Letdown, un outil gratuit de Déni de Service qui exploite les faiblesses du protocole TCP

Par Xavier Poli, secuobs.com
Le 18/12/2008

---

Résumé : Un nouvel outil est mis gratuitement à disposition de tous afin de tester les capacités de résilience des infrastructures réseau face à des attaques par Déni de Service à l'encontre des faiblesses de conception inhérentes au protocole de transport TCP pour les réseaux IP. - Lire l'article



Un chercheur, en sécurité informatique, vient de publier un outil qui permettrait d’automatiser l’exploitation par Déni de Service d’une faille qui affecte les sessions réseau reposant sur l’emploi du protocole de transport TCP ( lien ) ; ce protocole étant inclus dans la suite de protocoles TCP/IP ( lien ) utilisée mondialement pour les réseaux et les interconnexions de réseaux qui constituent à l’heure actuelle l’ossature d’Internet.

Ce nouvel outil d’exploitation, connu sous le nom de LetDown, fait quant à lui plus largement partie d’une plateforme d’exploitation répondant au nom de Complemento ( lien ). Cette énième plateforme, créée par le chercheur Italien Acri Emanuele, est en fait une collection personnelle d’outils visant à faciliter la réalisation de tests de pénétration au sein des infrastructures informatiques en vue d’auditer la robustesse de leur sécurité.

L’utilitaire LetDown a pour sa part été spécifiquement développé par son auteur suite à la lecture du papier « TCP Resource Exhaustion and Botched Disclosure » ( lien ) rédigé par Fyodor, l’auteur du couteau suisse NMAP ( lien ) longtemps utilisé nativement dans le scanner de vulnérabilités Nessus ( voir notre dossier - lien ) et « accessoirement » dans la trilogie Matrix ( lien ).

La publication de ce papier avait fait suite aux refus des chercheurs Robert Lee et Jack Louis, de la société Outpost24 ( lien ), de révéler les détails d’une attaque similaire ( lien ). Une attaque qu’ils n'avaient que brièvement présentée en 2008 ( voir les slides - lien ) lors des conférences Sec-T ( lien ) à Stockholm et T2 ( lien ) en Finlande ; voir également le Podcast ( lien ).

Malgré une accroche plus qu’alléchante ( lien ), la présentation s‘avéra finalement une grande source de déception ( lien ) au regard des informations faméliques délivrées sur le sujet. Dans le même contexte, la publication de LetDown aurait pu laisser perplexe son auteur vis-à-vis des problèmes pouvant survenir si un outil sensible de cette nature était mis entre de mauvaises mains.

Au final, l’outil est cependant bien disponible publiquement, l'auteur considérant que LetDown pourrait ainsi permettre aux administrateurs de vérifier la capacité de résilience ( lien ) de leurs infrastructures réseau face à des situations d’attaques de ce type délivrées par des outils d'exploitation plus obscurs et surement déjà existants, voir plus puissants.

De par la nature même de la faiblesse exploitée, l’utilisation de LetDown permettrait en effet de rendre indisponible l’accès à un serveur donné sans pour autant requérir à l’utilisation massive d’un ou de plusieurs réseaux de type Botnet ( lien ) ; il ne serait par ailleurs pas non plus nécessaire d’utiliser une connexion caractérisée par une bande passante aux débits surdimensionnés.

LetDown permettrait en fait de créer un goulot d’étranglement en envoyant une multitude de requêtes qui utiliseront des faiblesses spécifiques à la conception même du protocole TCP ( lien ) pour provoquer le Déni de Service. Le problème serait plus particulièrement caractérisé par une surconsommation des ressources de la pile TCP/IP ; les limitations de traitement de la pile ne permettraient alors plus de traiter les requêtes légitimes d’où une perte de disponibilité des services usuels.

Parmi les autres outils compris dans la suite Complemento, on retrouve aussi Reverse Raider qui permet de scanner des domaines afin de réaliser, par force brute et depuis des listes prédéfinies, des découvertes sur l’ensemble des sous-domaines existants pour un domaine donné ; Reverse Raider est également utile dans la résolution inverse d’une plage d’adresses IP spécifique vers des noms d'hôte.

Egalement disponible, Httsquash est un scanner pour l’identification des serveurs HTTP via l’extraction de bannière et de données d’identification ; il peut être notamment utilisé sur des plages entières d’adresses IP dans le but de référencer l’ensemble des serveurs de ce type en présence. L’ensemble de ces outils est disponible, via la suite Complemento, au téléchargement sur SourceForge ( lien ).

UPDATE : il est possible de télécharger, par l'intermédiaire de Bitorrent, une retransmission vidéo ( lien ) d’une présentation ( lien ) portant sur les faiblesses du protocole TCP ; une présentation anglophone qui n'avait rien à cacher et qui a eu lieu lors de l'édition 2008 (25c3) des conférences du Chaos Computer Club.


Source : InfoSec News ( lien )