Comment DDoS | Outils d’attaque DoS et DDoS

Comment les pirates font-ils pour saturer un serveur Web et bloquer l’accès à une ressource Web ?

Share facebook icon linkedin icon twitter icon email icon

Comment DDoS

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir les attaques DoS et DDoS
  • Comprendre comment fonctionne une attaque par déni de service
  • Connaître les catégories d’outils d’attaque DoS et DDoS
  • Mettre en évidence les outils DoS et DDoS fréquemment utilisés
  • Découvrir les risques juridiques que comporte le lancement d’attaques DDoS

DoS vs DDoS

Lesattaques par déni de service (DoS)sont les précurseurs desDDoS attacks. Historiquement, les attaques DoS étaient une méthode principale pour perturber les systèmes informatiques sur un réseau. Les attaques DoS proviennent d'une seule machine et peuvent être très simples ; une Ping flood attack de base peut être réalisée en envoyant plus de ICMP (ping) requests à un serveur ciblé qu'il n'est capable de traiter et de répondre efficacement. Presque toutes les personnes possédant une machine en réseau peuvent lancer ce type d'attaque en utilisant les commandes de terminal intégrées. Des DoS attacks plus complexes peuvent impliquer l'utilisation de la fragmentation de paquets, comme le Ping of Death attack, aujourd'hui largement disparu.

Les attaques par déni de service (DoS) sont les précurseurs des DDoS attacks Historiquement, les attaques DoS étaient une méthode principale pour perturber les systèmes informatiques sur un réseau. Les attaques DoS proviennent d'une seule machine et peuvent être très simples ; une Ping flood attack de base peut être réalisée en envoyant plus de ICMP (ping) requests à un serveur ciblé qu'il n'est capable de traiter et de répondre efficacement.


Presque toutes les personnes possédant une machine en réseau peuvent lancer ce type d'attaque en utilisant les commandes de terminal intégrées. Des DoS attacks plus complexes peuvent impliquer l'utilisation de la fragmentation de paquets, comme le Ping of Death attack , aujourd'hui largement disparu.


Les attaques impliquant plusieurs ordinateurs ou autres dispositifs visant tous la même victime sont considérées comme des DDoS attacks en raison de leur caractère distribué. De ces deux types, les DDoS attacks sont les plus fréquentes et les plus nuisibles sur l'internet moderne. En raison de la relative facilité d'achat ou de création d'un groupe de machines malveillantes capables d'envoyer une quantité massive de trafic Internet vers une cible, les pirates sont capables d'utiliser des réseaux de dispositifs tels que les botnets pour saturer une cible de requêtes. En utilisant un vaste réseau de machines infectées par des logiciels malveillants, un pirate est en mesure d'exploiter le trafic d'attaque d'un grand nombre de systèmes informatiques. Avec l'augmentation du nombre de dispositifs de l'Internet des objets (IoT) mal sécurisés, un nombre croissant de matériel électronique peut être réquisitionné à des fins malveillantes

Les attaques impliquant plusieurs ordinateurs ou autres dispositifs visant tous la même victime sont considérées comme des DDoS attacks en raison de leur caractère distribué. De ces deux types, les DDoS attacks sont les plus fréquentes et les plus nuisibles sur l'internet moderne.


En raison de la relative facilité d'achat ou de création d'un groupe de machines malveillantes capables d'envoyer une quantité massive de trafic Internet vers une cible, les pirates sont capables d'utiliser des réseaux de dispositifs tels que les botnets pour saturer une cible de requêtes.


En utilisant un vaste réseau de machines infectées par des logiciels malveillants, un pirate est en mesure d'exploiter le trafic d'attaque d'un grand nombre de systèmes informatiques. Avec l'augmentation du nombre de dispositifs de l'Internet des objets (IoT) mal sécurisés, un nombre croissant de matériel électronique peut être réquisitionné à des fins malveillantes.


Toutes les attaques distribuées n'impliquent pas de botnets; certains outils d'attaque exploitent des bénévoles qui travaillent ensemble en partageant leurs ressources informatiques disponibles pour participer à un objectif commun. Le groupe de hackers, Anonymous, a exploité des outils DoS et DDoS, associés à des parties volontaires, à cet effet

Comment sont classés les outils d’attaque DoS/DDoS ?

Un certain nombre d'outils d'attaque ou de « facteurs de stress » différents sont disponibles gratuitement sur Internet. Certains de ces outils ont essentiellement des objectifs légitimes, car les chercheurs en sécurité et les ingénieurs réseau peuvent parfois effectuer des tests de résistance sur leurs propres réseaux. Certains outils d'attaque sont spécialisés et se concentrent uniquement sur une zone particulière de la pile de protocoles, tandis que d'autres sont conçus pour donner lieu à plusieurs vecteurs d'attaque.


Les outils d’attaque peuvent être classés en différents groupes :

Outils d’attaque faible et lente

Comme leur nom l'indique, ces types d'outils d'attaque utilisent à la fois un faible volume de données et s'exécutent très lentement. Conçus pour envoyer de petites quantités de données sur plusieurs connexions afin de garder les ports d'un serveur ciblé ouverts aussi longtemps que possible, ces outils continuent d'utiliser les ressources du serveur jusqu'à ce qu'un serveur ciblé soit incapable de maintenir des connexions supplémentaires. De manière unique, les attaques faibles et lentes peuvent parfois être efficaces même en l'absence d'utilisation d'un système distribué tel qu'un botnet et sont couramment utilisées par une seule machine.

Comme leur nom l'indique, ces types d'outils d'attaque utilisent à la fois un faible volume de données et fonctionnent très lentement. Conçus pour envoyer de petites quantités de données sur plusieurs connexions afin de garder les ports d'un serveur cible ouverts aussi longtemps que possible, ces outils continuent d'utiliser les ressources du serveur jusqu'à ce qu'un serveur cible ne soit pas en mesure de maintenir des connexions supplémentaires.


Les attaques faibles et lentes sont les seules à pouvoir fonctionner même sans système distribué comme un botnet, et sont généralement utilisées par une machine unique.

Outils d’attaque de la couche d’application (C7)

Ces outils ciblent la couche 7 du modèle OSI, où se produisent les demandes Internet telles que HTTP. En utilisant un type d'attaque HTTP flood pour saturer une cible avec des requêtes HTTP GET et POST, un pirate peut lancer un trafic d'attaque difficile à distinguer des requêtes normales faites par des visiteurs réels

Outils d’attaque des couches protocole et transport (C3/C4)

En descendant plus loin dans la pile de protocoles, ces outils utilisent des protocoles comme UDP pour envoyer de gros volumes de trafic vers un serveur ciblé, comme lors d'une UDP flood. Bien que souvent inefficaces individuellement, ces attaques se présentent généralement sous la forme de DDoS attacks où l'avantage de machines d'attaque supplémentaires augmente l'effet.

Quels sont les outils d’attaque DoS/DDoS couramment utilisés ?

Voici quelques outils couramment utilisés :

Low Orbit Ion Cannon (LOIC)

La LOIC est une application de test de résistance à code source ouvert. Elle permet d'effectuer des attaques sur les couches de protocoleTCP et UDP à l'aide d'une interface WYSIWYG conviviale. En raison de la popularité de l'outil original, des versions dérivés ont été créés qui permettent de lancer des attaques à l'aide d'un navigateur web.

High Orbit Ion Cannon (HOIC)

Cet outil d'attaque a été créé pour remplacer LOIC en élargissant ses capacités et en ajoutant des personnalisations. En utilisant le protocole HTTP, HOIC est capable de lancer des attaques ciblées qui sont difficiles à atténuer. Le logiciel est conçu pour qu'un minimum de 50 personnes travaillent ensemble dans un effort d'attaque coordonné.

Slowloris

En plus d'être un primate qui se déplace lentement, Slowloris est une application conçue pour déclencher une attaque basse et lente sur un serveur ciblé. L'élégance de Slowloris réside dans la quantité limitée de ressources qu'il doit consommer pour créer un effet dévastateur.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y. est un autre outil d'attaque faible et lente conçu pour permettre à l'utilisateur de lancer facilement des attaques en utilisant une simple interface de type "pointer-cliquer". En ouvrant plusieurs requêtes HTTP POST et en gardant ces connexions ouvertes aussi longtemps que possible, l'attaque vise à submerger lentement le serveur ciblé.