Comment DDoS | Outils d’attaques DoS et DDoS

Comment les pirates font-ils pour saturer un serveur Web et bloquer l’accès à une propriété Web ?

Share facebook icon linkedin icon twitter icon email icon

Comment DDoS

Objectifs d'apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir les attaques DoS et DDoS
  • Comprendre comment fonctionne une attaque par déni de service
  • Apprendre les catégories d’outiles d’attaque DoS et DDoS
  • Mettre en évidence les outils DoS et DDoS fréquemment utilisés
  • Découvrez les risques juridiques que comporte le lancement d’attaques DDoS

DoS vs DDoS

Les attaques pardéni de service (DoS) sont le précurseur des attaques DDoS. Autrefois, les attaques DoS constituaient une méthode primaire pour perturber les systèmes informatiques d'un réseau. Les attaques DoS proviennent d'une seule machine et peuvent être très simples. Une attaque par inondation de ping basique peut être réalisée en envoyant plus de requêtes ICMP (ping) à un serveur ciblé que ce qu’il est capable de traiter efficacement. Il suffit de disposer d’une machine en réseau pour pouvoir lancer ce type d’attaque en passant par les commandes du terminal intégré. Des attaques DoS plus complexes peuvent impliquer l'utilisation de la fragmentation de paquets, comme l'attaque Ping of Death, qui a aujourd'hui quasiment disparue.

Les attaques pardéni de service (DoS) sont le précurseur des attaques DDoS. Autrefois, les attaques DoS constituaient une méthode primaire pour perturber les systèmes informatiques d'un réseau. Les attaques DoS proviennent d'une seule machine et peuvent être très simples. Une attaque par inondation de ping basique peut être réalisée en envoyant plus de requêtes ICMP (ping) à un serveur ciblé que ce qu’il est capable de traiter efficacement.


Il suffit de disposer d’une machine en réseau pour pouvoir lancer ce type d’attaque en passant par les commandes du terminal intégré. Des attaques DoS plus complexes peuvent impliquer l'utilisation de la fragmentation de paquets, comme l'attaque Ping of Death, qui a aujourd'hui quasiment disparue.


Les attaques impliquant de multiples ordinateurs ou autres appareils ciblant tous la même victime sont considérées comme des attaques DDoS en raison de leur configuration distribuée. Les attaques DDoS sont plus fréquentes et destructrices dans l’Internet moderne. Acheter ou créer un groupe de machines malveillantes capable d’envoyer une quantité massive de trafic Internet vers une cible est relativement simple. Les acteurs malveillants peuvent donc utiliser des réseaux d’appareils comme des botnets pour submerger une cible de requêtes. En utilisant un vaste réseau de machines infectées de malwares, un acteur malveillant peut exploiter le trafic d’attaque d’un plus grand nombre de systèmes informatiques. Avec l’émergence d’appareils Internet des Objets (IdO) peu sécurisés, une plus grande quantité de matériel électronique peut être réquisitionnée à des fins néfastes.

Les attaques impliquant de multiples ordinateurs ou autres appareils ciblant tous la même victime sont considérées comme des attaques DDoS en raison de leur configuration distribuée. Les attaques DDoS sont plus fréquentes et destructrices dans l’Internet moderne.


Acheter ou créer un groupe de machines malveillantes capable d’envoyer une quantité massive de trafic Internet vers une cible est relativement simple. Les acteurs malveillants peuvent donc utiliser des réseaux d’appareils comme des botnets pour submerger une cible de requêtes.


En utilisant un vaste réseau de machines infectées de malwares, un acteur malveillant peut exploiter le trafic d’attaque d’un plus grand nombre de systèmes informatiques. Avec l’émergence d’appareils Internet des Objets (IdO) peu sécurisés, une plus grande quantité de matériel électronique peut être réquisitionnée à des fins néfastes.


Toutes les attaques distribuées n’impliquent pas de botnets ; certains outils d’attaque exploitent des volontaires qui travaillent ensemble en partageant leur ressources informatiques disponibles pour participer à un objectif mutuel. Le groupe de hackers Anonymous a utilisé des outils DoS et DDoS et s’est associé à des parties consentantes précisément dans ce but.

Comment sont classés les outils d’attaque DoS/DDoS ?

Différents outils d’attaque ou « stresseurs » sont disponibles gratuitement sur Internet. À la base, certains de ces outils ont un but légitime, car les chercheurs en sécurité et les ingénieurs réseau peuvent de temps en temps réaliser des tests de stress visant leurs propres réseaux. Certains outils d’attaque spécialisés se concentrent uniquement sur une zone particulière de la pile de protocoles, et d’autres sont conçus pour autoriser plusieurs vecteurs d’attaque.


Les outils d’attaque peuvent être classés en différents groupes :

Outils d’attaque faible et lente

Comme leur nom l’indique, ces types d’outils d’attaque utilisent un faible volume de données et opèrent très lentement. Conçus pour envoyer de petites quantités de données à travers plusieurs connexions afin de maintenir les ports d’un serveur ciblé ouverts aussi longtemps que possible, ces outils continuent d’utiliser les ressources serveur jusqu’à ce qu’un serveur ciblé soit incapable de maintenir des connexions supplémentaires. Les attaques faibles et lentes sont les seules à pouvoir fonctionner même sans système distribué comme un botnet, et sont généralement utilisées par une machine unique.

Comme leur nom l’indique, ces types d’outils d’attaque utilisent un faible volume de données et opèrent très lentement. Conçus pour envoyer de petites quantités de données à travers plusieurs connexions afin de maintenir les ports d’un serveur ciblé ouverts aussi longtemps que possible, ces outils continuent d’utiliser les ressources serveur jusqu’à ce qu’un serveur ciblé soit incapable de maintenir des connexions supplémentaires.


Les attaques faibles et lentes sont les seules à pouvoir fonctionner même sans système distribué comme un botnet, et sont généralement utilisées par une machine unique.

Outils d’attaque de la couche d'application (C7)

Ces outils cibles la couche 7 du modèle OSI, où sont basées les requêtes Internet telles que HTTP. Utiliser une attaque de type HTTP flood pour submerger une cible de reqûetes HTTP GET et POST, un acteur malveillant peut lancer un trafic d’attaque difficile à distinguer des requêtes normales effectuées par les visiteurs réels.

Outils d’attaque des couches protocole et transport (C3/C4)

Visant une partie plus profonde de la couche de protocoles, ces outils utilisent des protocoles comme UDP pour envoyer de gros volumes de trafic sur un serveur ciblé, comme pendant une attaque UDP flood. Souvent inefficaces individuellement, ces attaques sont généralement observées sous la forme d’attaques DDoS où l’avantage de machines d’attaque supplémentaires renforcent l’impact.

Quels sont les outils d’attaque DoS/DDoS couramment utilisés ?

Voici quelques outils couramment utilisés :

Low Orbit Ion Cannon (LOIC)

Le LOIC est une application open-source de test de stress. Il permet de réaliser des attaques des couches protocoles TCP et UDP à l’aide d’une interface WYSIWYG facile à utiliser. En raison de la popularité de l'outil d'origine, des dérivés ont été créés pour permettre le lancement d'attaques à l'aide d'un navigateur Web.

High Orbit Ion Cannon (HOIC)

Cet outil d’attaque a été créé pour remplacer le LOIC en augmentant ses capacités et en ajoutant des personnalisations. En utilisant le protocole HTTP, le HOIC est en mesure de lancer des attaques ciblées qu'il est difficile d'atténuer. Le logiciel est conçu pour qu'un minimum de 50 personnes travaillent ensemble dans un effort d'attaque coordonné.

Slowloris

En plus d’être un primate lent, Slowloris est une application conçue pour déclencher une attaque faible et lente sur un serveur ciblé. L'élégance de Slowloris réside dans la quantité limitée de ressources dont il a besoin pour créer un effet néfaste.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y. est un autre outil d’attaque faible et lent conçu pour permettre à l’utilisateur de lancer facilement des attaques à l’aide d’une simple interface pointer-cliquer. En ouvrant plusieurs requêtes HTTP POST et en maintenant ces connexions ouvertes aussi longtemps que possible, l'attaque vise à submerger lentement le serveur ciblé.