Workshop : Fascicule 2

Ce document est conçu uniquement pour des objectifs d’enseignement. Toutes

les attaques sont exécutées dans un environnement virtuel

DO NOT TRY THIS ON OTHERS !

 Meryam Bejaoui
 Med Aymen Chagra
 Ruqaia Sabta
 Fakher Jemli

Environnement de travail :

 VMware Workstation
 2 VMs :

- Kali-linux : Machine attaquante

- Metasploit2-Linux : victime

 Machine Physique : Windows

Les attaques réalisés :

ARP Spoofing
Sniffing MITM
DOS
DDOS
Social engineering
Pour la machine windows on a utilisé #ipconfig pour l’ip et le gateway et
#ipconfig /all (pour le DNS)

Pour les machines linux #ifconfig pour connaitre l’ip et ip route (pour la passerelle) et
#cat /etc/resolv.conf (pour le DNS)

ð Dans notre cas Les trois machines sont configurées pour fonctionner sur un même
réseau local avec une configuration réseau homogène, ils communquent entre elles et
accedent à l'extérieur via un seul routeur (192.168.1.1), qui gère aussi le routage des
requêtes DNS.

Section 1 : ArpSpoofing :

1-Explication ArpSpoofing : Usurpation d’identité (Attaque de répudiation)

L'ARP Spoofing (ou ARP Poisoning) est une attaque où un attaquant envoie de fausses
informations ARP sur un réseau local pour tromper les appareils et les amener à
associer son adresse MAC à une adresse IP légitime (comme celle du routeur).

2-TP Arpspoofing :

Sur la machine victime :

#ping @passerelle

#arp -a
⟶ La table ARP (Address Resolution Protocol) est une base de données locale qui
associe des adresses IP aux adresses MAC (adresse physique) des dispositifs sur un
réseau local (LAN).

Machine attaquante :

#Sudo arpspoof -t @victime @gateway

puis

#Sudo arpspoof -t @gateway @victime

Affichage de la table ARP sur la machine victime après l’attaque :

@ MAC de la machine Attaquante est associée à l’@IP de la Gateway dans la cache
ARP de la machine victime.

⟶ L’attaque de ARP spoofing est réalisé avec sucées

3-Comment réverser cette attaque ?

1. Annuler les modifications et relancer le réseau sur la machine attaquante :

#pkill arpspoof

#pkill ettercap

#sudo systemctl restart networking

2-réparer la machine victime :

#arp -d *

#ipconfig /release

#ipconfig /renew

Section 2 : Sniffing MITM

1-Explication Sniffing MITM:

Le Sniffing MITM (Man-in-the-Middle) est une attaque où l'attaquant intercepte et

manipule les communications entre deux parties sans qu'elles en aient conscience.
L'attaquant se place "au milieu" de la communication, d'où le terme Man-in-the-
Middle (MITM), et peut surveiller, altérer ou injecter des données dans les échanges.

Le Sniffing (ou écoute clandestine) fait référence à la capacité de l'attaquant à

"écouter" le trafic réseau, notamment en interceptant des paquets de données
transitant sur le réseau.
2-TP Sniffig MITM :

Etape 1 : Ouvrir Ettercap : est un outil de sécurité informatique open-source utilisé

pour le sniffing, l’interception et la manipulation de données sur un réseau local
(LAN). Il est particulièrement populaire dans le domaine des tests de sécurité réseau
et des audits

Fonctionnalités principales :

1. ARP Spoofing/Poisoning :

o Permet d'usurper les adresses MAC sur un réseau local, ce qui redirige le trafic
des victimes via la machine qui exécute Ettercap. Cela facilite les attaques de
type Man-in-the-Middle (MITM).
1. Sniffing :

o Capture les données transitant sur le réseau, comme les mots de passe ou les
informations sensibles, même sur des connexions non sécurisées.
1. Injection de paquets :

o Insère des paquets dans la communication réseau pour modifier ou perturber

les données échangées.
1. Attaque sur SSL/TLS :

o Peut forcer les connexions sécurisées à basculer vers des connexions non
sécurisées dans certains cas (attaque "SSL stripping").
1. Plugin extensible :
 o Ettercap prend en charge des plugins personnalisés pour ajouter des
fonctionnalités, comme le décryptage de certains protocoles ou la détection de
vulnérabilités.
1. Support des protocoles multiples :

o Fonctionne avec des protocoles comme HTTP, FTP, DNS, SSH, et d'autres.
1. Mode d’attaque ciblée ou globale :

o Vous pouvez cibler des hôtes spécifiques ou intercepter le trafic de tout le

réseau.

Mot de passe = kali

On va ajouter la passerelle comme target 1 et la VM victime comme target 2

et on realise le ARPspoofing
outil 1 : driftnet : est un outil de sécurité réseau open-source conçu pour capturer et
afficher des images transmises via des connexions réseau non sécurisées (comme
HTTP non chiffré). Il agit comme un sniffer, mais au lieu de capturer tout type de
données, il se concentre spécifiquement sur les fichiers multimédias, notamment les
images.

Fonctionnement :

1. Analyse du trafic réseau :

o Driftnet intercepte les paquets réseau transitant sur une interface réseau et
recherche des fichiers image dans les flux de données.
1. Extraction d'images :

o Lorsqu'il détecte une image (souvent intégrée dans une page web ou envoyée
via une application), il l'extrait et l'affiche en temps réel dans son interface.
1. Visualisation en direct :

o Les images capturées s'affichent sur une fenêtre graphique, offrant une vue en
direct de ce qui est transféré.

#sudo driftnet -i eth0

outil 2 : urlsnarf : est un outil open-source de sécurité réseau qui fait partie de la
suite dsniff. Il est conçu pour capturer et afficher les requêtes HTTP en cours sur un
réseau. En d'autres termes, il montre les URL que les utilisateurs visitent en temps réel
sur des connexions non sécurisées.

Fonctionnement :

1. Analyse des paquets réseau :

o Urlsnarf analyse les paquets transitant sur une interface réseau et extrait les
requêtes HTTP.
1. Journalisation des URL visitées :

o Il enregistre ou affiche les requêtes HTTP, y compris les sites visités, les fichiers
demandés, et les paramètres envoyés dans les URL.
1. Format lisible :

o Les données capturées sont affichées dans un format proche de celui des
journaux de serveurs web Apache, ce qui facilite l'analyse.

Voici les images sniffés :

Section 3 : DOS

1-Explication DOS :

L'attaque de type Denial of Service (DoS), plus précisément une SYN Flood, vise à
épuiser les ressources de la machine cible pour la rendre incapable de répondre aux
requêtes légitimes

Principe de l'attaque

Le protocole TCP utilise une séquence en trois étapes appelée "handshake" pour
établir une connexion entre un client et un serveur. Cette séquence comprend :

 SYN (Synchronize) : Le client envoie une demande de connexion avec un paquet

SYN au serveur.
 SYN-ACK (Synchronize-Acknowledge) : Le serveur répond avec un paquet SYN-
ACK pour confirmer la demande de connexion.
 ACK (Acknowledge) : Le client répond avec un paquet ACK pour finaliser la
connexion.

Dans une attaque SYN Flood, l’attaquant exploite cette séquence de connexion en :

 Envoyant de multiples requêtes SYN vers le serveur cible, mais avec une adresse
IP source falsifiée.
 Le serveur répond avec un paquet SYN-ACK en pensant que le client est légitime.
 Cependant, comme l’adresse IP source est falsifiée, il n’y aura jamais de réponse
ACK pour compléter le handshake.

Cette situation crée des connexions semi-ouvertes sur le serveur cible, qui conserve
des ressources pour chacune de ces connexions en attente de la réponse ACK. Cela
sature la table de connexions et épuise la mémoire et les ressources réseau du
serveur.

2-TP DOS:

On va lancer le metasploit framework (msf) . Ce dernier est un outil qui permet de

trouver, exploiter et valider des vulnérabilités. (En terme de terminologie metasploit,
on définit un exploit comme une opportunité que l’attaquant profitera pour créer une
menace)

pour réaliser l’attauque DOS on va suivre les étapes suivantes:

Lancer la msfconsole
afficher la liste des exploits (vulnérabilités) disponibles dans le framework Metasploit.

On cherche le module responsable de la vulnérabilité synflood permettant de lancer l’attaque

TCP
On va utilser le module trouvé responsable à synflood avec la commande use.

Rq : Rhosts correspond à la machine cible (par défaut il y’a aucune machine cible)

On defint la machine cible et on lance exploit

On lance wireshark pour voir les requettes syn flood

=> Plusieurs requetes envoyées vers la machine 192.168.1.10 en meme temps

=> L’attaque de type Dos est réalisé avec succée

Section 4 : DDOS

1-Explication DDOS :

DDoS (Distributed Denial of Service) est une attaque qui vise à rendre un service, un
site web ou un réseau indisponible en le submergeant de trafic provenant de
multiples sources. Contrairement à une attaque DoS (Denial of Service), qui provient
d’une seule machine, une attaque DDoS utilise plusieurs machines, souvent sous
forme de botnet, pour intensifier l’impact de l’attaque.

L'attaquant utilise un réseau de machines compromises (botnet) pour lancer une

attaque contre une cible. Cela se fait en envoyant massivement des requêtes ICMP
vers de nombreuses destinations, tout en falsifiant l'adresse IP source pour qu'elle
corresponde à celle de la cible. En réponse, les machines destinataires renvoient des
réponses ICMP (ICMP replies) directement à la cible, submergeant ainsi ses
ressources.
2-TP DDOS :

on va lancer le toolkit scapy : c'est un outil puissant pour les chercheurs en sécurité et les
administrateurs réseaux, il est couramment utilisé pour le pénétration testing, le débogage
réseau, et l'apprentissage du fonctionnement des protocoles comme TCP, UDP, ICMP, etc.
apres on a changé les adresses sources et destination par l’@ ip cible et l’@ de
diffusion:

maintenant on va Lancer une requête ICMP encapsulée dans un paquet IP et effectuer

une attaque en envoyant 1000 requêtes:
Les requêtes d'attaque DDoS sont visibles sur Wireshark, comme montré ci-dessus. On
observe l'envoi massif de requêtes ICMP vers plusieurs adresses de destination, mais
toutes proviennent de l'adresse IP source de la machine attaquante configurée via
Metasploit.

La capture montre un flood ICMP vers l'adresse de diffusion, confirmant un DDoS

réussi depuis l'attaquant.

Section 5 : Social Engineering

1-Explication Social engineering :

L’ingénierie sociale est une technique de manipulation psychologique utilisée par des
attaquants pour tromper les individus et les inciter à divulguer des informations
sensibles ou à effectuer des actions spécifiques qui compromettent la sécurité d’un
système ou d’une organisation. Plutôt que de cibler directement les systèmes
techniques, cette méthode exploite la faiblesse humaine en jouant sur la confiance,
l’émotion ou l’ignorance.
Comment fonctionne l’ingénierie sociale ?

Un attaquant peut utiliser une variété de techniques pour obtenir des informations ou
contourner les mesures de sécurité, souvent en jouant sur :

 La curiosité : Envoyer un lien ou un fichier intrigant.

 La peur : Menacer de conséquences graves pour inciter à une action rapide.
 La confiance : Se faire passer pour une personne légitime (ex. : un collègue, un
fournisseur).
 L'urgence : Prétendre qu'une action immédiate est nécessaire.

Techniques courantes d'ingénierie sociale :

Voici quelques exemples :

a. Phishing

 Envoi de courriels ou de messages trompeurs incitant la victime à cliquer sur un

lien malveillant ou à fournir ses identifiants.
 Exemple : « Votre compte sera suspendu dans 24h. Cliquez ici pour vérifier vos
informations. »

b. Pretexting

 Création d’un scénario élaboré (un prétexte) pour convaincre une personne de
fournir des informations sensibles.
 Exemple : Un attaquant se fait passer pour un employé des RH et demande les
coordonnées bancaires.

c. Baiting

 Attirer les victimes avec une offre alléchante ou un appât (comme une clé USB
infectée laissée intentionnellement dans un espace public).
 Exemple : Une clé USB étiquetée "Confidentiel" contenant un malware.

d. Quid pro quo

 Offrir un service ou une récompense en échange d’informations ou d’accès.

 Exemple : Se faire passer pour un technicien offrant de "réparer un problème
informatique."

e. Tailgating (ou piggybacking)

 Entrer dans des zones sécurisées en suivant un employé sans badge ou

autorisation.
 Exemple : Un attaquant prétend avoir oublié son badge et suit un employé dans
un bâtiment.

2-TP Social engineering :

Section 1 : Website Phishing (Credential Harvester Attack method) :

Le Credential Harvester Attack est une méthode d’attaque utilisée par des
cybercriminels pour collecter les identifiants (credentials) des victimes, comme les
noms d'utilisateur, les mots de passe ou d'autres informations sensibles nécessaires
pour accéder à un système ou à un service. Cette technique est souvent associée au
phishing et à d'autres stratégies d'ingénierie sociale.

Principe de fonctionnement :

L'objectif est de piéger une victime pour qu'elle saisisse ses informations
confidentielles dans une interface piégée qui ressemble à un service légitime. Voici les
étapes typiques :

1. Création d'une page factice :

o L'attaquant crée un site web imitant parfaitement une plateforme légitime

(comme une page de connexion de messagerie, d'un réseau social ou d'une
banque).
o La page collecte les données saisies par la victime.
1. Redirection vers la fausse page :

o Les victimes sont attirées sur le site frauduleux via :

 Un lien dans un email ou un message texte de phishing.
 Une publicité malveillante (malvertising).
  Une attaque de type man-in-the-middle (MITM) sur un réseau compromis.
1. Saisie des informations :

o La victime, croyant être sur le site authentique, saisit ses identifiants. Ces
informations sont immédiatement transmises à l'attaquant.
1. Exploitation des informations volées :

o Les identifiants récoltés sont utilisés pour accéder aux comptes de la victime,
vendre les informations sur le dark web, ou lancer d'autres attaques (comme
l'exfiltration de données ou la fraude).
Lien Piégé : (Malicious link) : avec redirection

Un lien piégé utilisant une redirection est une méthode où un hyperlien semble
inoffensif mais, une fois cliqué, il redirige la victime vers un site malveillant ou
une ressource exploitable. Les attaquants utilisent cette technique pour :

1. Voler des informations sensibles (phishing).

2. Installer des logiciels malveillants (malware, ransomware, keyloggers).

3. Exploiter des vulnérabilités dans le système ou le navigateur de la victime.

Création d’un lien :

 L'attaquant génère un lien masqué qui cache l'URL réelle.
 Exemple : Utilisation d'un service de raccourcissement d’URL (bit.ly, tinyurl).

Redirection cachée :

 Le lien pointe initialement vers une URL légitime ou neutre.

 Une redirection automatique envoie ensuite la victime vers un site
malveillant.

Cibles malveillantes :

 Une fausse page de connexion pour collecter des identifiants utilisateur.

 Une page infectée qui télécharge automatiquement un malware.
 Une page utilisant des failles pour prendre le contrôle de l'appareil.

On remarque ici nos tenetatives : [email protected] / 4848487 et meryam

123456