infoclick solution informatique (Gers) - version particulier

 

infoclick solution informatique - Encyclopédie informatique

 
Introduction
Mots de passe
Arnaques
Ingénierie sociale
Scam
Phishing
Loteries
Techniques
Spam
Mail-bombing
Exploits
Nuke - Flood
Spoofing IP
Sniffers
Scanners de port
Déni de service
 
spoofing IP - mystificationPage précédentePage suivanteRetour à la page d'accueil

Qu'est-ce que le spoofing IP?

Le «spoofing IP» (en français mystification) est une technique permettant à un pirate d'envoyer à une machine des paquetssemblant provenir d'une adresse IP autre que celle de la machine du pirate.Le spoofing IP n'est pas pour autantun changement d'adresse IP. Plus exactement il s'agit d'une mascaradede l'adresse IP au niveau des paquets émis, c'est-à-dire une modification des paquets envoyésafin de faire croire au destinataire qu'ils proviennent d'une autre machine.

Ainsi, certains tendent à assimiler l'utilisation d'un proxy (permettant de masquer d'une certaine façon l'adresse IP) avec du spoofing IP. Toutefois, le proxy ne fait que relayer les paquets, ainsimême si l'adresse est apparemment masquée, un pirate peut facilement être retrouvé grâceau fichier journal (logs) du proxy.

franchissement d'un firewall par la technique du spoofing

Comme l'indique le schéma ci-dessus, la technique du spoofing (difficile à mettre en oeuvre) peut permettre à un pirate de faire passer des paquets sur un réseau sans que ceux-ci ne soient interceptés par le systèmede filtrage de paquets (firewall). En effet un firewall fonctionne grâce à des règles de filtrage indiquant quelles adresses IP sont autoriséesà communiquer avec les machines internes. Ainsi, un paquet spoofé avec l'adresse IP d'une machine interne semblera provenir du réseau interne et seratransmis à la machine cible, tandis qu'un paquet contenant une adresse IP externe sera automatiquement rejeté par le firewall.

Cependant, le protocole TCP(protocole assurant principalement le transport fiable de donnéessur Internet) repose sur des liens d'authentification et d'approbation entre les machines d'un réseau,ce qui signifie que pour accepter le paquet, le destinataire doit auparavant accuser réception auprès de l'émetteur,ce dernier devant à nouveau accuser réception de l'accusé de réception.

Modification de l'en-tête TCP

Sur internet, les informations circulent grâce au protocole IP, qui assure l'encapsulation des données dansdes structures appelées paquets (ou plus exactement datagramme IP). Voici la structure d'un datagramme :

VersionLongueur d'en-têtetype de serviceLongueur totale
Identification
DrapeauDécalage fragment
Durée de vieProtocoleSomme de contrôle en-tête
Adresse IP source
Adresse IP destination
Données

Masquer son adresse IP avec la technique du spoofing revient à modifier le champ source afin de simuler un datagrammeprovenant d'une autre adresse IP (donc d'une autre machine). Toutefois, sur internet, les paquets sont généralement transportéspar le protocole TCP, qui assure une transmission dite fiable.
Ainsi, avant d'accepter un paquet, une machine doit auparavant accuser réception de celui-ci auprès de la machine émettrice,et attendre que cette dernière confirme la bonne réception de l'accusé.

Les liens d'approbation

Le protocole TCP est un des principaux protocoles de la couche transport du modèle TCP/IP.Il permet, au niveau des applications, de gérer les données en provenance (ou à destination) de la couche inférieure du modèle (c'est-à-dire le protocole IP).

Le protocole TCP permet d'assurer le transfert des données de façon fiable, bien qu'il utilise le protocole IP (qui n'intègre aucun contrôle de livraison de datagramme) grâce à un système d'accusés de réception (ACK) permettant au client et au serveur de s'assurer de la bonne réception mutuelle des données.

Les datagrammes IP encapsulent des paquets TCP (appelés segments) dont voici la structure :

012345678910111213141516171819202122232425262728293031
Port SourcePort destination
Numéro d'ordre
Numéro d'accusé de réception
Décalage
données
réservée
URG
ACK
PSH
RST
SYN
FIN
Fenêtre
Somme de contrôle
Pointeur d'urgence
OptionsRemplissage
Données

Lors de l'émission d'un segment, un numéro d'ordre (appelé aussi numéro de séquence) est associé, et un échange de segmentscontenant des champs particuliers (appelés drapeaux, en anglais flags) permet de synchroniser le client et le serveur.
Ce dialogue (appelé poignée de mains en trois temps) permet d'initier la communication, il se déroule en trois temps, comme sa dénomination l'indique:

  • Dans un premier temps, la machine émettrice (le client) transmet un segment dont le drapeau SYN est à 1 (pour signaler qu'il s'agit d'un segment de synchronisation), avec un numéro d'ordre N, que l'on appelle numéro d'ordre initial du client
  • Dans un second temps la machine réceptrice (le serveur) reçoit le segment initial provenant du client, puis lui envoie un accusé de réception, c'est-à-dire un segment dont le drapeau ACK est non nul (accusé de réception) et le drapeau SYN est à 1 (car il s'agit là encore d'une synchronisation). Ce segment contient un numéro de séquence égal au numéro d'ordre initial du client. Le champ le plus important de ce segment est le champ accusé de réception (ACK) qui contient le numéro d'ordre initial du client, incrémenté de 1
  • Enfin, le client transmet au serveur un accusé de réception, c'est-à-dire un segment dont le drapeau ACK est non nul, et dont le drapeau SYN est à zéro (il ne s'agit plus d'un segment de synchronisation). Son numéro d'ordre est incrémenté et le numéro d'accusé de réception représente le numéro de séquence initial du serveur incrémenté de 1

Revenons plutôt à la technique du spoofing. Lorsque la machine cible va recevoir le paquet spoofé, cette dernière va envoyer un accusé de réception à l'adresse IP de la machine spoofée (l'adresse IP modifiée dans le champ source du datagramme IP), et la machine spoofée va répondre avec un paquet TCP dont le drapeau RST (reset) est non nul, ce qui mettra fin à la connexion.

Annihiler la machine spoofée

Dans le cadre d'une attaque par spoofing, l'attaquant n'a aucune information car les réponses de la machine ciblevont vers une autre machine du réseau (on parle alors d'attaque à l'aveugle, en anglais blind attack).

La machine spoofée épond au ACK par un RST

De plus, la machine spoofée prive le hacker de toute tentative de connexion, car elle envoie systématiquementun drapeau RST à la machine cible. Ainsi, le travail du hacker consiste alors à invalider la machine spoofée en larendant injoignable pendant toute la durée de l'attaque.

Prédire les numéros de séquence

Lorsque la machine spoofée est invalidée, la machine cible attend un paquet contenant l'accusé de réception et le bonnuméro de séquence. Tout le travail du pirate consiste alors à "deviner" le numéro de séquence àrenvoyer au serveur afin que la relation de confiance soit établie.

Pour cela, les pirates utilisent généralement le source routing, c'est-à-dire qu'ils utilisent le champoption de l'en-tête IP afin d'indiquer une route de retour spécifique pour le paquet. Ainsi, grâce au sniffing, le pirate seraà même de lire le contenu des trames de retour ...

Recherche des numéros de séquence

Ainsi, en connaissant le dernier numéro de séquence émis, le pirate établit des statistiques concernant sonincrémentation et envoie des accusés de réception jusqu'à obtenir le bon numéro de séquence.

Page précédentePage suivante

 
Ce document intitulé «Attaques distantes - Spoofing IP» issu de CommentCaMarche.net est soumis à la licence GNU FDL.Vous pouvez copier, modifier des copies de cette page tant que cette note apparaît clairement.
Haut de page
 

Qui sommes nous - infos légales - contact - liens - plan du site
Copyright © 2004 infoclick - 05 62 07 79 73 - Hôtel d'entreprise / ZI du Pont Peyrin 32600 Isle Jourdain
Valid XHTML 1.0! Valid CSS!