💥

DoS & DDoS — TCP Intercept

Attaque SYN Flood · Analyse Wireshark · Contre-mesure TCP Intercept sur routeur Cisco

📚 Matière

Cyber-Sécurité

📅 Date

18 décembre 2025

☑️ État

✓ Terminé

🔧 Équipements

Cisco 1841Kali LinuxWireshark

🌐 Réseaux

192.168.1.0/24192.168.2.0/24

🎯

Objectif : simuler une attaque DoS de type SYN Flood depuis Kali Linux, observer son impact avec Wireshark (avant et après le routeur), puis déployer la contre-mesure TCP Intercept sur un routeur Cisco pour bloquer les connexions TCP incomplètes.

📋 Table des matières

§1Théorie — DoS / DDoS et SYN Flood §2Présentation de la topologie et adressage §3Configuration du routeur et des switches §4Tests AVANT attaque — Vérification Wireshark §5Lancement de l'attaque DoS depuis Kali (hping3) §6Mise en place de la contre-mesure TCP Intercept §7Tests APRÈS protection — Vérification et statistiques ✅Conclusion

🔵 Théorie — DoS / DDoS et SYN Flood

Three-way handshake · Principe de l'attaque · TTL

TCP Établissement d'une session TCP — Three-way handshake

TCP est un protocole orienté connexion. Avant tout échange de données, une session est établie en 3 étapes pour garantir que les deux parties sont prêtes à communiquer.

Client ──── SYN ────▶ Serveur

Initialisation (Seq=100, CTRL=SYN)

Client ◀── SYN/ACK ─── Serveur

Réception (Seq=300, ACK=101)

Client ──── ACK ────▶ Serveur

Établissement (Seq=101, ACK=301)

ℹ️

Le TTL (Time to Live) d'un paquet IP est décrémenté de 1 à chaque passage dans un routeur. Quand il atteint 0, le paquet est supprimé — ce mécanisme évite les boucles réseau indéfinies.

⚠️ Attaque Principe du DoS / DDoS — SYN Flood

Type	Description	Difficulté à contrer
DoS	Attaque depuis une seule machine — saturation des ressources du serveur cible	Facile — bloquer l'IP source
DDoS	Attaque depuis plusieurs machines simultanément (botnets) — IPs sources variées	Très difficile — IPs nombreuses et changeantes

☠️

SYN Flood : l'attaquant envoie massivement des paquets SYN sans jamais finaliser le handshake (pas d'ACK final). Le serveur alloue des ressources pour chaque connexion "à moitié ouverte" et attend un ACK qui ne viendra jamais — ses ressources s'épuisent et il ne peut plus répondre aux clients légitimes.

🔵 Présentation de la topologie et adressage

Équipements · Rôles · Réseaux

Topologie Équipements et rôles

🎯 Serveur HTTP

192.168.1.1/24

Cible de l'attaque DoS

Service HTTP (port 80)

🛡️ Routeur Cisco 1841

fa0/0 → 192.168.1.254

fa0/1 → 192.168.2.254

Routage + TCP Intercept

💻 PC Client HTTP

192.168.2.1/24

Client HTTP légitime

Test de connectivité

☠️ PC Attaquant Kali

192.168.2.2/24

Lancement SYN Flood

Outil : hping3

🔬 WireShark Avant

192.168.2.3/24

Capture LAN côté attaquant

Observe le trafic brut

🔬 WireShark Après

192.168.1.3/24

Capture côté serveur

Observe après filtrage routeur

🔬

La double capture Wireshark (avant et après le routeur) est essentielle pour comparer le trafic brut de l'attaque avec ce qui parvient réellement au serveur après filtrage par TCP Intercept.

🔵 Configuration du routeur et des switches

Interfaces · Syslog · SPAN (Port Mirroring)

Routeur Activation et configuration des interfaces

Le routeur doit être configuré pour router entre les deux réseaux 192.168.1.0/24 (serveur) et 192.168.2.0/24 (clients/attaquant).

Cisco IOS — Routeur 1841

conf t

! Interface côté serveur HTTP (192.168.1.0/24)
interface fastEthernet0/0
  ip address 192.168.1.254 255.255.255.0
  no shutdown
exit

! Interface côté clients / attaquant (192.168.2.0/24)
interface fastEthernet0/1
  ip address 192.168.2.254 255.255.255.0
  no shutdown
exit

! Centralisation des logs vers le serveur Syslog
logging 192.168.1.1

end
write memory

fa0/0 — 192.168.1.254Interface connectée au réseau serveur — c'est cette interface qui recevra le trafic filtré par TCP Intercept.
fa0/1 — 192.168.2.254Interface connectée au réseau clients/attaquant — c'est ici que le SYN Flood sera reçu et intercepté.
logging 192.168.1.1Envoie tous les événements IOS (dont les alertes TCP Intercept) vers le serveur Syslog pour traçabilité.

➡️ Le routeur assure la communication entre les deux réseaux et centralise ses logs.

SW1 / SW2 Configuration de base des switches + Port Mirroring (SPAN)

Le port mirroring (SPAN) permet de copier tout le trafic d'un port vers un autre port d'analyse — c'est ainsi que les PC Wireshark capturent le trafic sans être dans le flux.

Cisco IOS — SW1 (et SW2 avec adaptation IP)

conf t
hostname SW1

! Adresse IP de gestion
interface vlan 1
  ip address 192.168.2.100 255.255.255.0
  no shutdown
exit

! Centraliser les logs vers le serveur Syslog
logging 192.168.1.1

! ── Port Mirroring (SPAN) ─────────────────────────────
! Source : port fa0/24 (lien vers le routeur)
monitor session 1 source interface fa0/24
! Destination : port fa0/23 (PC Wireshark)
monitor session 1 destination interface fa0/23

end
write memory

monitor session 1 sourceDéfinit le port à surveiller — ici fa0/24, le port relié au routeur. Tout le trafic transitant sur ce port sera copié.
monitor session 1 destinationDéfinit le port où envoyer la copie du trafic — ici fa0/23, branché au PC Wireshark. Le PC Wireshark voit tout sans être dans le chemin de données.

➡️ Le trafic réseau est visible sur les PC Wireshark en temps réel.

🟢 Tests AVANT attaque — Vérification Wireshark

Connectivité · Capture normale · Filtres

Test initial Vérification de la connectivité et du port mirroring

Avant de lancer l'attaque, vérifier que la topologie fonctionne correctement et que Wireshark capture bien le trafic sur les deux points d'observation.

Windows — PC_Client_HTTP

! Test de connectivité vers le serveur HTTP
ping 192.168.1.1

! Résultat attendu :
Reply from 192.168.1.1: bytes=32 time<1ms TTL=127
Reply from 192.168.1.1: bytes=32 time<1ms TTL=127

! Test d'accès HTTP (navigateur ou curl) :
curl http://192.168.1.1

Filtres Wireshark à appliquer sur les deux captures :

Wireshark — Filtres de capture

-- Filtrer uniquement le trafic TCP vers/depuis le serveur
tcp && ip.addr == 192.168.1.1

-- Filtrer le trafic TCP depuis/vers le client
tcp && ip.addr == 192.168.2.1

-- Observer uniquement les paquets SYN (durant l'attaque)
tcp.flags.syn == 1 && tcp.flags.ack == 0

tcp.flags.syn == 1Filtre uniquement les paquets SYN — pendant une attaque SYN Flood, ce filtre montre des milliers de paquets depuis des IPs variées.
tcp.flags.ack == 0Combiné avec le filtre SYN, exclut les SYN/ACK légitimes — ne garde que les SYN d'ouverture de connexion.

➡️ Le trafic HTTP et ICMP est normal et fluide — la topologie est opérationnelle.

🔴 Lancement de l'attaque DoS depuis Kali

Installation hping3 · SYN Flood · Observation Wireshark

Kali Linux Installation de l'outil hping3

hping3 est un outil de génération de paquets TCP/IP permettant de simuler des attaques DoS. Il permet de contrôler précisément les flags TCP, le port cible et le débit d'envoi.

Kali Linux — Terminal

# Installation de hping3
apt-get install hping3

# Vérifier l'installation
hping3 --version

➡️ L'outil de génération de trafic est installé et prêt.

☠️ Attaque Lancement de l'attaque SYN Flood

L'attaque SYN Flood envoie massivement des paquets TCP avec le flag SYN activé sans jamais finaliser le handshake. Le serveur conserve en mémoire toutes les connexions "à moitié ouvertes" jusqu'à épuisement.

Kali Linux — SYN Flood vers 192.168.1.1:80

# Attaque SYN Flood sur le serveur HTTP
sudo hping3 -I eth0 -i u1 -S -p 80 -c 10 192.168.1.1

# Pour une attaque continue (sans limite de paquets) :
sudo hping3 -I eth0 -i u1 -S -p 80 192.168.1.1

# Résultat attendu :
HPING 192.168.1.1 (eth0 192.168.1.1): S set, 40 headers + 0 data bytes
192.168.1.1 hping statistic ---
10 packets transmitted, 0 packets received, 100% packet loss

-I eth0Interface réseau de sortie sur Kali.
-i u1Délai d'1 microseconde entre chaque paquet — génère un trafic extrêmement dense (~1 million de paquets/s).
-SActive le flag SYN — simule des demandes d'ouverture de connexion sans jamais les finaliser.
-p 80Cible le port 80 (HTTP) du serveur.
-c 10Limite à 10 paquets envoyés (retirer pour une attaque continue).

☠️

Effets observés AVANT TCP Intercept :
— Wireshark avant routeur : avalanche de paquets SYN depuis 192.168.2.2
— Wireshark après routeur : tous les SYN atteignent le serveur — il est surchargé
— Le serveur HTTP ne répond plus aux clients légitimes
— 100% packet loss côté attaquant (le serveur ne peut plus répondre aux SYN/ACK)

❌ Sans protection, l'attaque réussit — le serveur est saturé et inaccessible.

🟣 Mise en place de la contre-mesure : TCP Intercept

ACL · Mode intercept · Seuils · Routeur Cisco 1841

🛡️

Principe de TCP Intercept : positionné entre les clients et le serveur, le routeur valide lui-même le three-way handshake avec chaque client avant de relayer la connexion au serveur. Si un client ne finalise pas la connexion dans le délai imparti, le routeur abandonne la tentative. Le serveur ne voit jamais les connexions incomplètes.

Étape 1 Création de l'ACL de surveillance

TCP Intercept nécessite une ACL étendue pour définir quel trafic surveiller. Seul le trafic HTTP vers le serveur cible est concerné.

Cisco IOS — Routeur

conf t

! Créer l'ACL étendue qui définit le trafic à surveiller
ip access-list extended TCP_INTER

! Surveiller tout le trafic TCP vers le serveur HTTP sur le port 80
10 permit tcp any host 192.168.1.1 eq www

exit

ip access-list extendedCrée une ACL nommée étendue — nécessaire pour filtrer sur le protocole et le port destination.
permit tcp any host .1.1 eq wwwIdentifie tout le trafic TCP depuis n'importe quelle source vers 192.168.1.1 sur le port 80 (HTTP). C'est ce trafic que TCP Intercept va surveiller.

➡️ Le trafic HTTP vers le serveur est identifié pour la protection.

Étape 2 Activation de TCP Intercept et réglage des seuils

Ces quatre commandes activent la protection et définissent les seuils d'intervention automatique.

Cisco IOS — Routeur

conf t

! 1. Activer TCP Intercept en mode intercept (valide le handshake)
ip tcp intercept mode intercept

! 2. Associer l'ACL de surveillance
ip tcp intercept list TCP_INTER

! 3. Seuil bas : en dessous de 50 connexions incomplètes/min → laisser expirer
ip tcp intercept one-minute low 50

! 4. Seuil haut : au-delà de 100 connexions incomplètes/min → purger agressivement
ip tcp intercept one-minute high 100

end
write memory

mode interceptLe routeur intercepte chaque SYN, effectue lui-même le three-way handshake avec le client, puis établit une connexion séparée avec le serveur si le client est légitime. Le serveur n'est jamais exposé aux connexions incomplètes.
list TCP_INTERRéférence l'ACL qui définit le trafic à surveiller.
one-minute low 50Si le nombre de connexions incomplètes tombe sous 50/min → retour à la normale, TCP Intercept laisse les connexions expirer naturellement.
one-minute high 100Si le nombre de connexions incomplètes dépasse 100/min → mode agressif : TCP Intercept commence à purger activement les connexions les plus anciennes.

⚠️

Un réglage trop bas des seuils peut bloquer du trafic légitime. Il est recommandé d'observer le trafic en période normale pour identifier le maximum de connexions ouvertes, puis d'appliquer un coefficient de sécurité.

➡️ Le routeur surveille et limite les connexions TCP incomplètes — le serveur est protégé.

🟢 Tests APRÈS protection — Vérification et statistiques

show tcp intercept · Wireshark · Syslog

Test 1 Vérification des connexions TCP surveillées

Afficher la liste des connexions TCP interceptées par le routeur — permet de distinguer les connexions complètes (légitimes) des connexions incomplètes (attaque).

Cisco IOS — Routeur

! Afficher l'état des connexions TCP surveillées
show tcp intercept connections

! Résultat AVANT attaque (connexion légitime) :
Established:
Client                Server              State   Create    Timeout  Mode
192.168.2.1:44435     192.168.1.1:80      ESTAB   00:00:05  23:59:55 I

! Résultat PENDANT attaque SYN Flood :
Incomplete:
Client                Server              State    Create   Timeout  Mode
192.168.2.2:2448      192.168.1.1:80      SYNRCVD  00:00:14 00:00:00 I
192.168.2.2:2449      192.168.1.1:80      SYNRCVD  00:00:13 00:00:01 I
192.168.2.2:2450      192.168.1.1:80      SYNRCVD  00:00:12 00:00:02 I
192.168.2.2:2451      192.168.1.1:80      SYNRCVD  00:00:11 00:00:03 I

ESTABConnexion établie — handshake complet, trafic légitime autorisé vers le serveur.
SYNRCVDSYN reçu mais handshake non finalisé — typique d'une attaque SYN Flood. TCP Intercept attend un ACK du client.
Timeout → 00:00:00La connexion incomplète va expirer et être supprimée par TCP Intercept — le serveur ne la verra jamais.

Test 2 Statistiques TCP Intercept

Cisco IOS — Routeur

! Afficher les statistiques globales TCP Intercept
show tcp intercept stat

! Résultat attendu pendant l'attaque :
Intercepting new connections using access-list TCP_INTER
99 incomplete, 1 established connections (total 100)
399 connection requests per minute

! Message console quand le seuil haut (100) est atteint :
%TCP-6-INTERCEPT: getting aggressive, count (100/100) 1 min

! Message console quand l'attaque s'arrête (retour sous 50) :
%TCP-6-INTERCEPT: calming down, count (0/50) 1 min

getting aggressiveLe seuil haut (100) est atteint — TCP Intercept passe en mode agressif et purge les connexions incomplètes les plus anciennes.
calming downLe nombre de connexions incomplètes est redescendu sous le seuil bas (50) — retour au comportement normal.
399 connexions/minTaux de connexions interceptées — utile pour évaluer l'intensité de l'attaque et ajuster les seuils.

Test 3 Observation Wireshark après activation TCP Intercept

Comparer les deux captures Wireshark avant et après le routeur pendant l'attaque avec TCP Intercept actif.

Point de capture	Ce qu'on observe	Interprétation
🔬 WS Avant routeur `192.168.2.3`	Avalanche de paquets SYN depuis 192.168.2.2 → 192.168.1.1:80	L'attaque est bien lancée — trafic brut visible
🔬 WS Après routeur `192.168.1.3`	Nettement moins de paquets — trafic régulier et stable	TCP Intercept filtre les connexions incomplètes ✓

✅

Si la capture après routeur montre une diminution significative des SYN et la disparition des rafales, TCP Intercept est efficace. Le serveur HTTP reste accessible aux clients légitimes.

Test 4 Vérification sur le serveur Syslog

Les événements liés à l'attaque et aux connexions bloquées sont enregistrés sur le serveur Syslog (192.168.1.1).

Message Syslog	Signification
`%SYS-5-CONFIG_I`	Configuration appliquée — TCP Intercept activé
`%SYS-6-LOGGINGHOST_STARTSTOP`	Connexion Syslog établie vers 192.168.1.1:514
`%LINK-3-UPDOWN`	Changement d'état d'une interface (lien up/down)
`%TCP-6-INTERCEPT: getting aggressive`	Seuil haut atteint — mode purge activé
`%TCP-6-INTERCEPT: calming down`	Retour à la normale — attaque stoppée ou atténuée

➡️ Les journaux confirment la traçabilité complète de l'attaque et des mécanismes de défense.

✅

Conclusion — Points clés à retenir

BTS SIO SISR — Oral Cyber-Sécurité

Élément	À retenir
DoS / SYN Flood	Envoie des SYN sans ACK final → épuise la table de connexions du serveur
DDoS	Même principe mais depuis des centaines de machines → IPs sources variées, très difficile à bloquer
TCP Intercept	Le routeur valide lui-même le handshake — le serveur ne voit que des connexions complètes
Mode intercept	Le routeur agit comme proxy TCP — transparent pour les connexions légitimes
one-minute high 100	Seuil déclenchant le mode agressif — à calibrer selon le trafic normal
one-minute low 50	Seuil de retour à la normale — en dessous, les connexions expirent naturellement
SYNRCVD	État d'une connexion incomplète interceptée — SYN reçu, ACK attendu
Port SPAN / Mirroring	Copie le trafic d'un port vers Wireshark sans être dans le flux réseau
show tcp intercept stat	Affiche le nombre de connexions bloquées et le taux d'interception
Syslog	Trace les alertes TCP Intercept — getting aggressive / calming down

🎯

Workflow complet en 6 étapes :
1. Configurer le routeur (interfaces + Syslog) et les switches (SPAN)
2. Vérifier la connectivité et les captures Wireshark en état normal
3. Lancer l'attaque : sudo hping3 -I eth0 -i u1 -S -p 80 192.168.1.1
4. Créer l'ACL : ip access-list extended TCP_INTER + permit tcp any host 192.168.1.1 eq www
5. Activer TCP Intercept : ip tcp intercept mode intercept + list TCP_INTER + seuils
6. Vérifier : show tcp intercept connections + show tcp intercept stat + Wireshark + Syslog

BTS SIO SISR — Cyber-Sécurité · DoS & DDoS · TCP Intercept · Cisco 1841 · 18 décembre 2025