Axel Agbohou

DDoS: première approche…

Définition

Selon Wikipédia, une attaque par déni de service (Denial of Service – DoS) est une attaque informatique ayant pour but de rendre indisponible un service (fourni par une ou plusieurs machines) afin d’empêcher les utilisateurs légitimes de l’utiliser.

Derrière cette définition se cache le plus souvent une action visant à :

  • Saturer une ressource afin que celle-ci ne soit plus en mesure de rendre son service;
  • Perturber un service via envoi de requêtes non supportées par ce dernier;
  • Ou encore dissimuler une autre attaque.

Cette attaque est qualifiée de distribuée (Distributed Denial of Service – DDoS) lorsqu’elle utilise plusieurs sources attaquantes distinctes. Pour réaliser ce type d’attaque, les cybercriminels utilisent généralement des réseaux de machines infectées (botnet) qu’ils sont en mesure de contrôler à distance.

En fonction de l’entité et des services visés, les conséquences et risques d’une attaque DoS/DDoS peuvent être nombreux:

  • Dégradation de l’image de la société;
  • Pertes financières;
  • Risque de pertes de données ou d’accès à des informations critiques
  • etc…
Classification

On distingue trois grandes familles d’attaques DoS/DDoS :

  • Attaques volumétriques;
  • Attaques par saturation d’état;
  • Attaques applicatives.

Celles-ci peuvent être combinées et ainsi donner naissance à des attaques hybrides.  Certaines d’entre elles sont conçues pour attaquer une cible en se servant d’un tiers comme pivot d’attaque : on parle en ce cas d’attaque par réflexion. Ce type d’attaque met en oeuvre de l’usurpation au niveau de l’adresse IP source du message. Il est par ailleurs souvent accompagné d’une amplification lorsque la bande passante requise pour l’attaque est inférieure à celle générée par la réponse.

Les attaques réflectives sont d’autant plus amplifiées si le protocole utilisé pour l’attaque ne nécessite pas l’établissement d’une connexion ou ne met pas en œuvre de mécanisme de vérification des messages.

Attaques volumétriques

Les attaques volumétriques tentent de noyer les réseaux sous une charge très élevée de trafic, ne laissant plus de bande passante (ou capacité de traitement) disponible pour les usages légitimes. Ces attaques correspondent tout simplement à une quantité exceptionnelle de trafic reçue dans un intervalle de temps restreint. Les attaques par innondation de requêtes (flooding) ICMP/UDP/TCP/IP font partie des attaques volumétriques les plus observées.

Notez que tout composant dispose d’une capacité finie de traitement. En cas de dépassement de cette dernière, le composant n’est plus en mesure de rendre le service assuré. Ainsi, sans aucune protection particulière, tout composant reste vulnérable aux attaques DDoS volumétriques. Un déni de service peut donc survenir sans attaque! En effet une forte affluence de trafic légitime peut également conduire à un déni de service même si ce dernier n’est pas intentionnellement réalisé.

Attaques par saturation d'état

Les attaques par saturation d’états touchent l’ensemble des systèmes pour lesquels le maintien d’une table d’états est impératif. En effet, ces équipements (pare-feux, IPS, répartiteurs de charge, serveurs applicatifs, …) ont besoin de valider dans un temps fini les flux qu’ils reçoivent en utilisant des ressources mémoire et processeur.

Les attaques par saturation d’état visent à consommer ces ressources en envoyant des paquets corrompus, dans la mauvaise séquence, ou à l’inverse en n’envoyant jamais les paquets attendus jusqu’à épuisement de la cible. Ces attaques sont bien spécifiques car elles nécessitent une compréhension plus fine des échanges protocolaires. Elles peuvent être « hybridées » avec la technique d’attaque volumétrique.

Deux méthodes d’attaques sont régulièrement utilisées pour parvenir à une saturation d’état: l’envoi de requêtes fragmentées et/ou lentes.

Attaques applicatives

Les attaques applicatives ciblent spécifiquement des applications ou services présents sur les serveurs. Elles peuvent au mieux ralentir le fonctionnement de l’application, et au pire provoquer un crash du service, de l’application voire du serveur.

Les attaques applicatives utilisent pour cela des paquets malformés ou illégitimes (injection SQL, envoi de requêtes spécifiques provoquant une amplification de réponse, …). Elles consomment généralement beaucoup moins de bande passante que les attaques volumétriques et la plupart des attaques par saturation d’états, ce qui rend leur détection assez difficile.

Et ensuite ?

La défense contre une attaque DoS/DDoS requiert la mise en place d’un plan de réponse adapté. Ce processus commence, entre autre, par la compréhension de ce type d’attaque (objet de cet article).

Il doit ensuite prévoir une phase d’analyse de risque puis de mise en place de moyens techniques et humains. N’hésitez pas à contacter notre cabinet pour tout accompagnement dans la mise en oeuvre de votre stratégie de défense DDoS.

Articles associés

Sécurisation des accès réseaux, un enjeu majeur pour les entreprises

27 février 2020
Les entreprises d’aujourd’hui sont confrontées à une croissance exponentielle du nombre d’équipements interconnectés au sein de leurs réseaux informatiques : Téléphone IP, switches, routeurs,  PC de bureau, ordinateurs portables, photocopieurs, caméras IP, des objets IoT (l’Internet des objets), équipements de visioconférences, ainsi qu’une multitude de mode d’accès à leurs réseaux internes qu’il faudra sécuriser, allant […]

La micro-segmentation, kesako ?

16 novembre 2018
L’approche historique de défense périmétrique (filtrage exclusif des entrées/sorties) des data-center n’est plus un modèle adapté aux environnements actuels...
Partager cet article
Derniers articles

Ransomware, sont ils inéluctables?

Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]

Sécurisation des accès réseaux, un enjeu majeur pour les entreprises

Les entreprises d’aujourd’hui sont confrontées à une croissance exponentielle du nombre d’équipements interconnectés au sein de leurs réseaux informatiques : Téléphone IP, switches, routeurs,  PC de bureau, ordinateurs portables, photocopieurs, caméras IP, des objets IoT (l’Internet des objets), équipements de visioconférences, ainsi qu’une multitude de mode d’accès à leurs réseaux internes qu’il faudra sécuriser, allant […]

to be or not to be ?

La haute disponibilité est un enjeu important pour les infrastructures informatiques. Une étude de 2007 estime que la non-disponibilité des services informatiques peut avoir un coût de 440 000 euros de l’heure Lors de la construction d’un Datacenter, l’infrastructure est conçue en tenant compte de cet enjeu ; les architectes IT doivent pouvoir concevoir leurs […]

Réseau et Sécurité, amalgame pour un échec

Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]