Axel Agbohou

DDoS: première approche…

Définition

Selon Wikipédia, une attaque par déni de service (Denial of Service – DoS) est une attaque informatique ayant pour but de rendre indisponible un service (fourni par une ou plusieurs machines) afin d’empêcher les utilisateurs légitimes de l’utiliser.

Derrière cette définition se cache le plus souvent une action visant à :

  • Saturer une ressource afin que celle-ci ne soit plus en mesure de rendre son service;
  • Perturber un service via envoi de requêtes non supportées par ce dernier;
  • Ou encore dissimuler une autre attaque.

Cette attaque est qualifiée de distribuée (Distributed Denial of Service – DDoS) lorsqu’elle utilise plusieurs sources attaquantes distinctes. Pour réaliser ce type d’attaque, les cybercriminels utilisent généralement des réseaux de machines infectées (botnet) qu’ils sont en mesure de contrôler à distance.

En fonction de l’entité et des services visés, les conséquences et risques d’une attaque DoS/DDoS peuvent être nombreux:

  • Dégradation de l’image de la société;
  • Pertes financières;
  • Risque de pertes de données ou d’accès à des informations critiques
  • etc…
Classification

On distingue trois grandes familles d’attaques DoS/DDoS :

  • Attaques volumétriques;
  • Attaques par saturation d’état;
  • Attaques applicatives.

Celles-ci peuvent être combinées et ainsi donner naissance à des attaques hybrides.  Certaines d’entre elles sont conçues pour attaquer une cible en se servant d’un tiers comme pivot d’attaque : on parle en ce cas d’attaque par réflexion. Ce type d’attaque met en oeuvre de l’usurpation au niveau de l’adresse IP source du message. Il est par ailleurs souvent accompagné d’une amplification lorsque la bande passante requise pour l’attaque est inférieure à celle générée par la réponse.

Les attaques réflectives sont d’autant plus amplifiées si le protocole utilisé pour l’attaque ne nécessite pas l’établissement d’une connexion ou ne met pas en œuvre de mécanisme de vérification des messages.

Attaques volumétriques

Les attaques volumétriques tentent de noyer les réseaux sous une charge très élevée de trafic, ne laissant plus de bande passante (ou capacité de traitement) disponible pour les usages légitimes. Ces attaques correspondent tout simplement à une quantité exceptionnelle de trafic reçue dans un intervalle de temps restreint. Les attaques par innondation de requêtes (flooding) ICMP/UDP/TCP/IP font partie des attaques volumétriques les plus observées.

Notez que tout composant dispose d’une capacité finie de traitement. En cas de dépassement de cette dernière, le composant n’est plus en mesure de rendre le service assuré. Ainsi, sans aucune protection particulière, tout composant reste vulnérable aux attaques DDoS volumétriques. Un déni de service peut donc survenir sans attaque! En effet une forte affluence de trafic légitime peut également conduire à un déni de service même si ce dernier n’est pas intentionnellement réalisé.

Attaques par saturation d'état

Les attaques par saturation d’états touchent l’ensemble des systèmes pour lesquels le maintien d’une table d’états est impératif. En effet, ces équipements (pare-feux, IPS, répartiteurs de charge, serveurs applicatifs, …) ont besoin de valider dans un temps fini les flux qu’ils reçoivent en utilisant des ressources mémoire et processeur.

Les attaques par saturation d’état visent à consommer ces ressources en envoyant des paquets corrompus, dans la mauvaise séquence, ou à l’inverse en n’envoyant jamais les paquets attendus jusqu’à épuisement de la cible. Ces attaques sont bien spécifiques car elles nécessitent une compréhension plus fine des échanges protocolaires. Elles peuvent être « hybridées » avec la technique d’attaque volumétrique.

Deux méthodes d’attaques sont régulièrement utilisées pour parvenir à une saturation d’état: l’envoi de requêtes fragmentées et/ou lentes.

Attaques applicatives

Les attaques applicatives ciblent spécifiquement des applications ou services présents sur les serveurs. Elles peuvent au mieux ralentir le fonctionnement de l’application, et au pire provoquer un crash du service, de l’application voire du serveur.

Les attaques applicatives utilisent pour cela des paquets malformés ou illégitimes (injection SQL, envoi de requêtes spécifiques provoquant une amplification de réponse, …). Elles consomment généralement beaucoup moins de bande passante que les attaques volumétriques et la plupart des attaques par saturation d’états, ce qui rend leur détection assez difficile.

Et ensuite ?

La défense contre une attaque DoS/DDoS requiert la mise en place d’un plan de réponse adapté. Ce processus commence, entre autre, par la compréhension de ce type d’attaque (objet de cet article).

Il doit ensuite prévoir une phase d’analyse de risque puis de mise en place de moyens techniques et humains. N’hésitez pas à contacter notre cabinet pour tout accompagnement dans la mise en oeuvre de votre stratégie de défense DDoS.

Articles associés

Wissam : être une femme dans l’IT

9 octobre 2023
Wissam est consultante Gouvernance Risque et Conformité (GRC) chez iDNA et évolue dans un univers principalement masculin. Nous avons souhaité en savoir plus sur son parcours et sa place en tant que femme dans l’IT. Elle a accepté volontiers de répondre à nos questions :   Bonjour Wissam, tout d’abord quel est ton parcours de formation ? Initialement, […]

Tout savoir sur le SDN : « Software Defined Networking »

6 mai 2022
Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]
Partager cet article
Derniers articles

Le groupe iDNA soutient le Challenge de Marine

Il y a quelques mois, nous avions lancé un appel à projets auprès de nos collaborateurs. Notre jury a décidé de soutenir le projet proposé par Marine : le Défi de la Muzelle. Elle répond à nos questions :   Qui es-tu et quel est ton poste au sein du groupe iDNA ? Je m’appelle Marine, je viens […]

Portrait de Francisca, Chargée des Ressources Humaines au sein du groupe iDNA

Depuis juin 2021, Francisca occupe le poste de Chargée des Ressources Humaines au sein du groupe iDNA. Elle a accepté de nous livrer son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.   Peux-tu te présenter rapidement ? Je m’appelle Francisca, j’habite en banlieue parisienne et je suis chargée des Ressources […]

Portrait d’Aurore, Responsable des Ressources Humaines au sein du groupe iDNA

Depuis 8 ans maintenant, Aurore occupe le poste de Responsable des Ressources Humaines au sein du groupe iDNA. C’est avec un grand sourire qu’elle a accepté de répondre à nos questions. Découvrez son parcours, son poste et ses spécificités, mais aussi sa vision et ses valeurs.    Peux-tu te présenter rapidement ? Je m’appelle Aurore, j’ai […]

Les IA font évoluer les attaques

  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]