{"id":182,"date":"2011-06-27T10:19:00","date_gmt":"2011-06-27T10:19:00","guid":{"rendered":"http:\/\/hoper.dnsalias.net\/atdc\/index.php\/2011\/06\/27\/20110627loic-non-mais-wtf\/"},"modified":"2017-09-07T15:25:18","modified_gmt":"2017-09-07T13:25:18","slug":"20110627loic-non-mais-wtf","status":"publish","type":"post","link":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/2011\/06\/27\/20110627loic-non-mais-wtf\/","title":{"rendered":"LOIC, non mais WTF !?"},"content":{"rendered":"
\n

Qui est loic\u00a0?<\/h3>\n

Pour ceux qui l’ignorerait encore, LOIC est l’acronyme de \u00ab\u00a0Low Orbit Ion Canon\u00a0\u00bb. J’en avais un tout petit peu parl\u00e9 dans un pr\u00e9c\u00e9dent billet<\/a>.<\/p>\n

Ce programme, extr\u00eamement facile \u00e0 utiliser, n’a pour but que de g\u00e9n\u00e9rer un maximum de connexion vers un serveur donn\u00e9. L’id\u00e9e \u00e9tant bien sur que si un nombre suffisant de personnes l’utilise au m\u00eame moment, alors le serveur devrait s’\u00e9crouler sous le nombre de requ\u00eates. C’est ce logiciel que les anonymous utiliserait pour r\u00e9aliser des attaques DDOS (d\u00e9ni de service distribu\u00e9). C’est en tout cas ce qu’ils affirment eux m\u00eame. (Voir par exemple le reportage diffus\u00e9 sur Arte le 06\/06\/2011 et intitul\u00e9 \u00ab\u00a0la guerre invisible\u00a0\u00bb).<\/p>\n

Plut\u00f4t sceptique sur ce point (outil en mode graphique !?), et assez curieux de voir ce qui apparait concr\u00e8tement dans les journaux des serveurs attaqu\u00e9s, j’ai voulu en apprendre un peu plus sur ce logiciel.<\/p>\n

Choix de la victime<\/h3>\n

L’un de mes propre serveurs se portera vite volontaire. (Qu’il en soit remerci\u00e9). Il ne reste plus qu’a \u00ab\u00a0ouvrir\u00a0\u00bb un port (Au pif, le 3000), et surtout \u00e0 enregistrer tout le trafic r\u00e9seau qui va arriver dessus. Tout ceci se fait en exactement deux commandes (dans deux terminaux distincts, c’est mieux)\u00a0:<\/p>\n

netcat -l -p 3000\r\nsudo tcpdump port 3000 -w \/tmp\/loic.pcap\r\n<\/pre>\n
A l’attaque\u00a0!<\/h3>\n
Je choisi une autre machine pour jouer l’attaquant. Je configure loic pour attaquer sur le port 3000, je r\u00e9duit le nombre de thread \u00e0 1 (de toute fa\u00e7on, j’ai qu’un cpu mono-core), j’indique bien sur l’ip de la victime et… FIRE\u00a0!<\/p>\n
J’observe alors une suite de \u00ab\u00a0hi\u00a0\u00bb s’inscrire dans le terminal de la victime. Voila. Tout ce que LOIC envoi, c’est le message \u00ab\u00a0hi\u00a0\u00bb r\u00e9p\u00e9t\u00e9 un grand nombre de fois. Rien d’extraordinaire de ce cot\u00e9 la. Que raconte les traces r\u00e9seau maintenant\u00a0? Et bien elles r\u00e9v\u00e8les deux choses assez surprenantes.<\/p>\n
Pas de spoof d’ip<\/h4>\n
Le premier truc qui personnellement me sid\u00e8re, c’est que le d\u00e9veloppeur de ce machin n’a absolument pas pris la peine de spoofer l’ip de l’attaquant. Autrement dit, c’est bien avec votre IP que loic se connecte. Pour un logiciel qui ne veut qu’ouvrir des connexions, et qui n’a donc pas besoin de recevoir la moindre r\u00e9ponse, j’avoue ne pas comprendre l\u2019int\u00e9r\u00eat de laisser son IP dans les logs.<\/p>\n
En fait, je doute sinc\u00e8rement que LOIC est \u00e9t\u00e9 une seule fois r\u00e9ellement utilis\u00e9. Les v\u00e9ritables attaques DDOS ont dues toute \u00eatre effectu\u00e9es par des machines infect\u00e9es. Des PC \u00ab\u00a0zombies\u00a0\u00bb, et tant pis si la police vient frapper un jour \u00e0 la porte de madame michu. Son PC sous windows est effectivement de plus en plus lent mais c’est normal parce qu’il est vieux…..Un virus\u00a0? Non elle est pas malade…<\/p>\n
Et cette impression va vite \u00eatre renforc\u00e9e.<\/p>\n
Une seule connexion\u00a0!<\/h4>\n
Le r\u00e9seau, c’est vraiment pas mon truc. Mais pour un programme soit disant offensif, j’ai quand m\u00eame l’impression qu’il y a un soucis. Regardez la copie d’\u00e9cran ci dessous\u00a0:<\/p>\n
\"loic_wireshark.png\"<\/a><\/p>\n
On \u00e9tabli la connexion (SYN), le serveur r\u00e9pond (SYN ACK). Normalement, si le but est s\u2019\u00e9crouler le serveur sous un grand nombre de demande (synflood), c’est \u00e0 ce moment la qu’il faudrait relancer une demande de connexion (SYN). Mais non. Au lieu de cela, l’attaquant confirme (ACK), puis envoi son premier \u00ab\u00a0Hi\u00a0\u00bb (PSH). Encore mieux, tous les messages qui suivent sont envoy\u00e9s dans la m\u00eame connexion\u00a0! Au final, c’est donc une seule et unique connexion qui est r\u00e9alis\u00e9e.<\/p>\n
Il existe tellement de fa\u00e7on<\/a> d’attaquer un site web. Des techniques qui ont fait leur preuves, m\u00eame si de nombreuses parades doivent exister. Alors… comment un logiciel qui ne fait absolument rien de particulier pourrait vraiment repr\u00e9senter un r\u00e9el danger\u00a0? (A part pour l’attaquant donc, qui lui laisse son IP sur tous les serveurs qu’il tente d’attaquer…)<\/p>\n
Conclusion<\/h3>\n
Je ne sais pas qui \u00e0 cr\u00e9\u00e9 LOIC, ni surtout pour quoi. J’ignore totalement \u00e0 quoi il peut r\u00e9ellement servir, (je tenterai bien une d\u00e9compilation du code java, mais j’ai un peu la flemme la….) mais je pense savoir \u00e0 quoi il ne PEUT PAS servir\u00a0: L’attaque de sites web.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
Qui est loic\u00a0? Pour ceux qui l’ignorerait encore, LOIC est l’acronyme de \u00ab\u00a0Low Orbit Ion Canon\u00a0\u00bb. J’en avais un tout petit peu parl\u00e9 dans un pr\u00e9c\u00e9dent billet. Ce programme, extr\u00eamement facile \u00e0 utiliser, n’a pour but que de g\u00e9n\u00e9rer un maximum de connexion vers un serveur donn\u00e9. L’id\u00e9e \u00e9tant bien sur que si un nombre […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-182","post","type-post","status-publish","format-standard","hentry","category-geekitude"],"_links":{"self":[{"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/posts\/182","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/comments?post=182"}],"version-history":[{"count":2,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/posts\/182\/revisions"}],"predecessor-version":[{"id":946,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/posts\/182\/revisions\/946"}],"wp:attachment":[{"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/media?parent=182"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/categories?post=182"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hoper.dnsalias.net\/atdc\/index.php\/wp-json\/wp\/v2\/tags?post=182"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}