Qu’est-ce qu’un DDoS Booter/IP Stresser ? | Outils d’attaque DDoS

Vendus sous forme de services SaaS, les moyens nécessaires au lancement d'attaques DDoS sont désormais disponibles pour un prix modique grâce aux stresseurs IP.

Objectifs d’apprentissage

Après avoir lu cet article, vous saurez :

  • Découvrir les Booters et les IP Stressers
  • Découvrir les outils d’attaque DDoS
  • Découvrir le crime comme modèle commercial

Copier le lien de l'article

Qu'est-ce qu'un stresseur IP ?

Le terme « stresseur IP » désigne un outil conçu pour tester la robustesse d'un réseau ou d'un serveur. Il permet à l'administrateur d'exécuter un test de stress afin de déterminer si les ressources existantes (bande passante, processeur, etc.) sont suffisantes pour gérer une charge supplémentaire.

Le fait de tester son propre réseau ou son propre serveur constitue une utilisation légitime d'un stresseur. L'exécution de ce dernier sur le réseau ou le serveur d'une autre personne (entraînant un déni de service pour les utilisateurs légitimes) s'avère illégale dans la plupart des pays.

Que sont les services booters ?

Les booters, également connus sous le nom de services booters, sont des services d'attaque DDoS (déni de service distribué) à la demande proposés par certains criminels entreprenants afin de neutraliser des sites web et des réseaux. En d'autres termes, les booters désignent l'aspect illégal de l'utilisation des stresseurs IP.

Les stresseurs IP illégaux dissimulent souvent l'identité du serveur attaquant par l'intermédiaire de serveurs proxy, qui redirigent la connexion du pirate, tout en masquant son adresse IP.

Les booters se présentent astucieusement sous forme de services SaaS (logiciel en tant que service), souvent assortis d'une assistance par e-mail et de didacticiels YouTube. Ces forfaits peuvent proposer un service ponctuel, plusieurs attaques au cours d'une période définie, voire un accès « à vie ». Le tarif de base pour un forfait d'un mois démarre aux alentours de 19,99 USD et plusieurs moyens de paiement sont proposés : carte bancaire, Skrill, PayPal ou bitcoins (PayPal procédera toutefois au blocage des comptes concernés en cas d'intention malveillante avérée).

En quoi les services booters IP diffèrent-ils des botnets ?

Un botnet représente un réseau d'ordinateurs infectés par des logiciels malveillants à l'insu de leurs propriétaires et utilisés dans le cadre d'attaques sur Internet. Les booters constituent des services DDoS à la demande (DDoS-for-hire).

Traditionnellement, les services booters s'appuyaient sur des botnets pour lancer leurs attaques, mais avec l'accroissement de la sophistication des booters, ces derniers se targuent désormais de disposer de serveurs plus puissants afin de « vous aider à lancer votre attaque », comme certains services booters l'affirment.

Quelles motivations sous-tendent le lancement d'attaques par déni de service ?

Les motivations à l'œuvre derrière ces attaques se révèlent nombreuses : jeunes néophytes (ou skiddies*) cherchant à développer leurs compétences en matière de piratage, rivalités commerciales, conflits idéologiques, terrorisme soutenu par un gouvernement ou simple extorsion. Les moyens de paiement privilégiés lors de ces tentatives d'extorsion demeurent PayPal et les cartes bancaires. Le Bitcoin est également utilisé, car il permet de dissimuler son identité. Du point de vue des pirates, toutefois, l'inconvénient de cette cryptomonnaie tient au fait que son utilisation reste moins répandue que d'autres modes de paiement.

* Le vocable skiddie (ou script kiddie, gamin utilisateur de scripts) constitue un terme péjoratif permettant de désigner les vandales informatiques plus ou moins dépourvus de véritables compétences en la matière et qui se reposent sur des scripts ou des programmes écrits par d'autres pour lancer des attaques sur les réseaux ou les sites web. Ils s'attaquent à des failles de sécurité relativement connues et faciles à exploiter, bien souvent sans tenir compte des conséquences.

Que sont les attaques par amplification ou par réflexion ?

Les attaques par amplification et par réflexion mettent à profit le trafic légitime pour submerger le réseau ou le serveur ciblé.

On parle d'usurpation d'adresse IP lorsqu'un pirate falsifie l'adresse IP de la victime et envoie un message à un tiers en se faisant passer pour cette dernière. Le tiers n'a aucun moyen de distinguer l'adresse IP de la victime de celle du pirate et répond directement à la victime. L'adresse IP de ce dernier reste dissimulée, à la fois aux yeux de la victime et à ceux du serveur tiers, selon un processus appelé réflexion.

La situation ressemble un peu à celle d'un pirate commandant des pizzas à livrer au domicile de la victime en se faisant passer pour cette dernière. La victime va en fin de compte devoir de l'argent à la pizzeria pour des pizzas qu'elle n'a jamais commandées.

L'amplification du trafic se produit lorsque le pirate force le serveur tiers à renvoyer les réponses à la victime avec autant de données que possible. Le rapport entre la taille des réponses et celle des requêtes se nomme facteur d'amplification. Plus cette amplification s'avère importante, plus les activités de la victime feront l'objet de perturbations. Le fonctionnement du serveur tiers se voit également perturbé en raison du volume de requêtes usurpées qu'il doit traiter. L'amplification NTP constitue un bon exemple de ce type d'attaque.

Les types d'attaques par booters les plus efficaces mettent à la fois en œuvre l'amplification et la réflexion. Le pirate simule tout d'abord l'adresse de la cible et envoie un message à un tiers. Lorsque ce dernier répond, le message est envoyé vers l'adresse falsifiée de la cible. La réponse se montre beaucoup plus volumineuse que le message initial, amplifiant ainsi la taille de l'attaque.

Le rôle d'un simple bot au sein d'une telle attaque s'apparente à celui d'un adolescent facétieux qui appellerait un restaurant en commandant le menu complet, puis demanderait qu'on le rappelle pour confirmer chaque plat du menu. Or, le numéro de rappel s'avère être celui de la victime, qui reçoit donc un appel du restaurant l'inondant d'informations qu'elle n'a pas demandées.

Quelles sont les catégories d'attaques par déni de service ?

Les attaques sur la couche Application s'en prennent aux applications web et font souvent appel aux technologies les plus sophistiquées. Ces attaques exploitent une faiblesse de la pile de protocoles de la couche 7 en établissant tout d'abord une connexion avec la cible, puis en épuisant les ressources serveur en monopolisant les processus et les transactions. Elles sont difficiles à identifier et à atténuer. Citons l'attaque HTTP flood à titre d'exemple courant.

Les attaques protocolaires se concentrent sur l'exploitation d'une faiblesse située au sein des couches 3 ou 4 de la pile de protocoles. Ces attaques consomment l'intégralité de la capacité de traitement de la victime ou d'autres ressources essentielles (comme un pare-feu, par exemple), avec pour résultat une interruption du service. Les attaques de type SYN flood et Ping of Death en constituent quelques exemples.

Faciles à générer à l'aide de techniques d'amplification simples, les attaques volumétriques envoient de gros volumes de trafic dans le but de saturer la bande passante d'une victime. Il s'agit des formes d'attaque les plus courantes. Les attaques de type UDP flood, TCP flood, amplification NTP et amplification DNS en représentent quelques exemples.

Quelles sont les attaques par déni de service les plus courantes ?

L'objectif des attaques DoS ou DDoS consiste à consommer suffisamment de ressources serveur ou réseau pour que le système ne puisse plus répondre aux requêtes légitimes :

  • SYN flood : ce type d'attaque adresse une succession de requêtes SYN au système de la cible afin de tenter de le surcharger. Elle exploite les faiblesses de la séquence de connexion TCP, connue sous le nom de three-way handshake (connexion en trois étapes).
  • HTTP flood : un type d'attaque s'appuyant sur des requêtes HTTP GET ou POST pour attaquer le serveur web.
  • UDP flood : un type d'attaque surchargeant des ports aléatoires de la cible à l'aide de paquets IP contenant des datagrammes UDP.
  • Ping of Death : ces attaques impliquent l'envoi délibéré de paquets IP plus volumineux que ceux autorisés par le protocole IP. La fragmentation TCP/IP traite ces gros paquets en les décomposant en paquets IP plus petits. Ces derniers entraînent souvent une panne des serveurs de plus ancienne génération s'ils dépassent les 65 536 octets autorisés une fois réassemblés. Cette faille a été en grande partie corrigée dans les systèmes plus récents. Le ping flood constitue l'incarnation actuelle de cette attaque.
  • Attaques du protocole ICMP : les attaques menées contre le protocole ICMP tirent parti du fait que chaque requête doit être traitée par le serveur avant l'envoi d'une réponse. Les attaques Smurf, ICMP flood et ping flood exploitent ce processus en saturant le serveur de requêtes ICMP sans attendre la réponse.
  • Slowloris : inventée par Robert « RSnake » Hansen, cette attaque tente de maintenir ouvertes plusieurs connexions au serveur web cible, et ce le plus longtemps possible. Au bout d'un certain temps, les tentatives de connexion supplémentaires des clients sont refusées.
  • DNS flood : le pirate inonde les serveurs DNS d'un domaine particulier afin de tenter de perturber la résolution DNS de ce domaine.
  • Attaque Teardrop : une attaque qui consiste à envoyer des paquets fragmentés à l'appareil visé. Un bug dans le protocole TCP/IP empêche le serveur de les réassembler, entraînant ainsi un chevauchement des paquets. L'appareil ciblé tombe alors en panne.
  • Amplification DNS : cette attaque reposant sur le processus de réflexion transforme les requêtes légitimes adressées aux serveurs DNS (Domain Name System) en requêtes beaucoup plus volumineuses, consommant au passage les ressources des serveurs.
  • Amplification NTP : une attaque DDoS volumétrique fondée sur le processus de réflexion par l'intermédiaire de laquelle un attaquant exploite une fonctionnalité du serveur NTP (Network Time Protocol) afin de submerger un réseau ou un serveur ciblé sous une énorme quantité de trafic UDP amplifié.
  • Réflexion SNMP : le pirate falsifie l'adresse IP de la victime et envoie de nombreuses requêtes SNMP (Simple Network Management Protocol) aux appareils. Le volume des réponses peut alors submerger la victime.
  • SSDP : une attaque SSDP (Simple Service Discovery Protocol) désigne une attaque DDoS reposant sur le processus de réflexion et exploitant les protocoles réseau UPnP (Universal Plug and Play) afin d'envoyer une énorme quantité de trafic amplifié à une victime ciblée.
  • Attaque Smurf : cette attaque s'appuie sur un programme malveillant appelé Smurf. Elle implique la diffusion, sur un réseau informatique et à l'aide d'une adresse de diffusion IP, d'un grand nombre de paquets ICMP (Internet Control Message Protocol) comportant l'adresse IP usurpée de la victime.
  • Attaque Fraggle : cette attaque similaire à l'attaque Smurf repose sur le protocole UDP plutôt qu'ICMP.

Que faire en cas de tentative d'extorsion par attaque DDoS ?

  • Le datacenter et le FAI doivent en être informés immédiatement.
  • Le paiement d'une rançon ne doit jamais être considéré comme une option envisageable, car son versement entraîne souvent une augmentation des demandes de rançon.
  • Les services de police doivent être prévenus.
  • Le trafic réseau doit faire l'objet d'une surveillance.
  • Installez des services de protection contre les attaques DDoS, comme l'offre gratuite de Cloudflare.

Comment atténuer les attaques de botnets ?

  • Le serveur doit disposer de pare-feu installés.
  • La sécurité doit être à jour, avec les derniers correctifs installés.
  • Le système doit être équipé d'un logiciel antivirus, exécuté selon un calendrier déterminé.
  • Les journaux du système doivent faire l'objet de contrôles réguliers.
  • Les serveurs d'e-mail inconnus ne doivent pas être autorisés à distribuer du trafic SMTP.

Pourquoi la piste des services booters se montre-t-elle difficile à remonter ?

La personne qui acquiert ces services criminels passe par un site web « public » pour le paiement et la mise à disposition des instructions relatives à l'attaque. Il n'existe bien souvent aucune connexion identifiable avec l'infrastructure responsable de l'attaque proprement dite. L'intention criminelle peut donc se révéler particulièrement difficile à prouver. L'un des moyens permettant de retrouver les entités criminelles consiste à remonter la piste du paiement.

Service commercial