Qu’est-ce qu’un DDoS Booter/IP Stresser ? | Outils d’attaque DDoS

Les attaques DDoS, regroupées sous la forme de services SaaS, sont disponibles à un prix minime.

Share facebook icon linkedin icon twitter icon email icon

DDoS Booter

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Découvrir les Booters et les IP Stressers
  • Découvrir les outils d’attaque DDoS
  • Découvrir le crime comme modèle commercial

Qu’est-ce qu’un IP Stresser ?

Un IP stresser est un outil conçu pour tester la robustesse d'un réseau ou d'un serveur. L'administrateur peut exécuter un test de stress pour déterminer si les ressources existantes (bande passante, CPU, etc.) sont suffisantes pour gérer une charge supplémentaire.

Tester son propre réseau ou serveur constitue une utilisation légitime d'un stresser. L'exécuter contre le réseau ou le serveur de quelqu'un d'autre, entraînant un déni de service pour leurs utilisateurs légitimes, est illégal dans la plupart des pays.

Que sont les services booter ?

Les Booters, également connus sous le nom de services de booters, sont des services d'attaque à la demande DDoS (Distributed-Denial-of-Service) proposés par des criminels entrepreneurs afin de neutraliser des sites web et des réseaux. En d'autres termes, les booters représentent l'utilisation illégitime des IP stressers.

Les IP stressers illégaux obscurcissent souvent l'identité du serveur attaquant en utilisant des serveurs proxy. Le proxy redirige la connexion de l'attaquant tout en masquant l'adresse IP de l'attaquant

Les booters se présentent habilement sous la forme d'un SaaS (Software-as-a-Service), souvent avec support par e-mail et tutoriels YouTube. Les forfaits peuvent offrir un service unique, plusieurs attaques au cours d'une période définie, voire un accès « à vie ». Un forfait de base d'un mois peut coûter la modique somme de 19,99 $. Plusieurs options de paiement sont possibles comme Skrill, PayPal ou Bitcoin (bien que PayPal annule les comptes si une intention malveillante peut être prouvée).

En quoi les IP booters sont-ils différents des botnets ?

Un botnet est un réseau d'ordinateurs dont les propriétaires ignorent que leurs ordinateurs ont été infectés par des logiciels malveillants et sont utilisés dans des attaques Internet. Les booters sont des services DDoS à louer.

Les booters utilisaient traditionnellement des botnets pour lancer des attaques, mais ils deviennent de plus en plus sophistiqués et se vantent de disposer de serveurs plus puissants pour, comme certains services booter l’affirment, « vous aider à lancer votre attaque ».

Quelles sont les motivations derrière les attaques par déni de service ?

Les motivations des attaques par déni de service sont nombreuses : skiddies* développant leurs compétences de piratage, rivalités commerciales, conflits idéologiques, terrorisme soutenu par un gouvernement ou extorsion. PayPal et les cartes de crédit sont les modes de paiement les plus visées par les attaques d'extorsion. Le Bitcoin est également utilisé parce qu'il offre la possibilité de dissimuler l'identité. L'inconvénient du Bitcoin, du point de vue des attaquants, tient au fait que son utilisation est moins répandue que d'autres formes de paiement.

* Script kiddie, ou skiddie, est un terme péjoratif pour désigner des hackers Internet peu qualifiés qui utilisent des scripts ou des programmes écrits par d'autres pour lancer des attaques sur les réseaux ou les sites web. Ils s'attaquent à des failles de sécurité relativement connues et faciles à exploiter, souvent sans tenir compte des conséquences.

Que sont les attaques par amplification ou par réflexion ?

Les attaques par réflexion et par amplification utilisent le trafic légitime pour submerger le réseau ou le serveur ciblé.

Lorsqu'un attaquant falsifie l'adresse IP de la victime et envoie un message à un tiers en se faisant passer pour la victime, cela s'appelle une usurpation d'adresse IP. Le tiers n'a aucun moyen de distinguer l'adresse IP de la victime de celle de l'attaquant. Il répond directement à la victime. L'adresse IP de l'attaquant est masquée à la fois à la victime et au serveur tiers. Ce processus est s'appelle réflexion.

Tout se passe comme si l'attaquant commandait des pizzas à livrer au domicile de la victime en se faisant passer pour la victime. La victime va en fin de compte devoir de l'argent à la pizzeria pour des pizzas qu'elle n'a pas commandées.

L'amplification du trafic se produit lorsque l'attaquant force le serveur tiers à renvoyer des réponses à la victime avec autant de données que possible. Le rapport entre les tailles des réponses et des requêtes est appelé facteur d'amplification. Plus cette amplification est importante, plus la victime subit une perturbation potentielle. Le serveur tiers est également perturbé en raison du volume de requêtes usurpées qu'il doit traiter. L'Amplification NTP est un exemple d'une telle attaque.

Les types d'attaques par booters les plus efficaces utilisent à la fois l'amplification et la réflexion. Tout d'abord, l'attaquant simule l'adresse de la cible et envoie un message à un tiers. Lorsque le tiers répond, le message est envoyé à l'adresse falsifiée de la cible. La réponse est beaucoup plus grande que le message d'origine, ce qui amplifie la taille de l'attaque.

Le rôle d'un seul bot dans une telle attaque peut être comparé à un adolescent malveillant qui appellerait un restaurant pour commander la totalité du menu et qui demanderait à être rappelé pour confirmer chacun des plats qui le composent. Sauf que le numéro de rappel est celui de la victime. La victime ciblée reçoit alors un appel du restaurant avec un flot d'informations qu'elle n'a pas demandées.

Quelles sont les catégories d’attaques par déni de service ?

Les attaques de la couche application s'en prennent aux applications web et sont souvent très sophistiquées. Elles attaques exploitent une faiblesse de la couche 7 de la pile de protocoles en établissant d'abord une connexion avec la cible, puis en épuisant les ressources du serveur par monopolisation des processus et des transactions. Ces attaques sont difficiles à identifier et à atténuer. Citons à titre d'exemple l'attaque Flood HTTP.

Les attaques basées sur un protocole se concentrent sur l'exploitation d'une faiblesse des couches 3 ou 4 de la pile de protocoles. De telles attaques consomment toute la capacité de traitement de la victime ou d autres ressources critiques (un pare - feu, par exemple), ce qui entraîne une interruption de service. Citons à titre d'exemple Syn Flood et Ping of Death.

Les attaques volumétriques envoient des volumes de trafic élevés dans le but de saturer la bande passante d'une victime. Les attaques volumétriques sont faciles à générer en utilisant des techniques d'amplification simples, ce sont donc les formes d'attaque les plus courantes. Citons à titre d'exemple UDP Flood , TCP Flood, NTP Amplification et DNS Amplification .

Quelles sont les attaques par déni de service fréquentes ?

L'objectif des attaques DoS ou DDoS est de consommer suffisamment de ressources serveur ou réseau pour que le système ne réponde plus aux demandes légitimes :

  • SYN Flood : une succession de requêtes SYN est dirigée vers le système cible pour tenter de le submerger. Cette attaque exploite les faiblesses de la séquence de connexion TCP, connue sous le nom de three-way handshake (handshake à trois voies).
  • HTTP Flood : type d'attaque dans lequel des requêtes HTTP GET ou POST sont utilisées pour attaquer le serveur web.
  • UDP Flood: type d'attaque dans lequel des ports aléatoires de la cible sont submergés par des paquets IP contenant des datagrammes UDP.
  • Ping of Death : les attaques impliquent l'envoi délibéré de paquets IP plus grands que ceux autorisés par le protocole IP. La fragmentation TCP/IP traite les gros paquets en les décomposant en petits paquets IP. Si les paquets, une fois assemblés, sont plus grands que les 65 536 octets autorisés, les serveurs hérités souvent plantent. Ce problème a été largement résolu dans les nouveaux systèmes. Ping flood est l'incarnation actuelle de ce type d'attaque.
  • Attaques de protocole ICMP : Les attaques au niveau du protocole ICMP utilisent le fait que chaque requête nécessite un traitement par le serveur avant qu'une réponse ne soit renvoyée. Les attaques du type Smurf attack, ICMP flood et ping flood en profitent en saturant le serveur de requêtes ICMP sans attendre la réponse.
  • Slowloris : inventée par Robert « RSnake » Hansen, cette attaque tente de garder ouvertes, aussi longtemps que possible, plusieurs connexions avec le serveur web cible. Conséquemment, les tentatives de connexion supplémentaires des clients sont refusées.
  • DNS Flood : l'attaquant sature les serveurs DNS d'un domaine particulier dans le but de perturber la résolution DNS pour ce domaine
  • Teardrop Attack : attaque qui implique l'envoi de paquets fragmentés au périphérique ciblé. Un bug dans le protocole TCP/IP empêche le serveur de réassembler ces paquets, provoquant le chevauchement des paquets et entraînant le plantage de l'appareil ciblé.
  • Amplification DNS : Cette attaque basée sur la réflexion transforme les requêtes légitimes adressées aux serveurs DNS (Domain Name System) en requêtes beaucoup plus volumineuses, consommant au passage les ressources des serveurs.
  • NTP Amplification : attaque DDoS volumétrique par réflexion dans laquelle un attaquant exploite une fonctionnalité du serveur NTP (Network Time Protocol) afin de submerger un réseau ou un serveur ciblé avec une quantité de trafic UDP amplifiée.
  • Réflexion SNMP : l'attaquant falsifie l'adresse IP de la victime et envoie plusieurs requêtes SNMP (Simple Network Management Protocol) aux périphériques. Le volume des réponses peut submerger la victime.
  • SSDP : une attaque SSDP (Simple Service Discovery Protocol) est une attaque DDoS par réflexion qui exploite les protocoles réseau UPnP (Universal Plug and Play) afin d’envoyer une quantité de trafic amplifiée à une victime ciblée.
  • Smurf Attack : cette attaque utilise un logiciel malveillant appelé smurf. Un grand nombre de paquets ICMP (Internet Control Message Protocol) avec l'adresse IP usurpée de la victime sont diffusés sur un réseau informatique à l'aide d'une adresse de diffusion IP.
  • Fraggle Attack : une attaque similaire à l'attaque Smurf, sauf qu'elle utilise UDP plutôt qu'ICMP.

Que faire en cas d’extorsion par attaque DDoS ?

  • Informez immédiatement le datacenter et le FAI.
  • Le paiement d'une rançon ne doit jamais être une option : un paiement entraîne souvent une augmentation des demandes de rançon
  • Prévenez les forces de l’ordre
  • Surveillez le trafic réseau
  • Accédez aux offres de protection DDoS, telles que l’offre gratuite de Cloudflare

Comment atténuer les attaques botnet ?

  • Des pare-feux doivent être installés sur le serveur
  • Les patches de sécurité doivent être à jour
  • Le logiciel anti-virus doit être exécuté à temps
  • Les journaux du système doivent être vérifiés régulièrement
  • Les serveurs d’e-mail inconnus ne doivent pas être autorisés à distribuer du trafic SMTP

Pourquoi les services booter sont difficiles à tracer ?

La personne qui achète ces services criminels utilise un site web frontal pour le paiement et les instructions relatives à l'attaque. Très souvent, il n'y a pas de connexion identifiable avec le backend qui lance l'attaque réelle. Par conséquent, l'intention criminelle peut être difficile à prouver. L'un des moyens permettant de retrouver les entités criminelles consiste à remonter la piste de paiement.