Comment DDoS | Outils d’attaque DoS et DDoS

Comment les pirates font-ils pour saturer un serveur Web et bloquer l’accès à une ressource Web ?

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir les attaques DoS et DDoS
  • Décrire les outils DoS et DDoS fréquemment utilisés
  • Apprenez à vous défendre contre les outils d'attaque DDoS

Copier le lien de l'article

Que sont les attaques DoS et DDoS ?

Les attaques par déni de service (DoS) et par déni de service distribué (DDoS) sont des tentatives malveillantes de perturber le fonctionnement normal d'un serveur, d'un service ou d'un réseau ciblé en l'inondant littéralement de trafic Internet.

Les attaques DoS commettent leur méfait en envoyant le trafic malveillant depuis une seule machine, généralement un ordinateur. Elles peuvent être très simples. Une attaque de type ping flood basique peut être réalisée en envoyant plus de requêtes ICMP (ping) à un serveur ciblé que sa capacité efficace de traitement et de réponse.

Les attaques DDoS, quant à elles, utilisent plusieurs machines pour envoyer du trafic malveillant à leur cible. Souvent, ces machines font partie d'un botnet, un ensemble d'ordinateurs ou d'autres appareils infectés par des malware et qui peuvent donc être contrôlés à distance par un pirate. Il peut également arriver que plusieurs pirates lancent des attaques DDoS en collaborant pour envoyer du trafic à partir de leurs ordinateurs individuels.

Les attaques DDoS sont plus fréquentes et occasionnent plus de dégâts à l'heure de l'Internet moderne pour deux raisons. Tout d'abord, les outils de sécurité modernes ont évolué de manière à stopper certaines attaques DoS ordinaires. De plus, les outils d'attaque DDoS sont devenus relativement bon marché et faciles à utiliser.

Comment sont classés les outils d’attaque DoS/DDoS ?

Différents outils peuvent être adaptés pour lancer des attaques DoS/DDoS, et d'autres sont explicitement conçus à cette fin. Les outils appartenant à la première catégorie sont souvent appelés des « stresseurs », qui sont des outils dont le but déclaré est d'aider les chercheurs en sécurité et les ingénieurs réseau à réaliser des tests de stress sur leurs propres réseaux, mais qui peuvent également être utilisés pour effectuer de véritables attaques.

Certains outils d'attaque spécialisés se concentrent uniquement sur une couche particulière du modèle OSI, et d'autres sont conçus pour autoriser plusieurs vecteurs d'attaque. Les catégories des outils d'attaque sont les suivantes :

Outils d’attaque faible et lente

Comme leur nom l'indique, ces types d'outils d'attaque utilisent un faible volume de données et opèrent très lentement. Conçus pour envoyer de petites quantités de données à travers plusieurs connexions afin de maintenir les ports d'un serveur ciblé ouverts aussi longtemps que possible, ces outils continuent d'utiliser les ressources serveur jusqu'à ce que le serveur ciblé soit incapable de maintenir des connexions supplémentaires. Typiquement, les attaques faibles et lentes peuvent parfois être efficaces même si elles n'utilisent pas de système distribué comme un botnet, et sont généralement utilisées par une machine unique.

Outils d’attaque de la couche d’application (C7)

Ces outils ciblent la couche 7 du modèle OSI, où les pages Web sont fournies en réponses aux requêtes Internet telles que HTTP. En utilisant une attaque de type HTTP flood pour submerger une cible avec des requêtes HTTP GET et POST, un acteur malveillant peut lancer un trafic d'attaque difficile à distinguer des requêtes normales effectuées par des visiteurs réels.

Outils d’attaque des couches protocole et transport (C3/C4)

En allant plus loin dans la pile de protocoles, ces outils utilisent des protocoles comme UDP pour envoyer de gros volumes de trafic sur un serveur ciblé, comme pendant une attaque UDP flood. Souvent inefficaces individuellement, ces attaques sont généralement observées sous la forme d’attaques DDoS où le nombre de machines d’attaque supplémentaires renforce l’impact.

Quels sont les outils d’attaque DoS/DDoS couramment utilisés ?

Voici quelques outils couramment utilisés :

Low Orbit Ion Cannon (LOIC)

Le LOIC est une application open-source de test de stress. Il permet de réaliser des attaques des couches protocoles TCP et UDP à l’aide d’une interface WYSIWYG facile à utiliser. En raison de la popularité de l'outil d'origine, des dérivés ont été créés pour permettre le lancement d'attaques à l'aide d'un navigateur Web.

High Orbit Ion Cannon (HOIC)

Cet outil d'attaque a été créé pour remplacer le LOIC en augmentant ses capacités et en ajoutant des personnalisations. En utilisant le protocole HTTP, le HOIC est en mesure de lancer des attaques ciblées qui sont difficiles à atténuer. Le logiciel est conçu pour qu'un minimum de 50 personnes travaillent ensemble dans le cadre d'un effort d'attaque coordonné.

Slowloris

Slowloris est une application conçue pour déclencher une attaque faible et lente sur un serveur ciblé. Elle a besoin d'une quantité limitée de ressources pour créer un effet néfaste.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y. est un autre outil d’attaque faible et lent conçu pour permettre à l’utilisateur de lancer facilement des attaques à l’aide d’une simple interface pointer-cliquer. En ouvrant plusieurs requêtes HTTP POST et en maintenant ces connexions ouvertes aussi longtemps que possible, l'attaque vise à submerger lentement le serveur ciblé.

Comment puis-me défendre contre les outils DoS/DDoS ?

Étant donné que les attaques DoS et DDoS prennent différentes formes, leur atténuation nécessite différentes tactiques. Voici quelques tactiques courantes pour stopper une attaque DDoS :

  • Limitation du taux (rate limiting) : limite du nombre de requêtes acceptées par un serveur sur une certaine fenêtre horaire
  • Pare-feu d'applications web : outils qui filtrent le trafic web en fonction d'une série de règles
  • Diffusion sur un réseau Anycast : mise en place d'un vaste réseau cloud distribué entre un serveur et le trafic entrant, fournissant des ressources informatiques supplémentaires pour répondre aux requêtes.

Cloudflare applique toutes ces stratégies et d'autres encore pour fournir une protection contre les attaques DoS et DDoS les plus importantes et les plus complexes. En savoir davantage sur la protection anti-DDoS de Cloudflare et son fonctionnement.

Service commercial