Axel Agbohou

DDoS: première approche…

Définition

Selon Wikipédia, une attaque par déni de service (Denial of Service – DoS) est une attaque informatique ayant pour but de rendre indisponible un service (fourni par une ou plusieurs machines) afin d’empêcher les utilisateurs légitimes de l’utiliser.

Derrière cette définition se cache le plus souvent une action visant à :

  • Saturer une ressource afin que celle-ci ne soit plus en mesure de rendre son service;
  • Perturber un service via envoi de requêtes non supportées par ce dernier;
  • Ou encore dissimuler une autre attaque.

Cette attaque est qualifiée de distribuée (Distributed Denial of Service – DDoS) lorsqu’elle utilise plusieurs sources attaquantes distinctes. Pour réaliser ce type d’attaque, les cybercriminels utilisent généralement des réseaux de machines infectées (botnet) qu’ils sont en mesure de contrôler à distance.

En fonction de l’entité et des services visés, les conséquences et risques d’une attaque DoS/DDoS peuvent être nombreux:

  • Dégradation de l’image de la société;
  • Pertes financières;
  • Risque de pertes de données ou d’accès à des informations critiques
  • etc…
Classification

On distingue trois grandes familles d’attaques DoS/DDoS :

  • Attaques volumétriques;
  • Attaques par saturation d’état;
  • Attaques applicatives.

Celles-ci peuvent être combinées et ainsi donner naissance à des attaques hybrides.  Certaines d’entre elles sont conçues pour attaquer une cible en se servant d’un tiers comme pivot d’attaque : on parle en ce cas d’attaque par réflexion. Ce type d’attaque met en oeuvre de l’usurpation au niveau de l’adresse IP source du message. Il est par ailleurs souvent accompagné d’une amplification lorsque la bande passante requise pour l’attaque est inférieure à celle générée par la réponse.

Les attaques réflectives sont d’autant plus amplifiées si le protocole utilisé pour l’attaque ne nécessite pas l’établissement d’une connexion ou ne met pas en œuvre de mécanisme de vérification des messages.

Attaques volumétriques

Les attaques volumétriques tentent de noyer les réseaux sous une charge très élevée de trafic, ne laissant plus de bande passante (ou capacité de traitement) disponible pour les usages légitimes. Ces attaques correspondent tout simplement à une quantité exceptionnelle de trafic reçue dans un intervalle de temps restreint. Les attaques par innondation de requêtes (flooding) ICMP/UDP/TCP/IP font partie des attaques volumétriques les plus observées.

Notez que tout composant dispose d’une capacité finie de traitement. En cas de dépassement de cette dernière, le composant n’est plus en mesure de rendre le service assuré. Ainsi, sans aucune protection particulière, tout composant reste vulnérable aux attaques DDoS volumétriques. Un déni de service peut donc survenir sans attaque! En effet une forte affluence de trafic légitime peut également conduire à un déni de service même si ce dernier n’est pas intentionnellement réalisé.

Attaques par saturation d'état

Les attaques par saturation d’états touchent l’ensemble des systèmes pour lesquels le maintien d’une table d’états est impératif. En effet, ces équipements (pare-feux, IPS, répartiteurs de charge, serveurs applicatifs, …) ont besoin de valider dans un temps fini les flux qu’ils reçoivent en utilisant des ressources mémoire et processeur.

Les attaques par saturation d’état visent à consommer ces ressources en envoyant des paquets corrompus, dans la mauvaise séquence, ou à l’inverse en n’envoyant jamais les paquets attendus jusqu’à épuisement de la cible. Ces attaques sont bien spécifiques car elles nécessitent une compréhension plus fine des échanges protocolaires. Elles peuvent être « hybridées » avec la technique d’attaque volumétrique.

Deux méthodes d’attaques sont régulièrement utilisées pour parvenir à une saturation d’état: l’envoi de requêtes fragmentées et/ou lentes.

Attaques applicatives

Les attaques applicatives ciblent spécifiquement des applications ou services présents sur les serveurs. Elles peuvent au mieux ralentir le fonctionnement de l’application, et au pire provoquer un crash du service, de l’application voire du serveur.

Les attaques applicatives utilisent pour cela des paquets malformés ou illégitimes (injection SQL, envoi de requêtes spécifiques provoquant une amplification de réponse, …). Elles consomment généralement beaucoup moins de bande passante que les attaques volumétriques et la plupart des attaques par saturation d’états, ce qui rend leur détection assez difficile.

Et ensuite ?

La défense contre une attaque DoS/DDoS requiert la mise en place d’un plan de réponse adapté. Ce processus commence, entre autre, par la compréhension de ce type d’attaque (objet de cet article).

Il doit ensuite prévoir une phase d’analyse de risque puis de mise en place de moyens techniques et humains. N’hésitez pas à contacter notre cabinet pour tout accompagnement dans la mise en oeuvre de votre stratégie de défense DDoS.

Articles associés

Les câbles sous-marins

3 novembre 2020
Les câbles sous-marins constituent un maillon essentiel dans les communications modernes et tout particulièrement dans nos accès internet. Le satellite ne permet pas de faire transiter les volumes de données actuellement utilisés par internet. Il induit, par ailleurs, une latence de transit (temps de transmission des signaux entre la terre et les satellites). Avant d’expliquer […]

Les technologies réseaux au service de l’IoT

13 octobre 2020
L’IoT (Internet of Things = objets connectés) est de plus en plus présent dans notre quotidien via des objets connectés à notre téléphone, notre PC… Actuellement, les objets les plus courants sont les montres et les capteurs portables, mais la tendance est au développement de ces objets (frigo, cafetière, balance pour ne citer que ceux-là). […]
Partager cet article
Derniers articles

Attaque informatique de grande ampleur à la Métropole Aix-Marseille-Provence

Quels sont les nouveaux systèmes de refroidissement au sein des Datacenters ?

Portrait de collaborateur : Julien, Directeur des Opérations chez iDNA

Son parcours professionnel Julien a rejoint le groupe iDNA en mai 2017, en tant que Directeur de projet et est devenu en 2019 le Directeur des opérations. Il a débuté sa carrière professionnelle côté client, chez PSA Peugeot Citroën . En intégrant le service informatique, en tant que Responsable d’applications au cœur des systèmes d’information […]

IoT : et la sécurité ?

Les fonctions de l’IoT L’internet des objets (IoT) se développe au sein des foyers et de plus en plus dans les entreprises. On y trouve des détecteurs de présence, des tablettes de réservation de salle, des écrans de signalétique, des lecteurs de badge etc. Ces dispositifs sont souvent reliés à d’autres composants du SI diffusant […]