Les attaquants surchargent un serveur web et coupent l'accès à un site web par des attaques DoS et DDoS.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce qu'une attaque DDoS ?
High Orbit Ion Cannon
Logiciels malveillants
Atténuation DDoS
Qu’est-ce que l ’usurpation d’adresse IP ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Les attaques par déni de service (DoS) et par déni de service distribué (DDoS) sont des tentatives malveillantes de perturber le fonctionnement normal d'un serveur, d'un service ou d'un réseau ciblé en l'inondant littéralement de trafic Internet.
Les attaques DoS commettent leur méfait en envoyant le trafic malveillant depuis une seule machine, généralement un ordinateur. Elles peuvent être très simples. Une attaque de type ping flood basique peut être réalisée en envoyant plus de requêtes ICMP (ping) à un serveur ciblé que sa capacité efficace de traitement et de réponse.
Les attaques DDoS, quant à elles, utilisent plusieurs machines pour envoyer du trafic malveillant à leur cible. Souvent, ces machines font partie d'un botnet, un ensemble d'ordinateurs ou d'autres appareils infectés par des malware et qui peuvent donc être contrôlés à distance par un pirate. Il peut également arriver que plusieurs pirates lancent des attaques DDoS en collaborant pour envoyer du trafic à partir de leurs ordinateurs individuels.
Les attaques DDoS sont plus fréquentes et occasionnent plus de dégâts à l'heure de l'Internet moderne pour deux raisons. Tout d'abord, les outils de sécurité modernes ont évolué de manière à stopper certaines attaques DoS ordinaires. De plus, les outils d'attaque DDoS sont devenus relativement bon marché et faciles à utiliser.
Différents outils peuvent être adaptés pour lancer des attaques DoS/DDoS, et d'autres sont explicitement conçus à cette fin. Les outils appartenant à la première catégorie sont souvent appelés des « stresseurs », qui sont des outils dont le but déclaré est d'aider les chercheurs en sécurité et les ingénieurs réseau à réaliser des tests de stress sur leurs propres réseaux, mais qui peuvent également être utilisés pour effectuer de véritables attaques.
Certains outils d'attaque spécialisés se concentrent uniquement sur une couche particulière du modèle OSI, et d'autres sont conçus pour autoriser plusieurs vecteurs d'attaque. Les catégories des outils d'attaque sont les suivantes :
Comme leur nom l'indique, ces types d'outils d'attaque utilisent un faible volume de données et opèrent très lentement. Conçus pour envoyer de petites quantités de données à travers plusieurs connexions afin de maintenir les ports d'un serveur ciblé ouverts aussi longtemps que possible, ces outils continuent d'utiliser les ressources serveur jusqu'à ce que le serveur ciblé soit incapable de maintenir des connexions supplémentaires. Typiquement, les attaques faibles et lentes peuvent parfois être efficaces même si elles n'utilisent pas de système distribué comme un botnet, et sont généralement utilisées par une machine unique.
Ces outils ciblent la couche 7 du modèle OSI, où les pages Web sont fournies en réponses aux requêtes Internet telles que HTTP. En utilisant une attaque de type HTTP flood pour submerger une cible avec des requêtes HTTP GET et POST, un acteur malveillant peut lancer un trafic d'attaque difficile à distinguer des requêtes normales effectuées par des visiteurs réels.
En allant plus loin dans la pile de protocoles, ces outils utilisent des protocoles comme UDP pour envoyer de gros volumes de trafic sur un serveur ciblé, comme pendant une attaque UDP flood. Souvent inefficaces individuellement, ces attaques sont généralement observées sous la forme d’attaques DDoS où le nombre de machines d’attaque supplémentaires renforce l’impact.
Voici quelques outils couramment utilisés :
Le LOIC est une application open-source de test de stress. Il permet de réaliser des attaques des couches protocoles TCP et UDP à l’aide d’une interface WYSIWYG facile à utiliser. En raison de la popularité de l'outil d'origine, des dérivés ont été créés pour permettre le lancement d'attaques à l'aide d'un navigateur Web.
Cet outil d'attaque a été créé pour remplacer le LOIC en augmentant ses capacités et en ajoutant des personnalisations. En utilisant le protocole HTTP, le HOIC est en mesure de lancer des attaques ciblées qui sont difficiles à atténuer. Le logiciel est conçu pour qu'un minimum de 50 personnes travaillent ensemble dans le cadre d'un effort d'attaque coordonné.
Slowloris est une application conçue pour déclencher une attaque faible et lente sur un serveur ciblé. Elle a besoin d'une quantité limitée de ressources pour créer un effet néfaste.
R.U.D.Y. est un autre outil d’attaque faible et lent conçu pour permettre à l’utilisateur de lancer facilement des attaques à l’aide d’une simple interface pointer-cliquer. En ouvrant plusieurs requêtes HTTP POST et en maintenant ces connexions ouvertes aussi longtemps que possible, l'attaque vise à submerger lentement le serveur ciblé.
Étant donné que les attaques DoS et DDoS prennent différentes formes, leur atténuation nécessite différentes tactiques. Voici quelques tactiques courantes pour stopper une attaque DDoS :
Cloudflare applique toutes ces stratégies et d'autres encore pour fournir une protection contre les attaques DoS et DDoS les plus importantes et les plus complexes. En savoir davantage sur la protection anti-DDoS de Cloudflare et son fonctionnement.