Qu'est-ce qu'une attaque DDoS et DoS ?
Les attaques par déni de service (DoS) et par déni de service distribué (DDoS) sont des tentatives malveillantes visant à interrompre les services en ligne en les inondant d'un trafic massif provenant de sources multiples.
Qu'est-ce qu'un outil d'attaque DDoS et DoS ?
Les outils utilisés dans les attaques DDoS courantes comptent entre autres des outils d'usurpation d'adresse IP, de Ping of Death, d'ICMP, d'attaque par UDP flood et DNS flood, d'attaques par amplification, d'attaque TCP SYN flood, d'attaque par HTTP flood, d'attaques par réflexion, d'attaques volumétriques et d'attaques basées sur les connexions.
Les outils d'attaque DDoS sont utilisés par les attaquants pour exploiter les réseaux, systèmes et applications vulnérables, en général pour des gains financiers ou des raisons politiques. Ils varient, allant du simple script qui vise un seul serveur aux bots et botnets sophistiqués. Les outils d'attaque DDoS sont conçus pour inonder les systèmes de la victime avec un trafic en excès provenant de sources multiples.
Les attaques par amplification comptent parmi les attaques DDoS les plus courantes : elles utilisent les protocoles de réseau vulnérables pour amplifier le volume de trafic envoyé vers un service ou un périphérique visé. Durant une attaque par amplification, l'attaquant envoie une petite requête.
Les outils d'attaque au niveau de la couche applicative (L7)
Les attaques sur la couche applicative (couche 7) sont des attaques DDoS qui visent les applications et les services constituant la coucle 7 du modèle OSAI (Open Systems Interconnection). Ces attaques utilisent les services non protégés par un pare-feu comme HTTP, FTP, et SMTP pour inonder une application avec des demandes ou des données malveillantes.
Au lieu d'inonder la cible avec un volume de trafic important en une fois, les outils d'attaque « Low and slow » utilisent un volume de trafic beaucoup moins important, et ce, sur une période prolongée. Ce type d'attaque utilise moins de bande passante pour contourner les méthodes de détection comme les règles de pare-feu, les limitations de débit et autres mesures de sécurité.
Slowloris, un outil pour attaque DDoS, inonde un serveur avec des demandes HTTP incomplètes. Les attaques sont conçues pour exploiter le nombre limité de connexions pouvant être prises en charge par les serveurs web ainsi que le délai nécessaire aux serveurs pour les fermer. Durant une attaque Slowloris, les agents mal intentionnés envoient une multitude de demandes partielles vers le serveur visé et empêchent ainsi les utilisateurs légitimes d'y accéder.
R.U.D.Y (R-U-Dead-Yet?) est également un outil d'attaque au niveau des applications qui envoie un grand nombre de petits paquets à un débit faible avec l'en-tête HTTP « Content-Length » vers un grand nombre de destinataires afin d'empêcher le serveur ou l'application de fermer la connexion.
Les outils d'attaque de protocole et couche transport (L3/L4)
Les attaquants peuvent utiliser les attaques par UDP flood pour saturer les serveurs web et le port hôte attaqués. L'hôte recevant vérifie les applications et ports hors de portée (ce qui est prévu par l'attaquant) associés à ces datagrammes et envoie la réponse « Destination hors de portée ». Les attaquants peuvent également imiter l'adresse de retour IP, la rendant ainsi hors de portée. Plus le serveur reçoit ces paquets, plus il devient incapable de répondre aux autres demandes des clients.
Les outils d'attaque DDoS courants
De nombreux outils d'attaque DDoS comme HTTP Unbearable Load King (HULK), Slowloris, PyLoris, DAVOSET, GodenEye, Open Web Application Security Project (OWASP) HTTP Post, Low Orbit ION Cannon (LOIC), High Orbit ION Cannon (HOIC), Xoic, Tor's Hammer, DDoSSIM (DDoS Simulator) et RUDY (R-U-Dead-Yet) sont incroyablement faciles à obtenir.
Atténuer les menaces d'attaque DDoS
Les mesures de sécurité classiques comme les pare-feux avec listes de contrôle d'accès et protections basées sur des signatures classiques ne sont pas suffisantes pour protéger contre les attaques DDoS sophistiquées. De nombreuses attaques visent les applications et les services au niveau des applications (Layer 4-7) du modèle OSI et exploitent les services non protégés par un pare-feu comme HTTP, FTP, et SMTP.
Les attaques qui consomment les ressources d'appareils dynamiques ayant besoin de maintenir les informations et l'état de chaque connexion client nécessitent des solutions qui minimiseront les ressources allouées le plus près possible de l'achèvement d'établissement de liaisons trois-voies.
L'une des étapes les plus importantes dans l'atténuation des menaces d'attaque DDoS est de s'assurer que tous les réseaux et les systèmes sont régulièrement remis à jour, et les dernières mises à jour de sécurité installées.
Parmi les bonnes pratiques pour la sécurité des réseaux et des applications, on compte : le changement fréquent des mots de passe, un scan régulier pour déterminer les failles, la résolution de ces failles, le déploiement d'anti-malware, des solutions et services de protection DDoS et le déploiement d'application web pare-feu (WAF) avec des listes de contrôle d'accès mis à jour.
Nous conseillons les outils qui fournissent des fonctions de surveillance en temps réel permettant de détecter les requêtes ou données malveillantes avant qu'elle n'atteigne votre application ou service afin que vous puissiez agir rapidement pour atténuer tout dommage potentiel.
Les solutions de protection DDoS Radware (DefensePro, Cloud DDoS Protection Service) et de livraison d'application (Alteon) atténuent les attaques DDoS sur les réseaux et applications en utilisant des approches qui bloquent les attaques sans pour autant affecter le trafic légitime. En utilisant les algorithmes d'apprentissage machine, basés sur le comportement, Radware peut mieux comprendre les profils de comportement légitimes pour bloquer ensuite automatiquement tout attaque malveillante. Cela augmente la précision de la protection et réduit les faux positifs.