Module 16 — Attaques & Monitoring

Attacking the Foundation

Comprends les attaques qui ciblent les protocoles fondamentaux du reseau : IP, ICMP, TCP, UDP, DNS et ARP. Connaitre ces attaques est essentiel pour les detecter et les contrer.

Comprendre les attaques ciblant le protocole IP (spoofing, fragmentation)
Identifier les attaques ICMP et leurs signatures
Analyser les attaques TCP (SYN flood, hijacking, reset)
Connaitre les attaques par amplification UDP
Maitriser les attaques DNS et leurs defenses
Reconnaitre les attaques ARP et de couche 2

🌐 16.1 — Attaques IP

Le protocole IP (Internet Protocol) est le fondement de toutes les communications reseau. Ses faiblesses inherentes — absence d'authentification et confiance dans les headers — en font une cible privilegiee pour les attaquants.

IP, c'est comme le systeme postal. Quand tu envoies une lettre, tu ecris l'adresse de l'expediteur sur l'enveloppe. Mais rien ne t'empeche d'ecrire une fausse adresse. Le bureau de poste ne verifie pas. IP fonctionne de la meme maniere : l'adresse source n'est pas verifiee par defaut.

L'attaquant modifie l'adresse IP source dans les headers des paquets pour se faire passer pour une autre machine.

Objectifs :

Anonymat : masquer l'origine reelle de l'attaque
Bypass ACL : contourner les regles de firewall basees sur l'IP source
Amplification : envoyer des requetes avec l'IP de la victime comme source pour rediriger les reponses
Session hijacking : s'inserer dans une session en usurpant l'IP d'un participant

Defenses :

Ingress/Egress filtering : bloquer les paquets avec des IP sources invalides aux routeurs de bordure
uRPF (Unicast Reverse Path Forwarding) : verifier que l'IP source est joignable par l'interface d'arrivee
ACL anti-spoofing : bloquer les paquets avec des IP sources du reseau interne arrivant de l'exterieur

IP permet de fragmenter les paquets trop gros pour le MTU du lien. Les attaquants exploitent ce mecanisme de plusieurs facons :

Attaque	Principe	Effet
Teardrop	Envoi de fragments avec des offsets qui se chevauchent	Crash du systeme lors du reassemblage
Tiny Fragment	Fragments tellement petits que les headers TCP sont repartis sur 2 fragments	Le firewall ne peut pas inspecter le header TCP complet
Fragment Overlap	Le second fragment ecrase des donnees du premier lors du reassemblage	Contournement des IDS/IPS qui n'analysent que le premier fragment

Defenses :

Reassemblage des fragments au niveau du firewall avant inspection
Bloquer les fragments anormalement petits (< 400 octets)
Limiter le nombre de fragments par paquet

Le TTL (Time to Live) decremente a chaque routeur traverse. Les attaquants peuvent le manipuler pour :

Evasion IDS : envoyer un paquet avec un TTL qui expire apres l'IDS mais avant la cible. L'IDS analyse le paquet, mais la cible ne le recoit jamais. Puis l'attaquant envoie le vrai paquet malveillant.
Traceroute mapping : utiliser des TTL incrementaux pour cartographier le reseau (technique de reconnaissance)
Fingerprinting : le TTL initial varie selon les OS (Linux = 64, Windows = 128, Cisco = 255), permettant l'identification a distance

Defenses :

Normalisation des paquets au firewall
IDS/IPS capables de reassembler le flux comme le ferait la cible

📡 16.2 — Attaques ICMP

ICMP (Internet Control Message Protocol) est un protocole de diagnostic et de signalisation (ping, traceroute, messages d'erreur). Les attaquants detournent ses fonctionnalites pour lancer des attaques ou exfiltrer des donnees.

ICMP, c'est comme le systeme de notification d'un immeuble. Normalement, on sonne a la porte pour verifier si quelqu'un est la (ping). Mais un attaquant peut sonner a toutes les portes en meme temps (flood), rediriger les residents vers une fausse sortie (redirect), ou cacher un message secret dans le son de la sonnette (tunneling).

ICMP Flood (Ping Flood)

L'attaquant envoie un nombre massif de paquets ICMP Echo Request a la cible pour la submerger.

Objectif : Denial of Service — saturer la bande passante et les ressources de la cible
Commande d'attaque : ping -f -s 65000 target_ip (flood de gros paquets)
Detection : volume ICMP anormalement eleve, meme IP source (ou spoofee)
Defense : limiter le taux ICMP (rate limiting), bloquer ICMP en exces au firewall

Smurf Attack (attaque par amplification ICMP)

L'attaquant envoie des ICMP Echo Request a l'adresse de broadcast d'un reseau avec l'adresse IP source spoofee de la victime. Toutes les machines du reseau repondent a la victime.

Amplification : 1 paquet envoye = N reponses (N = nombre de machines sur le reseau)
Resultat : la victime est submergee par les reponses ICMP Echo Reply
Defense : desactiver le broadcast dirige (no ip directed-broadcast sur les routeurs Cisco), filtrer ICMP au perimetre

Note historique

L'attaque Smurf est largement obsolete aujourd'hui car le broadcast dirige est desactive par defaut sur les routeurs modernes. Mais le concept d'amplification reste tres actuel (DNS, NTP, memcached).

ICMP Redirect

Un message ICMP Type 5 qui indique a un hote d'utiliser une route differente. Un attaquant peut envoyer un faux ICMP Redirect pour rediriger le trafic d'une victime a travers sa propre machine.

Objectif : Man-in-the-Middle — intercepter le trafic en le detournant
Fonctionnement : l'attaquant envoie un ICMP Redirect disant "pour atteindre X, passe par moi"
Defense : desactiver l'acceptation des ICMP Redirect sur les hotes (net.ipv4.conf.all.accept_redirects = 0 sous Linux)

ICMP Tunneling

Les donnees sont encapsulees dans le champ payload des paquets ICMP Echo Request/Reply pour etablir un canal de communication secret.

Objectif : exfiltration de donnees ou canal C2 en contournant les firewalls
Detection : paquets ICMP avec un payload anormalement gros (> 64 octets), flux ICMP continu, contenu non standard dans le payload
Outils d'attaque : icmpsh, ptunnel, ICMP-Shell
Defense : inspecter la taille et le contenu des paquets ICMP, limiter le trafic ICMP

Ping of Death

Envoi d'un paquet ICMP dont la taille depasse la limite maximale IP (65 535 octets). Le systeme cible crash lors du reassemblage du paquet surdimensionne.

Taille normale d'un ping : 56 octets de donnees + 8 octets d'header ICMP
Ping of Death : paquet fragmente dont le reassemblage depasse 65 535 octets
Impact : buffer overflow, crash systeme, reboot
Statut : vulnerabilite historique, les systemes modernes sont proteges
Defense : mise a jour des systemes, validation de la taille des paquets reassembles

🔗 16.3 — Attaques TCP

Le protocole TCP repose sur le three-way handshake (SYN, SYN-ACK, ACK) et le maintien d'etat des connexions. Ces mecanismes, bien que necessaires pour la fiabilite, creent des opportunites d'attaque.

Schema interactif : SYN Flood Attack

SYN Flood : comment ca marche ?

Etape 1 — Connexion TCP normale

Client envoie SYN → Serveur repond SYN-ACK → Client repond ACK

La connexion est etablie. Le serveur alloue des ressources (memoire, slot dans la table de connexions) a l'etape SYN-ACK.

Etape 2 — L'attaquant envoie des milliers de SYN

L'attaquant envoie des milliers de paquets SYN avec des IP sources spoofees. Le serveur repond a chaque SYN avec un SYN-ACK et alloue des ressources pour chaque connexion en attente (half-open).

Etape 3 — Le serveur est sature

Comme les IP sources sont fausses, aucun ACK n'arrive jamais. Le serveur garde des milliers de connexions half-open en memoire. Sa table de connexions se remplit : il ne peut plus accepter de nouvelles connexions legitimes.

Resultat : Denial of Service

Defenses contre le SYN Flood

SYN Cookies : le serveur n'alloue pas de ressources au SYN, il encode l'etat dans le numero de sequence du SYN-ACK
Rate limiting : limiter le nombre de SYN par seconde par IP source
SYN Proxy (firewall) : le firewall complete le handshake a la place du serveur
Augmenter le backlog : augmenter la taille de la file d'attente des connexions half-open
Reduire le timeout : reduire le temps d'attente pour les connexions half-open

Autres attaques TCP

L'attaquant prend le controle d'une session TCP existante entre deux machines en predisant ou volant les numeros de sequence TCP.

Comment ca marche :

L'attaquant ecoute le trafic entre le client et le serveur (sniffing)
Il capture les numeros de sequence TCP actuels
Il injecte des paquets avec les bons numeros de sequence en usurpant l'IP du client
Le serveur accepte les paquets comme s'ils venaient du client legitime

Defenses :

Chiffrement des sessions (TLS/SSH) pour empecher le sniffing
Numeros de sequence aleatoires (ISN randomization)
Detection IDS des numeros de sequence incoherents

L'attaquant envoie un paquet TCP RST (Reset) forge a l'une des parties d'une connexion TCP active, provoquant la fermeture immediate de la connexion.

Prerequis :

Connaitre les IP source/destination et les ports de la connexion
Deviner ou connaitre un numero de sequence valide

Impact :

Interruption de connexions legitimes (sessions SSH, VPN, BGP)
Denial of Service cible sur des connexions specifiques
Particulierement dangereux pour les sessions BGP entre routeurs

Defenses :

TCP MD5 Authentication (RFC 2385) pour les sessions BGP
Chiffrement des connexions (IPsec, TLS)
Detection IDS des RST inattendus

📦 16.4 — Attaques UDP

UDP est un protocole sans connexion et sans etat. L'absence de handshake le rend particulierement vulnerable aux attaques par amplification et par flood.

UDP, c'est comme envoyer une carte postale. Pas besoin de s'assurer que le destinataire est la (pas de handshake). Mais ca signifie aussi qu'on peut envoyer des milliers de cartes postales a n'importe qui, et comme il n'y a pas de verification d'identite, on peut mettre une fausse adresse d'expediteur facilement.

UDP Flood

L'attaquant envoie un grand nombre de paquets UDP vers des ports aleatoires de la cible. Pour chaque paquet receu sur un port ferme, la cible genere un message ICMP "Port Unreachable", consommant des ressources.

Attaques par amplification

L'attaquant envoie une petite requete a un serveur avec l'IP source spoofee de la victime. Le serveur repond avec une reponse beaucoup plus volumineuse, dirigee vers la victime.

Protocole	Port	Facteur d'amplification	Requete de l'attaquant	Reponse vers la victime
DNS	53	28x - 54x	Requete DNS de type ANY (~60 octets)	Reponse DNS volumineuse (~3 400 octets)
NTP	123	556x	Commande `monlist` (~234 octets)	Liste des 600 derniers clients (~100 Ko)
memcached	11211	10 000x - 51 000x	Requete `stats` (~15 octets)	Dump de cache (potentiellement des Mo)
SSDP	1900	30x	Requete de decouverte UPnP	Description complete du peripherique
SNMP	161	6x	Requete GetBulk	Table MIB complete

Amplification record

En 2018, GitHub a subi une attaque DDoS par amplification memcached de 1,35 Tbps — la plus grande attaque DDoS enregistree a l'epoque. Elle n'a dure que 20 minutes grace a la mitigation automatique.

Defenses contre les attaques UDP

BCP38 / Ingress filtering : bloquer les paquets avec des IP sources spoofees au niveau des FAI
Rate limiting : limiter le debit des reponses DNS/NTP/memcached
Desactiver les services inutiles : desactiver monlist sur NTP, ne pas exposer memcached sur Internet
Anti-DDoS : services de mitigation cloud (Cloudflare, AWS Shield, Akamai)
Blackhole routing : rediriger le trafic d'attaque vers un trou noir en cas d'urgence

🔤 16.5 — Attaques DNS

Le DNS (Domain Name System) est un service critique : sans DNS, aucun site web n'est accessible par son nom. Les attaquants ciblent le DNS pour rediriger le trafic, voler des informations ou effectuer des DDoS.

DNS Cache Poisoning / DNS Spoofing

L'attaquant injecte de fausses entrees dans le cache d'un serveur DNS pour rediriger les utilisateurs vers des sites malveillants.

Comment ca marche :

Le serveur DNS envoie une requete pour resoudre bank.com
L'attaquant envoie une fausse reponse avant le serveur DNS autoritaire
La fausse reponse associe bank.com a l'IP du site malveillant de l'attaquant
Le serveur DNS met cette fausse association en cache
Tous les utilisateurs qui demandent bank.com sont rediriges vers le faux site

Conditions de reussite :

L'attaquant doit deviner le Transaction ID de la requete DNS (16 bits = 65 536 possibilites)
La reponse doit arriver avant la vraie reponse
L'attaque de Kaminsky (2008) a montre comment empoisonner le cache en exploitant les sous-domaines aleatoires

Defenses :

Randomisation du port source des requetes DNS
DNSSEC pour authentifier les reponses
DNS over HTTPS (DoH) / DNS over TLS (DoT)

DNS Amplification Attack

L'attaquant envoie de petites requetes DNS avec l'IP source spoofee de la victime vers des resolvers DNS ouverts. Les resolvers repondent avec des reponses volumineuses dirigees vers la victime.

Requete : type ANY pour un domaine avec beaucoup d'enregistrements (~60 octets)
Reponse : tous les enregistrements du domaine (~3 400 octets)
Amplification : facteur x28 a x54

Defenses :

Ne pas operer de resolvers DNS ouverts (open resolvers)
Limiter les requetes de type ANY
Implementer Response Rate Limiting (RRL)
BCP38 : filtrage anti-spoofing chez les FAI

DNS Tunneling

Les donnees sont encodees dans les requetes et reponses DNS pour etablir un canal de communication secret. (Vu en detail dans le Module 15)

Exfiltration : donnees encodees dans les sous-domaines des requetes
Infiltration : donnees encodees dans les enregistrements TXT des reponses
C2 : canal de commande et controle via DNS

Detection :

Sous-domaines anormalement longs
Volume DNS eleve depuis un hote
Entropie elevee dans les noms
Requetes vers des domaines recemment enregistres

DNSSEC — DNS Security Extensions

DNSSEC ajoute des signatures cryptographiques aux reponses DNS pour garantir leur authenticite et leur integrite.

Comment ca protege :

Chaque zone DNS signe ses enregistrements avec une cle privee
Le resolver peut verifier la signature avec la cle publique
Si la reponse a ete modifiee (poisoning), la signature ne correspond pas
Chaine de confiance du root aux domaines via les enregistrements DS

Limites de DNSSEC :

Ne chiffre pas les requetes (pas de confidentialite)
Deploiement incomplet (tous les domaines ne sont pas signes)
Augmente la taille des reponses DNS (peut aggraver l'amplification)

📋 16.6 — Attaques ARP et couche 2

ARP (Address Resolution Protocol) opere au niveau de la couche 2 (Data Link) et permet de mapper les adresses IP aux adresses MAC. Comme ARP n'a aucun mecanisme d'authentification, il est trivial a exploiter sur un reseau local.

Rappel : Imagine un bureau ou le standard telephonique demande "Qui est au poste 42 ?" et n'importe qui peut repondre "C'est moi !" L'ARP fonctionne pareil : quand une machine demande "Qui a l'IP 10.0.0.1 ?", n'importe qui sur le LAN peut repondre avec sa propre adresse MAC.

Mecanisme :

L'attaquant envoie des ARP Reply non sollicites (gratuitous ARP)
Il dit a la victime A : "L'IP du routeur correspond a MON adresse MAC"
Il dit au routeur : "L'IP de la victime A correspond a MON adresse MAC"
Tout le trafic entre A et le routeur passe par la machine de l'attaquant
Resultat : Man-in-the-Middle

Outils d'attaque :

arpspoof (dsniff), ettercap, bettercap

Defenses :

Dynamic ARP Inspection (DAI) : le switch verifie les ARP Reply contre la table DHCP Snooping
ARP statique : configurer manuellement les entrees ARP critiques (routeurs, serveurs)
Port security : limiter le nombre de MAC par port de switch
802.1X : authentification des machines avant l'acces au reseau

Attaque qui permet a un attaquant d'acceder au trafic d'un autre VLAN que le sien, contournant la segmentation reseau.

Deux techniques :

Technique	Principe	Defense
Switch Spoofing	L'attaquant configure sa machine pour negocier un trunk 802.1Q avec le switch, accedant a tous les VLANs	Desactiver DTP (Dynamic Trunking Protocol) sur tous les ports d'acces : `switchport mode access`
Double Tagging	L'attaquant encapsule ses trames avec deux tags VLAN. Le premier switch enleve le tag externe, le second switch forward la trame dans le VLAN du tag interne	Ne pas utiliser le VLAN natif (VLAN 1) sur les trunks, tagger explicitement le VLAN natif

🔬 16.7 — Exercice : Identifier le type d'attaque

Pour chaque scenario ci-dessous, identifie le type d'attaque en cours. Clique sur chaque scenario pour reveler la reponse.

SYN Flood Attack

Les IP sont spoofees (d'ou l'absence d'ACK), et la table de connexions se remplit de connexions half-open. C'est une attaque DDoS par SYN flood classique.

Smurf Attack

L'attaquant a envoye des ICMP Echo Request a l'adresse de broadcast du sous-reseau avec l'IP source de la victime. Toutes les machines du sous-reseau repondent a la victime.

DNS Amplification Attack

Le serveur DNS est utilise comme reflecteur. Les requetes ANY sont spoofees avec l'IP de la victime comme source. Les grosses reponses sont envoyees a la victime.

ARP Spoofing / ARP Poisoning

Un attaquant a envoye des ARP Reply frauduleux pour associer sa MAC a l'IP du routeur. Tout le trafic destine a la passerelle transite maintenant par la machine de l'attaquant (MitM).

TCP Reset Attack (RST Attack)

L'attaquant a forge un paquet RST avec un numero de sequence valide pour fermer la connexion SSH de force. Il a probablement sniffe le trafic pour obtenir les numeros de sequence.

DNS Tunneling (Data Exfiltration)

Le poste est probablement compromis et utilise le DNS pour exfiltrer des donnees. Les sous-domaines longs en base64 et le volume anormal sont des indicateurs typiques.

📶 16.9 — Attaques sur les réseaux sans fil

Les réseaux Wi-Fi présentent une surface d'attaque unique car le signal radio est accessible à quiconque se trouve dans la portée du point d'accès.

Attaque	Description	Objectif
Evil Twin	Créer un faux AP avec le même SSID qu'un réseau légitime	Intercepter le trafic des victimes qui se connectent au faux AP (MitM)
Deauthentication	Envoyer des trames de désauthentification forgées (802.11)	Déconnecter les clients pour les forcer à se reconnecter (au evil twin ou pour capturer le handshake)
WPA2 Handshake Capture	Capturer le 4-way handshake WPA2 lors d'une reconnexion	Permettre le cracking offline du mot de passe Wi-Fi
PMKID Attack	Extraire le PMKID du premier message du handshake	Cracker le mot de passe sans avoir besoin d'un client connecté
Rogue AP	AP non autorisé connecté au réseau interne	Créer un point d'entrée non surveillé dans le réseau
War Driving	Scanner les réseaux Wi-Fi en se déplaçant en véhicule	Cartographier les réseaux vulnérables

Protections contre les attaques wireless

WPA3 — Remplace WPA2, utilise SAE (Simultaneous Authentication of Equals) résistant aux attaques offline
802.1X / EAP — Authentification enterprise avec serveur RADIUS (pas de PSK partagé)
WIPS (Wireless IPS) — Détecte les rogue AP et les attaques de deauthentication
Segmentation réseau — Isoler le réseau Wi-Fi du réseau interne critique
Désactiver le broadcast SSID — Mesure basique (facilement contournée mais ajoute une couche)

Outils d'attaque Wi-Fi courants

Aircrack-ng — Suite complète : capture de paquets, deauth, cracking WPA2
Kismet — Détection passive de réseaux et sniffing wireless
Wifite — Automatisation des attaques Wi-Fi
Hashcat — Cracking GPU du handshake/PMKID capturé

🌐 16.10 — Attaques spécifiques IPv6

IPv6 introduit de nouveaux protocoles (NDP, SLAAC) qui créent des vecteurs d'attaque spécifiques absents en IPv4.

Attaque	Protocole ciblé	Description
NDP Spoofing	NDP (Neighbor Discovery Protocol)	Équivalent IPv6 de l'ARP spoofing — l'attaquant envoie de fausses réponses Neighbor Advertisement pour rediriger le trafic
Rogue RA (Router Advertisement)	NDP / SLAAC	L'attaquant envoie de faux Router Advertisements pour se positionner comme passerelle par défaut (MitM)
SLAAC Attack	SLAAC	Exploiter l'autoconfiguration pour assigner des adresses avec un préfixe contrôlé par l'attaquant
IPv6 Tunneling Evasion	6to4, Teredo, ISATAP	Encapsuler du trafic IPv6 dans IPv4 pour contourner les firewalls qui n'inspectent pas les tunnels
DHCPv6 Spoofing	DHCPv6	Serveur DHCPv6 malveillant qui distribue de fausses configurations (DNS, passerelle)

Protections IPv6

RA Guard — Filtre les Router Advertisements non autorisés sur les switches
DHCPv6 Guard — Filtre les réponses DHCPv6 non autorisées
IPv6 First Hop Security — Suite de protections Cisco pour le premier saut IPv6
Désactiver les tunnels IPv6 si non nécessaires (6to4, Teredo, ISATAP)
Inspecter le trafic IPv6 dans les firewalls — beaucoup d'organisations oublient de filtrer IPv6

NDP vs ARP

En IPv4, ARP résout les adresses IP en adresses MAC. En IPv6, c'est NDP (Neighbor Discovery Protocol) qui remplace ARP avec les messages Neighbor Solicitation et Neighbor Advertisement. Les attaques sont similaires mais les protections diffèrent (RA Guard vs DAI).

📝 16.11 — Quiz de revision

🔬 16.7 — Lab : Detection d'attaques reseau

Utilise les outils de l'analyste SOC pour detecter et identifier les attaques reseau. Tape les commandes pour analyser le trafic capture.

SOC Analyst — Attack Detection Lab

# Lab : Detection d'attaques dans une capture reseau

# Fichier : capture.pcap (trafic suspect enregistre)

# Tape 'help' pour voir les commandes disponibles

analyst@soc:~$

Exercice : associe chaque attaque a sa couche protocolaire

Glisse chaque attaque dans la couche du modele OSI/TCP qu'elle cible principalement.

IP Spoofing

Ping of Death

SYN Flood

TCP Reset Attack

DNS Cache Poisoning

ARP Spoofing

Couche 2 — Liaison

Couche 3 — Reseau

Couche 4 — Transport

Couche 7 — Application

🔌 16.7 — Attaques DHCP

Le protocole DHCP (Dynamic Host Configuration Protocol) est essentiel pour l'attribution automatique d'adresses IP. Comme il ne possede aucun mecanisme d'authentification, il est vulnerable a plusieurs attaques.

DHCP Resource Exhaustion (epuisement des ressources DHCP)

L'attaquant envoie un grand nombre de requetes DHCP Discover avec des adresses MAC usurpees pour epuiser le pool d'adresses IP disponibles. Une fois le pool vide, les clients legitimes ne peuvent plus obtenir d'adresse IP.

Attaque

# L'attaquant envoie des centaines de DHCP Discover avec des MAC aleatoires
# Chaque requete consomme une adresse du pool DHCP
# Resultat : plus aucune IP disponible pour les vrais clients

Attaquant → DHCP Discover (MAC: AA:BB:CC:11:22:33)
Attaquant → DHCP Discover (MAC: AA:BB:CC:11:22:34)
Attaquant → DHCP Discover (MAC: AA:BB:CC:11:22:35)
... x 500 requetes = pool DHCP epuise

Outil d'attaque : Gobbler ou yersinia peuvent automatiser l'epuisement DHCP. C'est une forme d'attaque Denial of Service (DoS).

DHCP Spoofing (serveur DHCP frauduleux)

L'attaquant installe un serveur DHCP rogue (frauduleux) sur le reseau qui repond aux requetes DHCP des clients AVANT le serveur legitime. Le serveur rogue distribue de fausses informations :

Fausse passerelle (gateway) : redirige le trafic vers la machine de l'attaquant → attaque Man-in-the-Middle
Faux serveur DNS : redirige les requetes DNS vers un serveur malveillant → DNS poisoning
Fausse adresse IP : attribue des IP invalides → Denial of Service

Imagine un faux policier qui redirige la circulation. Les voitures (paquets reseau) font confiance a l'uniforme (protocole DHCP) et suivent les indications du faux policier (serveur rogue) sans verifier son identite. Elles sont redirigees vers un peage pirate (attaquant MitM).

Defenses contre les attaques DHCP

Defense	Fonctionnement
DHCP Snooping	Fonctionnalite du switch qui definit les ports trusted (serveur DHCP legitime) et untrusted (clients). Les reponses DHCP sont bloquees sur les ports untrusted.
Port Security	Limite le nombre d'adresses MAC par port pour prevenir l'epuisement DHCP par MAC spoofing
Dynamic ARP Inspection (DAI)	Valide les paquets ARP contre la table DHCP Snooping pour prevenir l'ARP spoofing

🌐 16.8 — Techniques DNS avancees d'evasion

Les attaquants utilisent des techniques sophistiquees pour masquer leur infrastructure DNS malveillante et echapper a la detection.

Fast Flux

Technique qui consiste a changer rapidement les adresses IP associees a un nom de domaine malveillant. Le TTL (Time To Live) DNS est regle tres bas (quelques secondes), et le domaine pointe successivement vers des centaines d'hotes compromis (botnet).

DNS

# Requete DNS a t=0
evil.com → 192.168.1.100 (TTL: 30s)

# Requete DNS a t=30s
evil.com → 10.0.0.55 (TTL: 30s)

# Requete DNS a t=60s
evil.com → 172.16.0.200 (TTL: 30s)

# L'IP change constamment → impossible a bloquer par IP

Detection Fast Flux : TTL anormalement bas (<60s), un meme domaine resolvant vers de nombreuses IP differentes, IPs dans des plages geographiques variees.

Domain Generation Algorithms (DGA)

Les malwares utilisent des algorithmes de generation de domaines pour creer automatiquement des centaines de noms de domaine pseudo-aleatoires. L'attaquant n'enregistre que quelques-uns de ces domaines comme serveurs C2.

DGA

# Domaines generes par un DGA (exemple simplifie)
xk7f9m2p.com    ← pas enregistre
j3n8r5wq.com    ← ENREGISTRE → serveur C2 !
m9d4k2tf.com    ← pas enregistre
p6h1y8vn.com    ← pas enregistre
a2c5x7bj.com    ← ENREGISTRE → serveur C2 backup

Technique	Principe	Detection
Fast Flux	Rotation rapide des IP derriere un domaine (TTL bas)	Analyse des TTL, comptage des IP par domaine
DGA	Generation algorithmique de domaines aleatoires	Entropie elevee des noms, frequence des requetes NXDOMAIN
DNS Tunneling	Donnees encodees dans les requetes/reponses DNS	Taille anormale des requetes, volume DNS eleve

📡 16.9 — ARP Gratuitous et fonction normale

Un Gratuitous ARP est un paquet ARP non sollicite envoye par un appareil, generalement au demarrage, pour informer les autres appareils du reseau de son adresse MAC.

Fonction legitime du Gratuitous ARP

Au demarrage : un appareil envoie un Gratuitous ARP pour informer les autres appareils de son adresse MAC et mettre a jour leurs tables ARP
Detection de conflits IP : si un autre appareil repond au Gratuitous ARP, il y a un conflit d'adresse IP
Mise a jour apres changement : apres un changement de carte reseau ou de configuration, le Gratuitous ARP met a jour les caches ARP du reseau

Exploitation malveillante

Un attaquant peut envoyer de faux Gratuitous ARP pour empoisonner les caches ARP des victimes et rediriger le trafic vers sa machine (ARP Spoofing/Poisoning).

Type d'ARP Poisoning	Comportement	Resultat
Passif	L'attaquant intercepte et copie le trafic sans le modifier, puis le retransmet	Vol d'informations confidentielles (sniffing)
Actif	L'attaquant intercepte, modifie ou injecte des donnees dans le trafic	Modification de donnees, injection de malware

A retenir pour l'examen : Un ARP poisoning passif resulte en un vol d'informations confidentielles. Un ARP poisoning actif resulte en une modification des donnees en transit. Les equipements de couche 2 (Layer 2) comme les switches sont ceux qui securisent contre le MAC spoofing.

Points cles du Module 16

L'IP spoofing est possible car IP n'authentifie pas l'adresse source ; la defense passe par l'ingress filtering et uRPF
Les attaques par fragmentation IP exploitent le reassemblage des paquets pour contourner les firewalls ou crasher les systemes
Les attaques ICMP incluent le flood, le Smurf (amplification par broadcast), le redirect (MitM) et le tunneling
Le SYN flood est l'attaque TCP la plus courante : il sature la table de connexions avec des connexions half-open ; les SYN cookies sont la defense cle
Les attaques par amplification UDP exploitent le facteur de multiplication des reponses (DNS x54, NTP x556, memcached x51 000)
Le DNS cache poisoning redirige les utilisateurs vers des sites malveillants ; DNSSEC authentifie les reponses
L'ARP spoofing permet le Man-in-the-Middle sur le LAN ; Dynamic ARP Inspection (DAI) est la defense principale
Le VLAN hopping contourne la segmentation ; desactiver DTP et tagger le VLAN natif sont les defenses
Les attaques Wi-Fi incluent Evil Twin, deauth et capture du 4-way handshake WPA2
Le NDP Spoofing est l'équivalent IPv6 de l'ARP Spoofing
Les tunnels 6to4/Teredo peuvent contourner les firewalls qui n'inspectent pas IPv6
Protections : WPA3, 802.1X, RA Guard, WIPS