Sommaire

Les méthodes

1. Préparation et environnement

Avant de partir tête baissée dans la recherche d’éléments, l’analyste devra au mieux « préparer le terrain ». Il est important de commencer par une analyse macroscopique avant de descendre progressivement vers l’analyse microscopique.

Avoir une vue d’ensemble d’un système permet par la suite de mieux cibler les éléments. Prenons un exemple. Vous êtes appelé par une compagnie internationale qui vient de subir une attaque de type DOS et qui souhaite en trouver la cause (ceci est bien une analyse que nous pouvons qualifier de forensique, car elle cherche des preuves, même si ce n’est pas pour inculper directement un auteur de délit) et éventuellement en trouver la source. Dans ce cas concret, vous comprendrez aisément que l’analyse directe du simple serveur web qui a été rendu indisponible par l’attaque ne vous donnera pas suffisamment d’éléments pour mener à bien votre investigation.

Aussi, il vous sera utile de commencer par « le haut de la pyramide », bien souvent le pare-feu, qui vous permettra d’établir quel type de DOS a été utilisé pour mener l’attaque (SYN Flood, DNS amplification) ou bien de vous rendre rapidement compte si le serveur a été victime d’une attaque locale (fork bomb, saturation d’inodes), s’il ...