Vendus sous forme de services SaaS, les moyens nécessaires au lancement d'attaques DDoS sont désormais disponibles pour un prix modique grâce aux stresseurs IP.
Cet article s'articule autour des points suivants :
Contenu associé
L'attaque par déni de service
Comment DDoS | Outils d’attaque DoS et DDoS
L'univers du botnet DDoS
Qu'est-ce que l'Internet des objets (IdO) ?
Qu'est-ce que le routage blackhole DDoS ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le terme « stresseur IP » désigne un outil conçu pour tester la robustesse d'un réseau ou d'un serveur. Il permet à l'administrateur d'exécuter un test de stress afin de déterminer si les ressources existantes (bande passante, processeur, etc.) sont suffisantes pour gérer une charge supplémentaire.
Le fait de tester son propre réseau ou son propre serveur constitue une utilisation légitime d'un stresseur. L'exécution de ce dernier sur le réseau ou le serveur d'une autre personne (entraînant un déni de service pour les utilisateurs légitimes) s'avère illégale dans la plupart des pays.
Les booters, également connus sous le nom de services booters, sont des services d'attaque DDoS (déni de service distribué) à la demande proposés par certains criminels entreprenants afin de neutraliser des sites web et des réseaux. En d'autres termes, les booters désignent l'aspect illégal de l'utilisation des stresseurs IP.
Les stresseurs IP illégaux dissimulent souvent l'identité du serveur attaquant par l'intermédiaire de serveurs proxy, qui redirigent la connexion du pirate, tout en masquant son adresse IP.
Les booters se présentent astucieusement sous forme de services SaaS (logiciel en tant que service), souvent assortis d'une assistance par e-mail et de didacticiels YouTube. Ces forfaits peuvent proposer un service ponctuel, plusieurs attaques au cours d'une période définie, voire un accès « à vie ». Le tarif de base pour un forfait d'un mois démarre aux alentours de 19,99 USD et plusieurs moyens de paiement sont proposés : carte bancaire, Skrill, PayPal ou bitcoins (PayPal procédera toutefois au blocage des comptes concernés en cas d'intention malveillante avérée).
Un botnet représente un réseau d'ordinateurs infectés par des logiciels malveillants à l'insu de leurs propriétaires et utilisés dans le cadre d'attaques sur Internet. Les booters constituent des services DDoS à la demande (DDoS-for-hire).
Traditionnellement, les services booters s'appuyaient sur des botnets pour lancer leurs attaques, mais avec l'accroissement de la sophistication des booters, ces derniers se targuent désormais de disposer de serveurs plus puissants afin de « vous aider à lancer votre attaque », comme certains services booters l'affirment.
Les motivations à l'œuvre derrière ces attaques se révèlent nombreuses : jeunes néophytes (ou skiddies*) cherchant à développer leurs compétences en matière de piratage, rivalités commerciales, conflits idéologiques, terrorisme soutenu par un gouvernement ou simple extorsion. Les moyens de paiement privilégiés lors de ces tentatives d'extorsion demeurent PayPal et les cartes bancaires. Le Bitcoin est également utilisé, car il permet de dissimuler son identité. Du point de vue des pirates, toutefois, l'inconvénient de cette cryptomonnaie tient au fait que son utilisation reste moins répandue que d'autres modes de paiement.
* Le vocable skiddie (ou script kiddie, gamin utilisateur de scripts) constitue un terme péjoratif permettant de désigner les vandales informatiques plus ou moins dépourvus de véritables compétences en la matière et qui se reposent sur des scripts ou des programmes écrits par d'autres pour lancer des attaques sur les réseaux ou les sites web. Ils s'attaquent à des failles de sécurité relativement connues et faciles à exploiter, bien souvent sans tenir compte des conséquences.
Les attaques par amplification et par réflexion mettent à profit le trafic légitime pour submerger le réseau ou le serveur ciblé.
On parle d'usurpation d'adresse IP lorsqu'un pirate falsifie l'adresse IP de la victime et envoie un message à un tiers en se faisant passer pour cette dernière. Le tiers n'a aucun moyen de distinguer l'adresse IP de la victime de celle du pirate et répond directement à la victime. L'adresse IP de ce dernier reste dissimulée, à la fois aux yeux de la victime et à ceux du serveur tiers, selon un processus appelé réflexion.
La situation ressemble un peu à celle d'un pirate commandant des pizzas à livrer au domicile de la victime en se faisant passer pour cette dernière. La victime va en fin de compte devoir de l'argent à la pizzeria pour des pizzas qu'elle n'a jamais commandées.
L'amplification du trafic se produit lorsque le pirate force le serveur tiers à renvoyer les réponses à la victime avec autant de données que possible. Le rapport entre la taille des réponses et celle des requêtes se nomme facteur d'amplification. Plus cette amplification s'avère importante, plus les activités de la victime feront l'objet de perturbations. Le fonctionnement du serveur tiers se voit également perturbé en raison du volume de requêtes usurpées qu'il doit traiter. L'amplification NTP constitue un bon exemple de ce type d'attaque.
Les types d'attaques par booters les plus efficaces mettent à la fois en œuvre l'amplification et la réflexion. Le pirate simule tout d'abord l'adresse de la cible et envoie un message à un tiers. Lorsque ce dernier répond, le message est envoyé vers l'adresse falsifiée de la cible. La réponse se montre beaucoup plus volumineuse que le message initial, amplifiant ainsi la taille de l'attaque.
Le rôle d'un simple bot au sein d'une telle attaque s'apparente à celui d'un adolescent facétieux qui appellerait un restaurant en commandant le menu complet, puis demanderait qu'on le rappelle pour confirmer chaque plat du menu. Or, le numéro de rappel s'avère être celui de la victime, qui reçoit donc un appel du restaurant l'inondant d'informations qu'elle n'a pas demandées.
Les attaques sur la couche Application s'en prennent aux applications web et font souvent appel aux technologies les plus sophistiquées. Ces attaques exploitent une faiblesse de la pile de protocoles de la couche 7 en établissant tout d'abord une connexion avec la cible, puis en épuisant les ressources serveur en monopolisant les processus et les transactions. Elles sont difficiles à identifier et à atténuer. Citons l'attaque HTTP flood à titre d'exemple courant.
Les attaques protocolaires se concentrent sur l'exploitation d'une faiblesse située au sein des couches 3 ou 4 de la pile de protocoles. Ces attaques consomment l'intégralité de la capacité de traitement de la victime ou d'autres ressources essentielles (comme un pare-feu, par exemple), avec pour résultat une interruption du service. Les attaques de type SYN flood et Ping of Death en constituent quelques exemples.
Faciles à générer à l'aide de techniques d'amplification simples, les attaques volumétriques envoient de gros volumes de trafic dans le but de saturer la bande passante d'une victime. Il s'agit des formes d'attaque les plus courantes. Les attaques de type UDP flood, TCP flood, amplification NTP et amplification DNS en représentent quelques exemples.
L'objectif des attaques DoS ou DDoS consiste à consommer suffisamment de ressources serveur ou réseau pour que le système ne puisse plus répondre aux requêtes légitimes :
La personne qui acquiert ces services criminels passe par un site web « public » pour le paiement et la mise à disposition des instructions relatives à l'attaque. Il n'existe bien souvent aucune connexion identifiable avec l'infrastructure responsable de l'attaque proprement dite. L'intention criminelle peut donc se révéler particulièrement difficile à prouver. L'un des moyens permettant de retrouver les entités criminelles consiste à remonter la piste du paiement.