Exemples d'attaques

Pour illustrer ces différentes méthodes, voici quelques exemples d'attaques permettant d'outre-passer les IDS :

Les attaques réseaux Le but principal est de réduire les possibilités du NIDS à détecter les attaques:

Par les méthodes classiques de scan : Nous pouvons prendre comme exemple le scan furtif SYN implémenté par NMAP permettant de ne pas être détecté par les NIDS. Le but du scan SYN est de ne pas ouvrir une connexion complètement. A la réception d'un SYN/ACK qui signifie que le port est ouvert, il envoie un RST pour interrompre la connexion. Aucune connexion n'est donc faite tout en sachant quels ports sont ouverts.

Par le flood : Il consiste à surcharger le NIDS pour qu'il ne puisse pas fonctionner correctement, et qu'il ne détecte pas l'attaque principale.

Par la noyade sous les faux-positifs : Le principe est de provoquer de nombreuses remontées d'alertes. En parallèle, une attaque réelle contre le réseau est lancée, et l'administrateur occupé à analyser les alertes, ne s'en rendra pas compte sur le moment. Nous pouvons utiliser l'option decoy de nmap pour générer des scans nmap multiples, ou encore utiliser l'outil snot qui génère de nombreuses attaques différentes.

Par fragmentation : Le principe est de fragmenter les paquets IP pour empecher les NIDS de détecter les attaques sachant que les paquets seront réassemblés au niveau du destinataire. Il est possible aussi d'envoyer des paquets IP mal fragmentés qui vont utiliser la faiblesse de certaines pile IP (peut-être aussi celle de la sonde IDS qui capte tout le trafic) pour perturber le système.

Par des scans lents : Les NIDS ne détectent souvent pas ce type de scan (un scan toutes les heures par exemple). Sachant qu'un NIDS maintient un état de l'information (TCP, IP fragments, TCP scan, ...) pendant une période de temps bien définie (capacité mémoire, configuration), ils ne détectent rien si deux scans consécutifs sont trop espacés.

Les techniques de RFP Plusieurs techniques anti-IDS ont été développées par Rain Forest Puppy ou RFP au niveau du protocole HTTP implémenté dans son scanner cgi Whsiker. Le principe est de lancer les attaques sous une forme différente de celles référencées dans la base de signatures des IDS afin de ne pas reconnaître les requêtes HTTP. De plus, il rend les attaques complexes pour qu'elles ne puissent pas être détectées. Nous allons lister ci-après quelques techniques :

l'encodage : Il permet de coder les caractères sous forme hexadécimale.L'URL sera comprise par le protocole HTTP.

les doubles slashes : Par exemple, une requete de type '//cgi-bin//script' ne sera pas détectée car les IDS vérifient les requêtes de la forme '/cgi-bin/script'.

les self-reference directories : Il consiste à remplacer tous les '/' par des '/./'. La requête n'est pas détectée.

La simulation de fin de requête : L'IDS analyse la première partie de l'URL et s'arrête au premier HTTP/1.0 $\backslash$r$\backslash$n. Le reste de la requete qui représente l'attaque passe sans etre analysée. Par exemple: HEAD /HTTP/1.0$\backslash$r$\backslash$nHeader : /../../cgi-bin/some.cgi HTTP/1.0$\backslash$r$\backslash$n$\backslash$r$\backslash$n

Le formatage : Il consiste à remplacer les espaces par des tabulations.

Case sensitive : Il consiste à remplacer les minuscules par des majuscules. La requête reste valide.

URL coupée : Il consiste à couper la requete HTTP en plusieurs paquets TCP. Par exemple, l'URL "GET /cgi/bin/phf" devient "GET","/cgi/b","in/ph","f HTTP/1.0".

Le caractère NULL : En analysant la chaine de caractères HEAD%00 /cgi-bin/some.cgi HTTP/1.0, l'IDS s'arrête dès qu'il atteind le caractère NULL, la suite de l'URL n'étant pas analysée.

Buffer-overflow Les IDS sont capables de détecter des attaques de type buffer overflow.Pour cela, il analyse le trafic à la recherche de chaines de caractères telles que "/bin/sh", "0x90"(NOP)...