Types d'attaques par déni de service (DoS) les plus courants
À la base, une attaque par déni de service consiste généralement à submerger un serveur, par exemple le serveur d’un site Web, au point qu’il est incapable de fournir ses services à des utilisateurs légitimes. Cela peut être effectué de différentes manières, la plus courante étant les attaques par inondation TCP et les attaques par amplification DNS.
Attaques d'inondation TCP
Presque tout le trafic Web (HTTP / HTTPS) est effectué à l'aide du protocole TCP (Transmission Control Protocol). TCP a plus de temps système que l'alternative, UDP (User Datagram Protocol), mais est conçu pour être fiable. Deux ordinateurs connectés l'un à l'autre via TCP confirmeront la réception de chaque paquet. Si aucune confirmation n'est fournie, le paquet doit être envoyé à nouveau.
Que se passe-t-il si un ordinateur est déconnecté? Peut-être qu'un utilisateur perd l'alimentation, que son fournisseur de services Internet est en panne ou que l'application qu'il utilise se ferme sans en informer l'autre ordinateur. L’autre client doit cesser d’envoyer le même paquet, sinon il gaspille des ressources. Pour éviter une transmission sans fin, une durée de temporisation est spécifiée et / ou une limite est fixée au nombre de fois qu'un paquet peut être renvoyé avant que la connexion ne soit complètement interrompue.
TCP a été conçu pour faciliter la communication fiable entre les bases militaires en cas de catastrophe, mais cette conception même le rend vulnérable aux attaques par déni de service. Lors de la création de TCP, personne n’avait imaginé qu’il serait utilisé par plus d’un milliard de périphériques clients. La protection contre les attaques par déni de service modernes ne faisait tout simplement pas partie du processus de conception.
L'attaque par déni de service la plus courante contre les serveurs Web est effectuée en spammant des paquets SYN (synchroniser). L'envoi d'un paquet SYN est la première étape du lancement d'une connexion TCP. Après réception du paquet SYN, le serveur répond par un paquet SYN-ACK (accusé de réception de synchronisation). Enfin, le client envoie un paquet ACK (accusé de réception) complétant la connexion.
Toutefois, si le client ne répond pas au paquet SYN-ACK dans un délai défini, le serveur envoie à nouveau le paquet et attend une réponse. Il répète cette procédure encore et encore, ce qui peut entraîner une perte de mémoire et de temps processeur sur le serveur. En fait, si cela est fait suffisamment, cela peut entraîner une perte de temps en mémoire et en temps processeur, de sorte que les utilisateurs légitimes voient leurs sessions raccourcies ou que de nouvelles sessions ne puissent pas démarrer. De plus, l'utilisation accrue de la bande passante de tous les paquets peut saturer les réseaux, les rendant incapables de transporter le trafic qu'ils souhaitent réellement.
Attaques d'amplification DNS
Les attaques par déni de service peuvent également viser les serveurs DNS: les serveurs qui traduisent les noms de domaine (tels que howtogeek.com) en adresses IP (12.345.678.900) que les ordinateurs utilisent pour communiquer. Lorsque vous tapez howtogeek.com dans votre navigateur, il est envoyé à un serveur DNS. Le serveur DNS vous dirige ensuite vers le site Web actuel. La rapidité et la faible latence sont des préoccupations majeures pour DNS. Le protocole fonctionne donc sur UDP plutôt que sur TCP. Le DNS est un élément essentiel de l’infrastructure Internet et la bande passante utilisée par les requêtes DNS est généralement minime.
Cependant, le DNS a connu une croissance lente, de nouvelles fonctionnalités étant ajoutées progressivement au fil du temps. Cela posait un problème: DNS avait une limite de taille de paquet de 512 octets, ce qui n’était pas suffisant pour toutes ces nouvelles fonctionnalités. Ainsi, en 1999, l'IEEE a publié la spécification relative aux mécanismes d'extension pour DNS (EDNS), qui a porté le plafond à 4096 octets, ce qui permet d'inclure davantage d'informations dans chaque demande.
Ce changement a toutefois rendu le DNS vulnérable aux «attaques par amplification». Un attaquant peut envoyer des requêtes spécialement conçues aux serveurs DNS, en demandant de grandes quantités d’informations et en leur demandant de les envoyer à l’adresse IP de leur cible. Une «amplification» est créée car la réponse du serveur est beaucoup plus grande que la requête qui l’a générée et le serveur DNS envoie sa réponse à l’adresse IP falsifiée.
De nombreux serveurs DNS ne sont pas configurés pour détecter ou supprimer les requêtes incorrectes. Ainsi, lorsque les attaquants envoient de manière répétée des requêtes falsifiées, la victime est inondée d'énormes paquets EDNS, encombrant le réseau. Incapables de gérer autant de données, leur trafic légitime sera perdu.
Alors, qu'est-ce qu'une attaque par déni de service (DDoS)?
Une attaque par déni de service distribué est une attaque qui a plusieurs attaquants (parfois involontaires). Les sites Web et les applications sont conçus pour gérer de nombreuses connexions simultanées. Après tout, les sites Web ne seraient pas très utiles si une seule personne pouvait visiter à la fois. Les services géants tels que Google, Facebook ou Amazon sont conçus pour gérer des millions ou des dizaines de millions d'utilisateurs simultanés. Pour cette raison, il n’est pas possible pour un attaquant de les arrêter avec une attaque par déni de service. Mais beaucoup les attaquants pourraient.
La méthode la plus courante pour recruter des attaquants consiste à utiliser un botnet.Dans un botnet, les pirates informatiques infectent toutes sortes de dispositifs connectés à Internet avec des logiciels malveillants. Ces appareils peuvent être des ordinateurs, des téléphones ou même d’autres appareils de votre maison, tels que des enregistreurs vidéo numériques (DVR) et des caméras de sécurité. Une fois infectés, ils peuvent utiliser ces périphériques (appelés zombies) pour contacter périodiquement un serveur de commande et de contrôle afin de leur demander des instructions. Ces commandes peuvent aller de l'extraction de crypto-devises à la participation à des attaques DDoS. De cette façon, ils n'ont pas besoin d'une tonne de pirates informatiques pour se regrouper. Ils peuvent utiliser les dispositifs non sécurisés des utilisateurs normaux à la maison pour faire leur sale boulot.
D'autres attaques DDoS peuvent être effectuées volontairement, généralement pour des raisons politiques. Des clients comme Low Orbit Ion Cannon simplifient les attaques par déni de service et sont faciles à distribuer. N'oubliez pas qu'il est illégal dans la plupart des pays de participer (intentionnellement) à une attaque DDoS.
Enfin, certaines attaques DDoS peuvent être involontaires. À l'origine appelé l'effet Slashdot et généralisé à «l'enveloppe de la mort», d'énormes volumes de trafic légitime peuvent paralyser un site Web. Vous avez probablement déjà vu cela se produire avant qu'un site populaire ne renferme un lien vers un petit blog et qu'un afflux massif d'utilisateurs n'aboutisse accidentellement à la fermeture du site. Techniquement, cela reste classé comme DDoS, même s'il n'est ni intentionnel ni malveillant.
Comment puis-je me protéger contre les attaques par déni de service?
Les utilisateurs types n'ont pas à craindre d'être la cible d'attaques par déni de service. À l'exception des banderoles et des joueurs pro, il est très rare qu'un DoS pointe vers un individu. Cela dit, vous devez néanmoins faire de votre mieux pour protéger tous vos appareils contre les logiciels malveillants qui pourraient faire de vous un botnet.
Cependant, si vous êtes administrateur d'un serveur Web, il existe une mine d'informations sur la manière de sécuriser vos services contre les attaques par déni de service. La configuration du serveur et les appareils peuvent atténuer certaines attaques. D'autres peuvent être évités en s'assurant que les utilisateurs non authentifiés ne peuvent pas effectuer d'opérations nécessitant des ressources de serveur importantes. Malheureusement, le succès d'une attaque par déni de service est le plus souvent déterminé par le plus gros tuyau. Des services tels que Cloudflare et Incapsula offrent une protection en se tenant devant des sites Web, mais peuvent être coûteux.