Le canon à ions à haute orbite permet aux attaquants de lancer des attaques DoS ou DDoS via le trafic HTTP.
Cet article s'articule autour des points suivants :
Contenu associé
Low Orbit Ion Cannon
R U Dead Yet? (R.U.D.Y.)
Atténuation DDoS
L'univers du botnet DDoS
Pare-feu d'applications web (WAF)
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le canon à ions à haute orbite est un outil populaire utilisé pour lancer des attaques DoS et DDoS, qui visent à saturer le réseau d'une victime avec du trafic web et à désactiver un site ou un service Web. Il s'agit d'un logiciel libre facilement accessible, développé par le groupe hacktiviste Anonymous, qui succède à un ancien outil de DDoS appelé canon à ion à basse orbite (les deux noms proviennent d'armes de jeux vidéo de science-fiction). Alors que la plupart des outils logiciels malveillants requièrent un haut niveau de compétences techniques, le HOIC offre une interface simple et conviviale et peut être activé en un clic.
Bien qu'il soit utilisé dans de nombreuses attaques malveillantes et illégales, le HOIC est toujours disponible légalement car il a des applications comme outil de test légitime pour les utilisateurs qui veulent mettre en œuvre un « test de résistance » sur leurs propres réseaux.
Le HOIC fonctionne via une attaque DDoS de la couche application par saturation de HTTP, submergeant le serveur d'une victime avec des requêtes HTTP « GET » et « POST » dans le but de surcharger la capacité de requête du serveur. Pour les attaques avancées, des scripts personnalisés peuvent être utilisés pour cibler plusieurs sous-domaines du site de la victime en même temps. Le HOIC peut également cibler jusqu'à 256 sites simultanément, permettant ainsi aux utilisateurs de coordonner des attaques simultanées. Cette approche « au coup par coup », qui consiste à ce que plusieurs pirates ciblent plusieurs pages et domaines différents en même temps, peut rendre les efforts de détection et d'atténuation beaucoup plus difficiles.
Les scripts de rappel intégrés aident également les pirates à éviter d'être détectés. En plus des scripts de rappel, de nombreux utilisateurs de HOIC utilisent également des proxies suédois pour brouiller leur localisation (on pense qu'ils ont choisi la Suède en raison des lois strictes de ce pays en matière de confidentialité sur Internet).
Le lancement d'une attaque sérieuse avec le HOIC nécessite une certaine coordination, car il faut environ 50 utilisateurs différents pour lancer l'attaque sur la même cible simultanément. Anonymous a démontré l'efficacité de la HOIC en 2012 en lançant avec succès des attaques contre plusieurs grandes maisons de disques, la RIAA et même le FBI. Il s'agissait de l'une des plus grandes attaques DDoS de l'histoire, qui a nécessité l'utilisation simultanée du HOIC par environ 27 000 ordinateurs.
Plusieurs stratégies existent pour atténuer les attaques par saturation de HTTP provenant du HOIC. Le filtrage de l'IP Reputation (IPRF) est une mesure préventive qui compare les adresses IP entrantes avec les bases de données d'adresses IP malveillantes connues et maintient leur trafic hors du réseau. Un pare-feu applicatif web (WAF) peut définir des règles de limitation du taux qui réduiront le trafic des adresses IP qui effectuent des quantités suspectes de demandes. Il existe également des méthodes permettant de vérifier la légitimité d'un client web, comme la vérification du captcha et une méthode plus sophistiquée qui demande aux navigateurs web de résoudre un simple problème mathématique sans interrompre l'expérience de l'utilisateur.
La protection contre les attaques HOIC devrait être incluse dans la plupart des produits et services de protection DDoS. Un plan de protection DDoS complet qui inclut un WAF comme celui offert par Cloudflare, offre une défense solide contre les attaques de la couche 7, telles que celles lancées par le HOIC.