustration de la poignée de main à trois voies du protocole TCP :

Cette poignée de main tripartite se produit chaque fois qu’un expéditeur souhaite exécuter une application utilisant le protocole TCP avant que les données ne commencent à circuler.

Les attaquants profitent de la poignée de main à trois pour lancer certains types d’attaques afin d’épuiser le destinataire avec un grand nombre de TCP SYN. Pour vous faciliter la compréhension, je vais vous montrer une illustration :

Comme vous le voyez, l’attaquant a envoyé de nombreux messages SYN au destinataire et ce dernier répondra par ACK/SYN à chaque message. L’attaquant ne fournira jamais d’ACK en retour pour que la poignée de main à trois voies soit terminée, mais il continuera à envoyer des TCP SYN sans arrêt pour épuiser le destinataire – c’est ce que nous appelons une attaque par inondation SYN, qui est un type de DOS.

 

Maintenant que nous comprenons le fonctionnement de cette attaque, nous allons lancer l’attaque sur le routeur MikroTik en tant que LAB, puis mettre en place les mesures d’atténuation nécessaires pour s’en protéger.

 

LAB : Attaque et Prévention TCP SYN

Considérons que R1 est un routeur connecté à l’internet avec une IP publique sur son interface Ether1, ce qui signifie qu’il peut être joint à son IP par n’importe qui sur l’internet.

Un attaquant a effectué une attaque de reconnaissance et a vu que sur R1, certaines applications fonctionnant sur le protocole TCP sont ouvertes. Il a donc décidé de lancer une attaque par inondation TCP pour faire tomber le routeur.

Vous vous demandez peut-être comment il a pu découvrir qu’il y avait des applications TCP en cours d’exécution sur le routeur ? Une fois de plus, Kali Linux peut le faire pour nous, laissez-moi vous montrer comment :

Avec l’aide de l’application NMAP que j’ai fait tourner sur Kali Linux, j’ai pu découvrir que sur ce routeur il y a de nombreuses applications qui tournent sur le protocole TCP (veuillez noter que je n’ai pas d’IP publique sur mon routeur, donc j’utilise juste une IP privée pour atteindre le routeur).

Maintenant que l’attaquant sait que vous avez des applications basées sur le protocole TCP ouvertes sur le routeur, pourquoi ne lance-t-il pas l’attaque par inondation du protocole TCP ?

Exécutons-la et voyons ce que nous aurons comme résultat :

 

Vous devez avoir téléchargé et installé « hping3 » sur votre machine Kali Linux, puis vous exécuterez la commande suivante pour lancer l’attaque TCP SYN flood :

Veuillez nous excuser, l'accès complet à la leçon est réservé aux membres uniquement...

\
Accédez à toutes les leçons de différents fournisseurs.

\
Prix abordable pour améliorer vos compétences en informatique !

\
Accédez toujours à toutes les leçons, y compris les nouvelles ajoutées.

Satisfaction 100 % garantie !

Vous pouvez annuler votre abonnement à tout moment.

Aucune question posée, quoi qu'il en soit !

Devenez membre maintenant

Course Content

0 commentaires

Soumettre un commentaire

About