Axel Agbohou

DDoS: première approche…

Définition

Selon Wikipédia, une attaque par déni de service (Denial of Service – DoS) est une attaque informatique ayant pour but de rendre indisponible un service (fourni par une ou plusieurs machines) afin d’empêcher les utilisateurs légitimes de l’utiliser.

Derrière cette définition se cache le plus souvent une action visant à :

  • Saturer une ressource afin que celle-ci ne soit plus en mesure de rendre son service;
  • Perturber un service via envoi de requêtes non supportées par ce dernier;
  • Ou encore dissimuler une autre attaque.

Cette attaque est qualifiée de distribuée (Distributed Denial of Service – DDoS) lorsqu’elle utilise plusieurs sources attaquantes distinctes. Pour réaliser ce type d’attaque, les cybercriminels utilisent généralement des réseaux de machines infectées (botnet) qu’ils sont en mesure de contrôler à distance.

En fonction de l’entité et des services visés, les conséquences et risques d’une attaque DoS/DDoS peuvent être nombreux:

  • Dégradation de l’image de la société;
  • Pertes financières;
  • Risque de pertes de données ou d’accès à des informations critiques
  • etc…
Classification

On distingue trois grandes familles d’attaques DoS/DDoS :

  • Attaques volumétriques;
  • Attaques par saturation d’état;
  • Attaques applicatives.

Celles-ci peuvent être combinées et ainsi donner naissance à des attaques hybrides.  Certaines d’entre elles sont conçues pour attaquer une cible en se servant d’un tiers comme pivot d’attaque : on parle en ce cas d’attaque par réflexion. Ce type d’attaque met en oeuvre de l’usurpation au niveau de l’adresse IP source du message. Il est par ailleurs souvent accompagné d’une amplification lorsque la bande passante requise pour l’attaque est inférieure à celle générée par la réponse.

Les attaques réflectives sont d’autant plus amplifiées si le protocole utilisé pour l’attaque ne nécessite pas l’établissement d’une connexion ou ne met pas en œuvre de mécanisme de vérification des messages.

Attaques volumétriques

Les attaques volumétriques tentent de noyer les réseaux sous une charge très élevée de trafic, ne laissant plus de bande passante (ou capacité de traitement) disponible pour les usages légitimes. Ces attaques correspondent tout simplement à une quantité exceptionnelle de trafic reçue dans un intervalle de temps restreint. Les attaques par innondation de requêtes (flooding) ICMP/UDP/TCP/IP font partie des attaques volumétriques les plus observées.

Notez que tout composant dispose d’une capacité finie de traitement. En cas de dépassement de cette dernière, le composant n’est plus en mesure de rendre le service assuré. Ainsi, sans aucune protection particulière, tout composant reste vulnérable aux attaques DDoS volumétriques. Un déni de service peut donc survenir sans attaque! En effet une forte affluence de trafic légitime peut également conduire à un déni de service même si ce dernier n’est pas intentionnellement réalisé.

Attaques par saturation d'état

Les attaques par saturation d’états touchent l’ensemble des systèmes pour lesquels le maintien d’une table d’états est impératif. En effet, ces équipements (pare-feux, IPS, répartiteurs de charge, serveurs applicatifs, …) ont besoin de valider dans un temps fini les flux qu’ils reçoivent en utilisant des ressources mémoire et processeur.

Les attaques par saturation d’état visent à consommer ces ressources en envoyant des paquets corrompus, dans la mauvaise séquence, ou à l’inverse en n’envoyant jamais les paquets attendus jusqu’à épuisement de la cible. Ces attaques sont bien spécifiques car elles nécessitent une compréhension plus fine des échanges protocolaires. Elles peuvent être « hybridées » avec la technique d’attaque volumétrique.

Deux méthodes d’attaques sont régulièrement utilisées pour parvenir à une saturation d’état: l’envoi de requêtes fragmentées et/ou lentes.

Attaques applicatives

Les attaques applicatives ciblent spécifiquement des applications ou services présents sur les serveurs. Elles peuvent au mieux ralentir le fonctionnement de l’application, et au pire provoquer un crash du service, de l’application voire du serveur.

Les attaques applicatives utilisent pour cela des paquets malformés ou illégitimes (injection SQL, envoi de requêtes spécifiques provoquant une amplification de réponse, …). Elles consomment généralement beaucoup moins de bande passante que les attaques volumétriques et la plupart des attaques par saturation d’états, ce qui rend leur détection assez difficile.

Et ensuite ?

La défense contre une attaque DoS/DDoS requiert la mise en place d’un plan de réponse adapté. Ce processus commence, entre autre, par la compréhension de ce type d’attaque (objet de cet article).

Il doit ensuite prévoir une phase d’analyse de risque puis de mise en place de moyens techniques et humains. N’hésitez pas à contacter notre cabinet pour tout accompagnement dans la mise en oeuvre de votre stratégie de défense DDoS.

Articles associés

L’évolution des architectures réseaux en data center

12 juillet 2021
L’informatique est un monde en perpétuelle évolution, et l’architecture réseau des datacenters n’échappe pas à la règle. Les moteurs de ces évolutions sont nombreux, que ce soient les progrès techniques, ou encore les évolutions des usages et des besoins…. Au cours de cet article, nous allons aborder l’orientation actuelle des architectures en data center. Mais […]

LE ou LA Wifi ? On ne sait pas trop mais c’est déjà la version 6

3 mars 2021
Comme vous l’aurez deviné, on ne va pas discuter ici de l’importance d’utiliser le pronom masculin ou féminin pour l’acronyme wifi, mais bien de cette “version 6” qui chamboule tout – à commencer par sa nomenclature. Les puristes amateurs de l’apprentissage par cœur des références de RFC telles que les classiques 1145 ou 2549 (sacrés pigeons […]
Partager cet article
Derniers articles

Comment agir sur nos Datacenters afin de réduire leur consommation énergétique ?

Réduire la consommation énergétique des centres de données : Les Datacenters ont un grand impact sur l’empreinte carbone et leurs émissions totales de gaz à effet de serre sont en augmentation constante. L’objectif est ici de vous faire découvrir quelles sont les pistes à explorer pour réduire la consommation d’énergie et l’impact environnemental de nos […]

L’évolution des architectures réseaux en data center

L’informatique est un monde en perpétuelle évolution, et l’architecture réseau des datacenters n’échappe pas à la règle. Les moteurs de ces évolutions sont nombreux, que ce soient les progrès techniques, ou encore les évolutions des usages et des besoins…. Au cours de cet article, nous allons aborder l’orientation actuelle des architectures en data center. Mais […]

Les Devops et l’Agilité : les pires ennemis de la Sécurité…ou pas ! (2/2)

Nous l’évoquions dans un précédent article (les devops et l’agilité pires ennemis de la sécurité ou pas 1/2), Devops et agilité ne font pas forcément bon ménage avec la sécurité. Cependant, loin d’être une fatalité, cette opposition permet au métier de la sécurité d’évoluer avec le temps. À l’image de l’essor de l’IT et de […]

L’Analyse d’Impact du Transfert des données personnelles hors UE

L’Analyse d’Impact du Transfert des données personnelles hors UE: Au mois de juillet 2020 et suite au jugement Schrems, La Cour Européenne de Justice a décidé que les Clauses Contractuelles Standards ou Types (CCT) étaient valides et que le Privacy Shield EU – US n’était plus un instrument adéquat pour permettre le transfert de données […]