ObjectifCyber

Chapitre 7 — Attaques Réseau (DoS, DNS, On-Path)

Ce module couvre les attaques réseau classiques et avancées : déni de service, attaques DNS, attaques on-path (man-in-the-middle), replays et injection.

Mémorisez ! DoS = un seul attaquant, une seule source. DDoS = multiple sources (botnet). Le but = rendre le service indisponible (Disponibilité). Attaque volumétrique vs attaque d'épuisement des ressources vs attaque applicative.
TypeMécanismeExempleContre-mesure
Flood TCP SYNInonder de SYN sans compléter le handshake — tables de connexion saturationSYN FloodSYN cookies, rate limiting
Flood UDPInonder de paquets UDP vers des ports aléatoiresUDP FloodRate limiting, blackhole routing
ICMP Flood (Ping Flood)Inonder de paquets ICMP echo-requestPing of DeathBloquer ICMP entrant
AmplificationUtiliser des serveurs tiers pour amplifier le trafic (DNS, NTP amplification). Réponse bien plus grande que la requête.DNS Amplification (attaquant envoie 50b, victime reçoit 3KB×)BCP38 (filtrage anti-spoofing)
DDoS volumétriqueSaturer la bande passante de la cible avec des Gbps de traficMirai botnet 1.2TbpsCDN, service anti-DDoS (Cloudflare, Akamai)

Les attaques on-path (ou man-in-the-middle) s'interposent entre deux parties communicantes pour intercepter, lire ou modifier les données échangées.

Astuce Examen

HSTS (HTTP Strict Transport Security) : le serveur indique au navigateur de toujours utiliser HTTPS pour ce domaine. Même si un attaquant tente le SSL stripping, le navigateur refusera de dégrader vers HTTP. Protège contre le SSL stripping et force le chiffrement.

1. Une attaque SYN Flood exploite :

SYN Flood : l'attaquant envoie des milliers de SYN avec une IP source forgée. Le serveur répond SYN-ACK et attend un ACK (qui ne vient jamais). Les connexions "half-open" s'accumulent jusqu'à épuiser la table de connexions. Contre-mesure : SYN cookies (le serveur n'alloue pas de ressources jusqu'à l'ACK).

2. DNS Cache Poisoning consiste à :

DNS Cache Poisoning : l'attaquant injecte une fausse réponse DNS qui s'enregistre dans le cache du résolveur. Les utilisateurs qui demandent "bank.com" via ce résolveur reçoivent l'IP du site malveillant de l'attaquant, sans le savoir. DNSSEC (signatures) prévient cette attaque.

3. Le SSL Stripping est une attaque qui :

SSL Stripping (Sslstrip) : l'attaquant intercepte la connexion et présente HTTP à la victime (pas HTTPS), tout en maintenant une connexion HTTPS vers le serveur. La victime pense être sur HTTPS mais la connexion entre elle et l'attaquant est en clair. HSTS empêche cela.

4. HSTS (HTTP Strict Transport Security) protège principalement contre :

HSTS = header HTTP que le serveur envoie indiquant "ce domaine doit toujours être accédé en HTTPS". Le navigateur mémorise cette règle. Même si un attaquant tente un redirect vers HTTP, le navigateur force HTTPS (et peut rejeter un certificat non valide).

5. Une attaque par amplification DNS fonctionne parce que :

Amplification DNS : l'attaquant envoie une petite requête DNS (ex: 50 octets) avec l'IP source forgée de la victime. Le serveur DNS envoie une grande réponse (ex: 3000 octets) directement à la victime. Facteur d'amplification = 60x. Des milliers de serveurs DNS = attaque DDoS massive sans botnet.

6. L'ARP Spoofing est utilisé pour :

ARP Spoofing : l'attaquant envoie de fausses réponses ARP associant son adresse MAC à l'IP de la passerelle. Le trafic des victimes sur le réseau local passe désormais par l'attaquant (MitM). Dynamic ARP Inspection (DAI) sur les switches prévient cette attaque.

7. Une attaque de "replay" consiste à :

Replay attack = capturer un paquet d'authentification (token, hash) et le re-envoyer plus tard. Contre-mesures : timestamps (les paquets expirés sont rejetés), nonces (nombres utilisés une seule fois), numéros de séquence. Kerberos utilise des timestamps pour se protéger.

8. Le DNS Tunneling est utilisé par les attaquants principalement pour :

DNS Tunneling : les données sont encodées dans les sous-domaines des requêtes DNS (ex: "AADADAADBBA.attacker.com"). Comme DNS (port 53) est rarement bloqué par les firewalls, c'est un canal furtif pour les C2 ou l'exfiltration. Détection : analyser les journaux DNS pour des requêtes anormalement longues/fréquentes.

9. DNSSEC protège contre les attaques DNS en :

DNSSEC = signatures cryptographiques sur les enregistrements DNS. Un résolveur DNSSEC-aware peut vérifier que la réponse vient bien du serveur autoritaire et n'a pas été modifiée en transit. Ne chiffre pas (les requêtes restent en clair) — c'est DoT/DoH pour le chiffrement.

10. Quel mécanisme sur les switches prévient les attaques ARP Spoofing ?

DAI (Dynamic ARP Inspection) surveille les réponses ARP sur les ports du switch et les compare à la base de données DHCP Snooping (liaison IP-MAC-port connue). Les réponses ARP non conformes sont rejetées — empêche l'ARP spoofing.