@@overshell OK Merci alors je vais jetter coup d'oeil mais tu as d'autre vidéo aussi au d'autre chaines qui sont dans ce domaine ça me ferai plaisir cher over shell.
@@overshell salut très sympas le sujet . bravos à toi très bien expliquait . mais ici je souhaite parler de chose très intéressante à savoir . pour les personnes qui souhaite faire un sujet de mémoire . ici je parle des attaques possible que peuvent utiliser un attaquant. contourner la réponse active d'un ids . l'interruption de session provoquée par un ids peut être contournée de plusieurs manières. la plupart d'entre elles se basent sur le laps de temps qui existe entre la détection d'une attaque et la prise en compte du tcp reset par la machine cible . dans le cas où l'exploit à réaliser par un attaquant ne nécessite pas de session interactive . celui-ci pourra simplement positionner le flag push au sein de ses paquets tcp . en général les piles tcp / ip . ne délivrent pas chaque portion de données à l'application dés que celle-ci arrivent cela revient trop cher en terme d'interruption logiciels . la pile accumule les données dans un buffer et dés que celui-ci est plein elle réalise un push du buffer tout entier pour envoyer les données en une seule fois. certaines applications ont besoin de récupérer les données aussi vite qu'elles arrive et sont prêtes à en payer le coût . dans cette optique le flag push indique à la pile de délivrer les données à l'application aussi vite que possible. si un attaquant potentiel désire récupérer le contenu d'un répertoire cela ne lui sera pas très utile. car la session aura été interrompue avant que la réponse à sa requête . ne soit effectuée . par contre si celui-ci trouve le moyen de copier le fichier hôte par exemple . vers un répertoire accessible depuis le serveur web du réseau. il ne s'occupera pas de savoir si la session a été interrompue ou non puisque son exploit aura réussi simplement en positionnant le flag push au sein du paquet contenant sa requête . si l'attaquant à besoin de conserver la session ouverte une autre technique reste à sa disposition. l'astuce consiste à faire en sorte que la machine cible ignore le tcp reset envoyé par l'ids. ce dernier croira avoir interrompue la session. et l'attaquant pourra continuer son travail tranquillement. cette technique utilise le temps nécessaire pour un ids de capturer le paquet. de détecter l'exploit en cour . de générer le tcp reset et d'envoyer celui-ci sur le réseau. une course contre la montre s'engage alors entre l'ids et l'attaquant. pour que la machine cible de l'attaquant ignore le tcp reset de l'ids. il faut que le prochain paquet de la session engagée entre l'attaquant et la machine cible parvienne sur la machine cible avant le paquet reset de l'ids. rappel . la pile tcp travaille sur une fenêtre. certaines données reçues ont déjà été envoyées push . vers l'application et certaines attendent dans le buffer qui doit être vidé vers l'application. de plus il existe un espace vide en attente de réception de nouvelles données ce que l'on nomme la fenêtre n'est autre que la réunion du buffer et de l'espace vide . seules les données présentes au sein de la fenêtre peuvent être traitées. la pile tcp maintient également un pointeur courant cp . qui pointe sur le prochain fragment de données que la pile s'attend à recevoir celui-ci correspond de plus au numéro d'acquittement . par exemple si la pile à reçu 76 octets le numéro d'acquittement sera 77 . quand le prochain fragment de données arrivera . le pointeur courant sera immédiatement positionné à la fin de ce fragment. les fragments ne sont pas obligé d'arriver dans l'ordre un fragment commençant à l'octet 90 peut arriver avant le fragment commençant à l'octet 77 . il sera copié dans le buffer mais le pointeur courant restera positionné à 77 jusqu'à ce que le fragment débutant par 77 arrive a cet instant . le pointeur courant sera déplacé vers la fin de tous les fragments reçus. et ce en une seule fois . sur la plupart des piles . le reset doit corresponde avec le pointeur courant sans quoi le paquet est ignoré . en sachant cela un attaquant peut construire un paquet suivant qui mettra en échec le reset de l'ids . admettons que l'attaque nécessite trois paquets . l'attaquant envoi tout d'abord les deux premiers paquets . rappelons que l'ids à besoin des trois premiers paquets pour détecter l'attaque . l'attaquant va ensuite construire un quatrième paquet ne contenant aucune données menaçante au yeux de l'ids. et l'envoyer avant le troisième . a ce stade le paquet quatre sera copié dans le buffer dés son arrivée mais le pointeur courant . restera positionné sur la fin du second paquet . dés que le troisième paquet arrivera le pointeur courant sera déplacé en une fois vers la fin du quatrième paquet . à l'arrivée du paquet trois . l'ids va générer et envoyer un tcp reset basé sur le paquet trois . celui-ci sera de toutes façons ignoré lors de sa réception par la machine cible. puisqu'il ne correspondra pas avec le pointeur courant de celle -ci positionné sur la fin du paquet quatre . pour la même raison le délai induit par la réponse active de l'ids . il est possible de contourner la mise à jour du firewall par l'ids . la mise à jour des règles d'un firewall prend habituellement une à deux seconde en moyenne ce qui suffit amplement à une personne habile pour s'introduire sur une machine et y installer une backdoor . il ne lui reste alors plus qu'a changer d'adresse ip pour pouvoir administrer la machine à distance . les fonctions de réponses actives peuvent s'avérer efficaces mais ne constituent en aucun cas un moyen sûr de sécuriser un réseau . n'importe qui avec un minimum de connaissances sur tcp / ip est capable de contourner les mécanismes mis en jeu les ips faute de pouvoir maîtriser correctement les fausses alertes la plupart des systèmes actuels d'ids son voués à disparaître ou à évoluer grandement. l'apparition sur le marché de la sécurité informatique des systèmes ips . est très récent et résulte de la nécessité d'améliorer encore et toujours les solutions existantes ayant prouvées leurs limites . les ips n'existent pas vraiment en tant que technologies bien définies mais plutôt entant que concepts que tentent de mettre en oeuvre les différents acteurs du marché à travers de multiples technologies et solutions de sécurité . voilà pour l'info . donc je tient à n'excuser pour la longueur . sur ceux je vous souhaite une très bonne fin de soirée et au plaisir .
🎁 Téléchargez votre guide pour bien débuter dans la cybersécurité 🎁 : overshell.com/guide-pour-bien-debuter/
Merci pour un début ça va tu t'en sort pas mal merci fait en plus sur cela car suis en Licence professionnelle et c'est ça mon sujet de mémoire.
Merci, ton sujet de mémoire est sur les IDS et IPS ?
@@overshell oui le titre c'est " Étude de mise en place dun système de détection d'intrusion avec alerte"
Tu peux également regarder du coté des SIEM :)
@@overshell OK Merci alors je vais jetter coup d'oeil mais tu as d'autre vidéo aussi au d'autre chaines qui sont dans ce domaine ça me ferai plaisir cher over shell.
vidéo intéressante 👍😉
Merci beaucoup 👍
@@overshell salut très sympas le sujet . bravos à toi très bien expliquait .
mais ici je souhaite parler de chose très intéressante à savoir .
pour les personnes qui souhaite faire un sujet de mémoire .
ici je parle des attaques possible que peuvent utiliser un attaquant.
contourner la réponse active d'un ids .
l'interruption de session provoquée par un ids peut être contournée de plusieurs
manières.
la plupart d'entre elles se basent sur le laps de temps qui existe entre la détection
d'une attaque et la prise en compte du tcp reset par la machine cible .
dans le cas où l'exploit à réaliser par un attaquant ne nécessite pas de session interactive .
celui-ci pourra simplement positionner le flag push au sein de ses paquets tcp .
en général les piles tcp / ip . ne délivrent pas chaque portion de données à l'application
dés que celle-ci arrivent cela revient trop cher en terme d'interruption logiciels .
la pile accumule les données dans un buffer et dés que celui-ci est plein
elle réalise un push du buffer tout entier pour envoyer les données en une seule fois.
certaines applications ont besoin de récupérer les données aussi vite qu'elles arrive
et sont prêtes à en payer le coût .
dans cette optique le flag push indique à la pile de délivrer les données à l'application
aussi vite que possible.
si un attaquant potentiel désire récupérer le contenu d'un répertoire
cela ne lui sera pas très utile. car la session aura été interrompue avant que
la réponse à sa requête . ne soit effectuée .
par contre si celui-ci trouve le moyen de copier le fichier hôte par exemple .
vers un répertoire accessible depuis le serveur web du réseau.
il ne s'occupera pas de savoir si la session a été interrompue ou non
puisque son exploit aura réussi simplement en positionnant le flag
push au sein du paquet contenant sa requête .
si l'attaquant à besoin de conserver la session ouverte une autre technique
reste à sa disposition.
l'astuce consiste à faire en sorte que la machine cible ignore le tcp reset envoyé
par l'ids.
ce dernier croira avoir interrompue la session.
et l'attaquant pourra continuer son travail tranquillement.
cette technique utilise le temps nécessaire pour un ids de capturer le paquet.
de détecter l'exploit en cour . de générer le tcp reset et d'envoyer celui-ci sur le réseau.
une course contre la montre s'engage alors entre l'ids et l'attaquant.
pour que la machine cible de l'attaquant ignore le tcp reset de l'ids.
il faut que le prochain paquet de la session engagée entre l'attaquant
et la machine cible parvienne sur la machine cible avant le paquet reset de l'ids.
rappel .
la pile tcp travaille sur une fenêtre. certaines données reçues ont déjà été
envoyées push .
vers l'application et certaines attendent dans le buffer qui doit être vidé
vers l'application.
de plus il existe un espace vide en attente de réception de nouvelles données
ce que l'on nomme la fenêtre n'est autre que la réunion du buffer et de l'espace vide .
seules les données présentes au sein de la fenêtre peuvent être traitées.
la pile tcp maintient également un pointeur courant cp .
qui pointe sur le prochain fragment de données que la pile s'attend à recevoir
celui-ci correspond de plus au numéro d'acquittement .
par exemple si la pile à reçu 76 octets le numéro d'acquittement sera 77 .
quand le prochain fragment de données arrivera . le pointeur courant
sera immédiatement positionné à la fin de ce fragment.
les fragments ne sont pas obligé d'arriver dans l'ordre un fragment commençant
à l'octet 90 peut arriver avant le fragment commençant à l'octet 77 .
il sera copié dans le buffer mais le pointeur courant restera positionné à 77
jusqu'à ce que le fragment débutant par 77 arrive a cet instant .
le pointeur courant sera déplacé vers la fin de tous les fragments reçus.
et ce en une seule fois .
sur la plupart des piles . le reset doit corresponde avec le pointeur courant
sans quoi le paquet est ignoré . en sachant cela un attaquant peut
construire un paquet suivant qui mettra en échec le reset de l'ids .
admettons que l'attaque nécessite trois paquets .
l'attaquant envoi tout d'abord les deux premiers paquets .
rappelons que l'ids à besoin des trois premiers paquets pour détecter l'attaque .
l'attaquant va ensuite construire un quatrième paquet ne contenant aucune données
menaçante au yeux de l'ids. et l'envoyer avant le troisième . a ce stade le paquet
quatre sera copié dans le buffer dés son arrivée mais le pointeur courant .
restera positionné sur la fin du second paquet .
dés que le troisième paquet arrivera le pointeur courant sera déplacé
en une fois vers la fin du quatrième paquet . à l'arrivée du paquet trois .
l'ids va générer et envoyer un tcp reset basé sur le paquet trois .
celui-ci sera de toutes façons ignoré lors de sa réception
par la machine cible. puisqu'il ne correspondra pas avec le pointeur courant
de celle -ci positionné sur la fin du paquet quatre .
pour la même raison le délai induit par la réponse active de l'ids .
il est possible de contourner la mise à jour du firewall par l'ids .
la mise à jour des règles d'un firewall prend habituellement une à deux seconde
en moyenne ce qui suffit amplement à une personne habile pour s'introduire
sur une machine et y installer une backdoor .
il ne lui reste alors plus qu'a changer d'adresse ip pour pouvoir administrer la machine
à distance .
les fonctions de réponses actives peuvent s'avérer efficaces mais ne constituent
en aucun cas un moyen sûr de sécuriser un réseau .
n'importe qui avec un minimum de connaissances sur tcp / ip est capable
de contourner les mécanismes mis en jeu les ips faute de pouvoir
maîtriser correctement les fausses alertes la plupart des
systèmes actuels d'ids son voués à disparaître ou à évoluer grandement.
l'apparition sur le marché de la sécurité informatique des systèmes ips .
est très récent et résulte de la nécessité d'améliorer encore et toujours les
solutions existantes ayant prouvées leurs limites .
les ips n'existent pas vraiment en tant que technologies bien définies
mais plutôt entant que concepts que tentent de mettre en oeuvre les
différents acteurs du marché à travers de multiples technologies et
solutions de sécurité . voilà pour l'info . donc je tient à n'excuser pour la longueur .
sur ceux je vous souhaite une très bonne fin de soirée et au plaisir .