V 1.8.3 le 11/09/2017 - Ph. Sèvre
Il en existe plusieurs types :
Modes de contrôle d’un système :
On les appelle encore attaques par saturation
Exemples :
en TCP :
avec ICMP : echo et echo reply
avec UDP
les causes :
Implique des modes opératoires spécifiques : en cas de vol, le disque dur est lisible par tout le monde
Il peut poser de sérieux problèmes de sécurité s'il est mal configuré.
Quelques pistes :
Le principe de base en sécurité : ne lancer que les services réellement utilisés. La plupart des distrib. Linux (sauf Debian) lancent au démarrage plus d’une vingtaine de services !!!!
Un serveur Windows 2003 lance de nombreux services,. D'autre part le mécanisme de RPC ne permet pas d'imposer des restriction sur les adresses d'écoute (cf. Linux).
UDP:
Un port UDP dynamique : DNS Client service (Dnscache)
chattr +a /var/log/messages
find / -user root -perm -4000 -ls .
find / ! -fstype proc ‘(‘ -nouser -o -nogroup ‘)’ -ls
chmod ug-s fichier
chattr +i fichier
exemple :
# win32_bind_dllinject - EXITFUNC=seh LPORT=4444 Size=312 Encoder=PexFnstenvSub http://metasploit.com my $shellcode = "\x2b\xc9\x83\xe9\xb8\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\xa9". "\xd4\x7e\x28\x83\xeb\xfc\xe2\xf4\x41\x82\x7e\x28\xa9\x87\x2b\x7e". "\xfe\x5f\x12\x0c\xb1\x5f\x3b\x14\x22\x80\x7b\x50\xa8\x3e\xf5\x62". "\xb1\x5f\x24\x08\xa8\x3f\x9d\x1a\xe0\x5f\x4a\xa3\xa8\x3a\x4f\xd7". "\x55\xe5\xbe\x84\x91\x34\x0a\x2f\x68\x1b\x73\x29\x6e\x3f\x8c\x13".
le kernel permet de charger dynamiquement des modules (insmod) permettant d’effectuer diverses actions des modules infectés peuvent avoir le même effet qu’un rootkit
on le réalise facilement en shell Unix Les chevaux de Troie (Trojan)
PATH=.:/bin/:/usr/bin
chaîne INPUT chaîne FORWARD chaîne OUTPUT
iptables -P INPUT DROP iptables -A INPUT -s 0/0 -d 192.168.1.100 -p tcp -destination-port www -j ACCEPT iptables -A INPUT -s 0/0 -d 192.168.1.100 -p tcp -destination-port ssh -j ACCEPT iptables -P INPUT DROP iptables -P INPUT LOG
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd
<daemon list>: <client list> [: <option>: <option>: …]
# hosts.allow ALL : LOCAL in.ftpd : 192.168.0.,10.194.168.0/255.255.255.0, 192.168.1.1 in.telnetd : .staps.u-bourgogne.fr
#hosts.deny ALL:ALL
les différents serveurs SMTP :
lynis -c