Chapitre 7 — Attaques Réseau (DoS, DNS, On-Path)
Ce module couvre les attaques réseau classiques et avancées : déni de service, attaques DNS, attaques on-path (man-in-the-middle), replays et injection.
Mémorisez ! DoS = un seul attaquant, une seule source. DDoS = multiple sources (botnet). Le but = rendre le service indisponible (Disponibilité). Attaque volumétrique vs attaque d'épuisement des ressources vs attaque applicative.
| Type | Mécanisme | Exemple | Contre-mesure |
|---|---|---|---|
| Flood TCP SYN | Inonder de SYN sans compléter le handshake — tables de connexion saturation | SYN Flood | SYN cookies, rate limiting |
| Flood UDP | Inonder de paquets UDP vers des ports aléatoires | UDP Flood | Rate limiting, blackhole routing |
| ICMP Flood (Ping Flood) | Inonder de paquets ICMP echo-request | Ping of Death | Bloquer ICMP entrant |
| Amplification | Utiliser des serveurs tiers pour amplifier le trafic (DNS, NTP amplification). Réponse bien plus grande que la requête. | DNS Amplification (attaquant envoie 50b, victime reçoit 3KB×) | BCP38 (filtrage anti-spoofing) |
| DDoS volumétrique | Saturer la bande passante de la cible avec des Gbps de trafic | Mirai botnet 1.2Tbps | CDN, service anti-DDoS (Cloudflare, Akamai) |
- DNS Poisoning (Cache Poisoning) : injecter de fausses réponses DNS dans le cache d'un résolveur. Les utilisateurs qui demandent un domaine légitime sont redirigés vers un site malveillant.
- DNS Hijacking : compromettre le registrar ou les serveurs DNS pour modifier les enregistrements réels. Redirect global.
- DNS Tunneling : encapsuler des données arbitraires dans des requêtes DNS pour exfiltrer des données ou créer un canal C2 furtif.
- NXDOMAIN Attack : inonder un serveur DNS de requêtes pour des domaines inexistants — épuise les ressources du résolveur.
- Contre-mesures DNS : DNSSEC (signature des enregistrements), DNS over TLS/HTTPS, surveillance des requêtes DNS anormales, RPZ (Response Policy Zones).
Les attaques on-path (ou man-in-the-middle) s'interposent entre deux parties communicantes pour intercepter, lire ou modifier les données échangées.
- ARP Spoofing : envoyer de fausses réponses ARP pour associer l'IP d'une victime à la MAC de l'attaquant. Tout le trafic de la victime passe par l'attaquant (couche 2).
- SSL Stripping : forcer la dégradation d'une connexion HTTPS vers HTTP. L'utilisateur pense être sur un site sécurisé mais la connexion est en clair. Contre-mesure : HSTS (HTTP Strict Transport Security).
- BGP Hijacking : manipulation des annonces de routage BGP pour rediriger le trafic internet entier d'un préfixe IP. Rare mais catastrophique (a affecté des portions de l'internet mondial).
- Evil Twin Wi-Fi : AP malveillant — voir ch04-wireless.
- Replay Attack : capturer et re-envoyer des paquets d'authentification valides pour se connecter sans connaître les credentials. Contre-mesure : timestamps, nonces, numéros de séquence.
Astuce Examen
HSTS (HTTP Strict Transport Security) : le serveur indique au navigateur de toujours utiliser HTTPS pour ce domaine. Même si un attaquant tente le SSL stripping, le navigateur refusera de dégrader vers HTTP. Protège contre le SSL stripping et force le chiffrement.