MECANISME D'OBSERVATION D'ATTAQUES SUR
INTERNET AVEC REBONDS par Ion ALBERDI (LAAS-CNRS), Philippe OWEZARSKI (LAAS-CNRS), Mohammed KAANICHE, Vincent NICOMETTE, Eric ALATA (Laas-Cnrs)
Résumé
Les pots de miel haute-interaction permettent
d'observer les attaquants évoluer au sein d'une machine
compromise. Ils sont intéressants pour mieux comprendre le
fonctionnement de ces derniers. Cependant, l'observation se limite en
général au pot de miel lui-même car les tentatives de compromission
d'autres machines depuis le pot de miel sont limitées. Il nous semble
très instructif de pouvoir suivre le parcours d'un attaquant sur
différentes machines. Cet article propose, à cette fin, un mécanisme
de redirection dynamique de connexions initiées depuis un pot de
miel. Ce mécanisme, dont l'originalité réside dans son aspect
dynamique, donne l'illusion à un attaquant qu'il dialogue
effectivement depuis notre pot de miel avec une autre machine
d'Internet alors qu'il est simplement redigiré vers un autre pot de
miel. Ce mécanisme de redirection a été implémenté et testé sur un
noyau Linux. Nous en présentons ici les concepts et l'implémentation.
Biographie
Ion Alberdi est actuellement en 1ère année de thèse au LAAS, son
travail est axé sur l'utilisation conjointe de la technologie des pots
de miels et de la métrologie réseau pour analyser le trafic malicieux
de l'Internet.
Biographie
Philippe Owezarski est chargé de recherche au CNRS (Centre National de
la Recherche Scientifique), et travaille au LAAS (le Laboratoire
d’Analyse et d’Architecture des Systèmes), à Toulouse, France. Il a
obtenu un doctorat en informatique en 1996 de l’université Paul
Sabatier, Toulouse III. Ces principaux thèmes de recherche se situent
dans le domaine des réseaux hauts-débits multimédias, et plus
particulièrement sur la métrologie des réseaux IP et la gestion de la
qualité de service et de la sécurité dans l’Internet à partir de
mesures.
En 2000, il a passé 9 mois dans les laboratoires Sprint ATL à
Burlingame, Californie. Là, il a travaillé sur un projet de métrologie
IPMON du réseau Sprint, et s’est principalement intéressé à l’analyse
des flux TCP. De retour au LAAS, Philippe Owezarski a été un des
principaux contributeurs du projet de métrologie METROPOLIS (labellisé
par le RNRT) et a animé l’action spécifique sur « la métrologie des
réseaux de l’Internet ». Aujourd’hui, il travaille sur les projets
européens EuQoS et E-NEXT sur la mise en oeuvre de la QoS dans les
réseaux IP de la prochaine generation, et dirige le projet français
MetroSec qui a pour objectif d’améliorer la robustesse de l’Internet
face aux attaques de DoS et DDoS. Il est également habilité à diriger
les recherches.
Name Size ![[PARENTDIR]](/icons/back.gif){kind=icon}
Parent Directory -
![[ ]](/icons/layout.gif){kind=icon}
SSTIC07-article-Alata_Alberti_Nicomette_Owezarski_Kaaniche-Observation_Attaques_Internet_Rebond.pdf 595K