Dos Cisco
Par _SebF
1 - Le concept
2 - Le fonctionnement
2.1 - Schéma
2.2 - Envoi
2.3 - Réception
2.4 -
Multiples réceptions
3 - Les conseils et astuces
4 - Les liens
5 - Les outils
6 - La conclusion
7 - Discussion autour de la
documentation
8 -
Suivi du document
L'envoi de paquet spécifique sur une interface Cisco provoque le blocage de la
réception sur cette même interface réalisant ainsi un
DOS. Ces trames doivent avoir un formatage
spécial en spécifiant un
type de protocole et une valeur de
temps de vie.
L'émetteur envoi une trame Ip d'un des 4 types
de protocoles suivant à destination de l'adresse Ip cible A.
- 53 avec un TTL à 0 ou 1
- 55 avec un TTL à 0 ou 1
- 77 avec un TTL à 0 ou 1
- 103 avec n'importe quel TLL
Voici le schéma de l'entête IP avec le champ «
Type protocol » basé sur 1
octet ainsi que le
TTL
basé, lui aussi sur 1 octet.
A la réception de l'un des paquets malicieux, l'équipement Cisco le positionne
dans son Buffer d'interface. De là, le paquet reste bloqué dans ce tampon. Vous pouvez en voir le contenu grâce la commande «
show buffers
input-interface ethernet 0 packet »
On peut remarqué la présence d'une trame bloquée dans le buffer de l'interface
Ethernet 0.
Attention, toutes les trames reçues transitent via le buffer qui représente la
file d'attente de l'interface. Donc vous
pouvez très bien appliquer la commande au moment où un paquet entre dans le
buffer sans qu'il est le temps d'en sortir. Effectuez donc plusieurs fois la
commande afin de confirmer le blocage des trames visualisées.
L'attaque est de type Dos (Deny Of Service) via un Buffer Over Flow, cela signifie donc que le
blocage massif de trame saturera la capacité du buffer. L'interface sera alors
dans l'incapacité de recevoir de trames supplémentaires.
Voici trois conseils pour vous cacher.
- L'Ip Spoofing permettra de changer votre IP source.
- Si vous avez besoin de connaître le
TTL avant l'envoi, n'effectuez pas un Traceroute, car vous serrez certainement loggé. Par contre, vous pouvez générez
255 fois l'attaque avec un TTL variant.
- Trouvez des Hosts de rebond administré en
Http via un Proxy ouvert. Mais
attention
aux HoneyPots !
- Ne vous arrêtez pas à une interface, mais testez les
toutes. Et si vous pouvez, émettez les paquets provenant du Lan, car certain
Host, ne sont pas patchés et ne sont sécurisé que par des ACL placé sur
linterface Wan.
-
La description par Cisco
-
L'information de « CERT Coordination Center
»
-
FrameIP
est un générateur de trames IP. Il vous permettra de personnaliser les champs
des différentes entêtes réseaux.
-
CiscoDos,
c'est un outils spécifique pour l'attaque Cisco. Il vous permettra d'effectuer
de l'Ip Spoofing.
C'est une attaque violente du fait qu'elle s'effectue en une seule trame et ne
peut donc pas être arrêtée par une IDS classique (sauf IDS double patte
transparente).
Ce n'est pas la peine de vous acharner après les grands noms de l'Internet, car
il y de très forte chance qu'ils aient appliqués le patch. Néanmoins, sachant
que l'IOS est le second Operating System de la planète après Windows, cela nous
apporte la certitude que le parc est loin d'être patché...
Vous pouvez poser toutes vos questions,
vos remarques et vos expériences à propos de l'attaque Dos sur Cisco. Pour cela,
rendez-vous sur le
Forum "Sécurité".
Le 15 octobre 2003, par _SebF, création du document.
|