Qu’est-ce qu’un DDoS Booter/IP Stresser ? | Outils d’attaque DDoS

Les attaques DDoS, regroupées sous la forme de services SaaS, sont disponibles à un prix minime.

Share facebook icon linkedin icon twitter icon email icon

DDoS Booter

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Découvrir les Booters et les IP Stressers
  • Découvrir les outils d’attaque DDoS
  • Découvrir le crime comme modèle commercial

Qu’est-ce qu’un IP Stresser ?

Un IP Stresser est un outil conçu pour tester la résistance d’un réseau ou d’un serveur. L'administrateur peut exécuter un test de stress afin de déterminer si les ressources existantes (bande passante, processeur, etc.) sont suffisantes pour gérer une charge supplémentaire.

Tester son propre réseau ou serveur est une utilisation légitime d’un stresser. L'exécuter sur le réseau ou le serveur d'une autre personne, entraînant un déni de service pour leurs utilisateurs légitimes, est illégal dans la plupart des pays.

Que sont les services booter ?

Les booters, aussi connus sous le nom de services booter, sont des services d’attaque DDoS (déni de service distribué) à la demande offerts par des criminels entrepreneurs pour neutraliser des sites Web et des réseaux. En d'autres termes, les booters sont l'utilisation illégitime des IP stressers.

Les IP stressers illégaux masquent souvent l'identité du serveur d’attaque en utilisant des serveurs proxy. Le proxy redirige la connexion de l’attaquant tout en masquant son adresse IP.

Les booters sont présentés sous forme de SaaS (logiciel en tant que service), souvent avec une assistance par e-mail et des didacticiels YouTube. Les forfaits peuvent offrir un service ponctuel, plusieurs attaques dans une période définie ou même un accès « à vie ». Un forfait de base d'un mois peut coûter seulement 19,99 $. Les options de paiement peuvent inclure les cartes de crédit, Skrill, PayPal ou Bitcoin (bien que PayPal annule les comptes si une intention malveillante peut être prouvée).

En quoi les IP booters sont-ils différents des botnets ?

Un botnet est un réseau d'ordinateurs dont les propriétaires ignorent que leurs ordinateurs ont été infectés par des logiciels malveillants et sont utilisés dans des attaques Internet. Les booters sont des services DDoS-for-hire.

Les booters utilisaient traditionnellement des botnets pour lancer des attaques, mais ils deviennent de plus en plus sophistiqués et se vantent de disposer de serveurs plus puissants pour, comme certains services booter l’affirment, « vous aider à lancer votre attaque ».

Quelles sont les motifs derrière les attaques par déni de service ?

Les motivations des attaques par déni de service sont nombreuses : skiddies* développant leurs compétences en piratage informatique, rivalités commerciales, conflits idéologiques, terrorisme parrainé par le gouvernement ou extorsion de fonds. PayPal et les cartes de crédit sont les méthodes de paiement préférées pour les attaques par extorsion. Le Bitcoin est également utilisé parce qu’il offre la possibilité de dissimuler une identité. Du point de vue des pirates, l’un des inconvénients du Bitcoin est qu’il est moins souvent utilisé par rapport aux autres modes de paiement.

*Script kiddie, ou skiddie, est un terme péjoratif pour désigner des vandales Internet relativement peu qualifiés qui utilisent des scripts ou des programmes écrits par d'autres personnes pour lancer des attaques sur des réseaux ou des sites Web. Ils s'attaquent à des vulnérabilités de sécurité relativement connues et faciles à exploiter, souvent sans tenir compte des conséquences.

Que sont les attaques par amplification ou par réflexion ?

Les attaques par réflexion et par amplification utilisent le trafic légitime pour submerger le réseau ou le serveur ciblé.

Lorsqu'un pirate falsifie l'adresse IP de la victime et envoie un message à un tiers en se faisant passer pour la victime, il s'agit d'une usurpation d'adresse IP. Le tiers n'a aucun moyen de distinguer l'adresse IP de la victime de celle du pirate. Il répond directement à la victime. L'adresse IP du pirate est masquée à la fois pour la victime et le serveur tiers. Ce processus est appelé réflexion.

C’est comme si le pirate commandait des pizzas chez la victime tout en se faisant passer pour la victime. La victime doit maintenant de l’argent à la pizzeria pour une pizza qu’elle n’a pas commandée.

L'amplification du trafic se produit lorsque le pirate force le serveur tiers à renvoyer les réponses à la victime avec autant de données que possible. Le rapport entre les tailles de réponse et de demande est appelé facteur d'amplification. Plus cette amplification est importante, plus la victime peut être perturbée. Le serveur tiers est également perturbé en raison du volume de demandes usurpées qu'il doit traiter. L'amplification NTP est un exemple d'une telle attaque.

Les types d'attaques booter les plus efficaces utilisent à la fois l'amplification et la réflexion. Tout d’abord, le pirate simule l’adresse de la cible et envoie un message à un tiers. Lorsque le tiers répond, le message est envoyé à l'adresse falsifiée de la cible. La réponse est beaucoup plus grande que le message d'origine, amplifiant ainsi la taille de l'attaque.

Le rôle d'un simple bot dans une telle attaque s'apparente à celui d'un adolescent malveillant qui appellerait un restaurant en commandant le menu complet, puis demanderait un rappel pour confirmer chaque élément du menu. Sauf que le numéro de rappel est celui de la victime. En conséquence, la victime ciblée reçoit un appel du restaurant avec des tonnes d’informations qu’elle n’a pas demandées.

Quelles sont les catégories d’attaques par déni de service ?

Les attaques de la couche d’application s'attaquent aux applications Web et font souvent appel aux technologies les plus sophistiquées. Ces attaques exploitent une faiblesse de la pile de protocoles de la couche 7 en établissant d’abord une connexion avec la cible, puis en épuisant les ressources serveur en monopolisant les processus et les transactions. Elles sont difficiles à identifier à et atténuer. Un exemple courant est une attaque par saturation HTTP.

Les attaques basées sur le protocole se concentrent sur l'exploitation d'une faiblesse dans les couches 3 ou 4 de la pile de protocoles. Ces attaques consomment toute la capacité de traitement de la victime ou d'autres ressources critiques (un pare-feu, par exemple), ce qui entraîne une interruption du service. Syn Flood et Ping of Death en sont quelques exemples.

Les attaques volumétriques envoient de gros volumes de trafic dans le but de saturer la bande passante d’une victime. Les attaques volumétriques sont faciles à générer en utilisant des techniques d'amplification simples. Ce sont donc les formes d'attaque les plus courantes. Les attaques UDP Flood, TCP Flood, l'amplification NTP et l'amplification DNS en sont quelques exemples.

Quelles sont les attaques par déni de service fréquentes ?

L'objectif des attaques DoS ou DDoS est de consommer suffisamment de ressources serveur ou réseau pour que le système ne réponde plus aux demandes légitimes :

  • SYN Flood : Une succession de requêtes SYN est dirigée vers le système de la cible dans le but de la submerger. Cette attaque exploite les faiblesses de la séquence de connexion TCP, appelée three-way handshake (établissement de liaison en trois étapes).
  • Saturation HTTP : Type d'attaque dans lequel des requêtes HTTP GET ou POST sont utilisées pour attaquer le serveur Web.
  • UDP Flood : Type d'attaque dans lequel des ports aléatoires de la cible sont submergés par des paquets IP contenant des datagrammes UDP.
  • Ping of Death : Attaques impliquant l'envoi délibéré de paquets IP plus volumineux que ceux autorisés par le protocole IP. La fragmentation TCP/IP traite les gros paquets en les décomposant en paquets IP plus petits. Si les paquets, une fois rassemblés, dépassent les 65 536 octets autorisés, les serveurs legacy tombent souvent en panne. Ceci a été en grande partie corrigé dans les systèmes plus récents. Ping flood est l'incarnation actuelle de cette attaque.
  • Attaques du protocole ICMP : Les attaques sur le protocole ICMP profitent du fait que chaque demande doit être traitée par le serveur avant qu'une réponse ne soit renvoyée. Les attaques Schtroumpf, ICMP Flood et Ping Flood en tirent parti en saturant le serveur de requêtes ICMP sans attendre la réponse.
  • Slowloris : Inventée par Robert 'RSnake' Hansen, cette attaque tente de conserver plusieurs connexions au serveur Web ciblé ouvertes et aussi longtemps que possible. Au bout d’un certain temps, les tentatives de connexion supplémentaires des clients seront refusées.
  • Saturation DNS : Le pirate sature les serveurs DNS d’un domaine particulier dans le but de perturber la résolution DNS de ce domaine
  • Attaque Teardrop : L'attaque qui consiste à envoyer des paquets fragmentés au périphérique ciblé. Un bogue dans le protocole TCP/IP empêche le serveur de réassembler de tels paquets, ce qui entraîne un chevauchement des paquets. Le périphérique ciblé tombe en panne.
  • Amplification DNS : Cette attaque par réflexion transforme les requêtes légitimes adressées aux serveurs DNS (Domain Name System)) en des requêtes beaucoup plus volumineuses, consommant au maximum les ressources serveur.
  • Amplification NTP : Attaque DDoS volumétrique par réflexion dans laquelle un pirate exploite une fonctionnalité de serveur NTP (Network Time Protocol) afin de submerger un réseau ou un serveur ciblé avec une quantité de trafic UDP amplifiée.
  • Réflexion SNMP : Le pirate falsifie l’adresse IP de la victime et envoie plusieurs requêtes SNMP (Simple Network Management Protocol) aux périphériques. Le volume des réponses peut submerger la victime.
  • SSDP : Une attaque SSDP (Simple Service Discovery Protocol) est une attaque DDoS par réflexion qui exploite les protocoles réseau UPnP (Universal Plug and Play) afin d’envoyer une quantité de trafic amplifiée à une victime ciblée.
  • Attaque Schtroumpf (par rebond) : Cette attaque utilise un malware appelé smurf (schtroumpf). Un grand nombre de paquets ICMP (Internet Control Message Protocol) avec l'adresse IP usurpée de la victime sont diffusés sur un réseau informatique à l'aide d'une adresse IP de diffusion.
  • Attaque Fraggle : Une attaque similaire à smurf, sauf qu’elle utilise UDP plutôt que ICMP.

Que faire en cas d’extorsion par attaque DDoS ?

  • Informez immédiatement le datacenter et le FAI.
  • Le paiement d'une rançon ne doit jamais être une option : un paiement entraîne souvent une augmentation des demandes de rançon
  • Prévenez les forces de l’ordre
  • Surveillez le trafic réseau
  • Recherchez des offres de protection DDoS, telles que l’offre gratuite de Cloudflare

Comment atténuer les attaques botnet ?

  • Des pare-feux doivent être installés sur le serveur
  • Les patches de sécurité doivent être à jour
  • Le logiciel anti-virus doit être exécuté à temps
  • Les journaux du système doivent être vérifiés régulièrement
  • Les serveurs d’e-mail inconnus ne doivent pas être autorisés à distribuer du trafic SMTP

Pourquoi les services booter sont difficiles à tracer ?

La personne qui achète ces services criminels utilise un site Web front-end pour le paiement et les instructions relatives à l'attaque. Très souvent, il n’y a pas de lien identifiable avec le serveur qui lance l’attaque. Par conséquent, l’intention criminelle peut être difficile à prouver. Suivre la trace du paiement est un moyen de traquer les entités criminelles.