Dos Cisco
Par _SebF

1 - Le concept
2 - Le fonctionnement
        2.1 - Schéma
        2.2 - Envoi
        2.3 - Réception
        2.4 - Multiples réceptions
3 - Les conseils et astuces
4 - Les liens
5 - Les outils
6 - La conclusion
7 - Discussion autour de la documentation
8 - Suivi du document

1 - Le concept

L'envoi de paquet spécifique sur une interface Cisco provoque le blocage de la réception sur cette même interface réalisant ainsi un DOS. Ces trames doivent avoir un formatage spécial en spécifiant un type de protocole et une valeur de temps de vie.

2 - Le fonctionnement

2.1 - Schéma

TCPIP IPV6 VOIP VPN IP IPV4

2.2 - Envoi

L'émetteur envoi une trame Ip d'un des 4 types de protocoles suivant à destination de l'adresse Ip cible A.

- 53 avec un TTL à 0 ou 1
- 55 avec un TTL à 0 ou 1
- 77 avec un TTL à 0 ou 1
- 103 avec n'importe quel TLL

Voici le schéma de l'entête IP avec le champ « Type protocol » basé sur 1 octet ainsi que le TTL basé, lui aussi sur 1 octet.

TCPIP IPV6 VOIP VPN IP IPV4

2.3 - Réception

A la réception de l'un des paquets malicieux, l'équipement Cisco le positionne dans son Buffer d'interface. De là, le paquet reste bloqué dans ce tampon. Vous pouvez en voir le contenu grâce la commande « show buffers input-interface ethernet 0 packet »

TCPIP IPV6 VOIP VPN IP IPV4

On peut remarqué la présence d'une trame bloquée dans le buffer de l'interface Ethernet 0.
Attention, toutes les trames reçues transitent via le buffer qui représente la file d'attente de l'interface. Donc vous pouvez très bien appliquer la commande au moment où un paquet entre dans le buffer sans qu'il est le temps d'en sortir. Effectuez donc plusieurs fois la commande afin de confirmer le blocage des trames visualisées.

2.4 - Multiples réceptions

L'attaque est de type Dos (Deny Of Service) via un Buffer Over Flow, cela signifie donc que le blocage massif de trame saturera la capacité du buffer. L'interface sera alors dans l'incapacité de recevoir de trames supplémentaires.

TCPIP IPV6 VOIP VPN IP IPV4

TCPIP IPV6 VOIP VPN IP IPV4

3 - Les conseils et astuces

Voici trois conseils pour vous cacher.

- L'Ip Spoofing permettra de changer votre IP source.
- Si vous avez besoin de connaître le TTL avant l'envoi, n'effectuez pas un Traceroute, car vous serrez certainement loggé. Par contre, vous pouvez générez 255 fois l'attaque avec un TTL variant.
- Trouvez des Hosts de rebond administré en Http via un Proxy ouvert. Mais attention aux HoneyPots !
- Ne vous arrêtez pas à une interface, mais testez les toutes. Et si vous pouvez, émettez les paquets provenant du Lan, car certain Host, ne sont pas patchés et ne sont sécurisé que par des ACL placé sur linterface Wan.

4 - Les liens

- La description par Cisco
- L'information de « CERT Coordination Center »

5 - Les outils

- FrameIP est un générateur de trames IP. Il vous permettra de personnaliser les champs des différentes entêtes réseaux.
- CiscoDos, c'est un outils spécifique pour l'attaque Cisco. Il vous permettra d'effectuer de l'Ip Spoofing.

6 - La conclusion

C'est une attaque violente du fait qu'elle s'effectue en une seule trame et ne peut donc pas être arrêtée par une IDS classique (sauf IDS double patte transparente).

Ce n'est pas la peine de vous acharner après les grands noms de l'Internet, car il y de très forte chance qu'ils aient appliqués le patch. Néanmoins, sachant que l'IOS est le second Operating System de la planète après Windows, cela nous apporte la certitude que le parc est loin d'être patché...

7 - Discussion autour de la documentation

Vous pouvez poser toutes vos questions, vos remarques et vos expériences à propos de l'attaque Dos sur Cisco. Pour cela, rendez-vous sur le Forum "Sécurité".

8 - Suivi du document

Le 15 octobre 2003, par _SebF, création du document.



mot clé : 800 of ttl 7200 routeur 2600 tcpip voip flooding hack ip attaque switch ipv4 time to live ipv6 vpn ciscodos.exe 3600 dos flood 55 7300 bloquee deny cache service type 77 103 buffer cisco 1700 interface 53 planter tampon catalyst

Copyright © 2011-2015 FrameIP TcpIP. Tous droits réservés. Les marques et marques commerciales mentionnées appartiennent à leurs propriétaires respectifs. L'utilisation de ce site Web TcpIP implique l'acceptation des conditions d'utilisation et du règlement sur le respect de la vie privée.
Sécurité entreprise Téléphonie entreprise Expert de votre Infrastructure Test ADSL Serinya Operateur Telecom