Attaque R U est Dead Yet? (R.U.D.Y.)

R.U.D.Y. est un outil d'attaque lente et basse qui imite le trafic légitime et qui peut maintenir un serveur occupé indéfiniment.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définition de l'outil R.U.D.Y.
  • Décrivez comment le R.U.D.Y. est utilisé pour perturber les services web
  • Décrivez deux stratégies pour atténuer les attaques R.U.D.Y.

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce qu'une attaque R.U.D.Y. ?

« R U Dead Yet ? » ou R.U.D.Y. est un outil d'attaque par déni de service qui vise à maintenir un serveur Web occupé en soumettant des données de formulaires à un rythme absurdement lent. Un exploit R.U.D.Y. est considéré comme une attaque lente et basse, car il se focalise sur la création de quelques requêtes interminables plutôt que de submerger un serveur avec un volume élevé de requêtes rapides. Une attaque R.U.D.Y. réussie aura pour conséquence que le serveur d'origine de la victime deviendra indisponible pour le trafic légitime.

Le logiciel R.U.D.Y. comprend une interface conviviale de type "pointer-cliquer", de sorte qu'un pirate n'a qu'à pointer l'outil vers une cible vulnérable. Tout service web qui accepte des données de formulaires est vulnérable à une attaque R.U.D.Y., puisque l'outil fonctionne en reniflant les champs des formulaires et en exploitant le processus de soumission des formulaires.

Comment se déroule une attaque R.U.D.Y. ?

Une attaque R.U.D.Y. peut se décomposer en plusieurs étapes.

  1. L'outil R.U.D.Y. parcourt l'application de la victime à la recherche d'un champ de formulaire.
  2. Une fois qu'un formulaire est trouvé, l'outil crée une requête HTTP POST pour imiter une soumission de formulaire légitime. Cette requête POST contient un en-tête* qui avertit le serveur qu'un très long contenu est sur le point d'être soumis.
  3. L'outil fait ensuite perdurer le processus de soumission des données du formulaire en les décomposant en paquets d'un octet chacun, envoyant ces paquets au serveur à des intervalles aléatoires d'environ 10 secondes chacun
  4. L'outil continue à soumettre des données indéfiniment. Le serveur web maintient la connexion ouverte pour accepter les paquets, car le comportement de l'attaque est similaire à celui d'un utilisateur ayant une vitesse de connexion lente qui soumet des données de formulaire. Pendant ce temps, la capacité du serveur web à gérer le trafic légitime est réduite.

L'outil R.U.D.Y. peut créer simultanément plusieurs de ces requêtes lentes, toutes visant un seul serveur web. Comme les serveurs Web ne peuvent gérer qu'un grand nombre de connexions à la fois, il est possible que l'attaque R.U.D.Y. bloque toutes les connexions disponibles, ce qui signifie que tout utilisateur légitime essayant d'accéder au serveur Web se verra refuser le service. Même un serveur web robuste avec un nombre élevé de connexions disponibles peut être désactivé par R.U.D.Y. via un réseau d'ordinateurs menant des attaques simultanément ; c'est ce qui est connu sous le nom d'attaque par déni de service distribué (DDoS).

*Les en-têtes HTTP sont des paires clé/valeur qui sont envoyées avec toute requête ou réponse HTTP et qui fournissent des informations essentielles telles que la version HTTP utilisée, la langue dans laquelle le contenu est présenté, la quantité de contenu diffusé, etc.

Comment arrêter les attaques R.U.D.Y.

Comme les attaques lentes et basses sont menées de manière beaucoup plus subtile que les attaques par déni de service traditionnelles, elles peuvent être difficiles à détecter, mais des mesures de protection peuvent être mises en place pour les empêcher. L'une consiste à fixer des intervalles de temporisation de connexion plus stricts sur un serveur web, ce qui signifie que les connexions les plus lentes seront coupées. Cette solution a un effet secondaire : le serveur pourrait refuser le service aux utilisateurs légitimes dont les connexions Internet sont lentes. En revanche, une solution de proxy inversé telle que la protection DDoS de Cloudflare, peut filtrer le trafic d'attaque lente et basse, comme les attaques R.U.D.Y., sans déconnecter les utilisateurs légitimes.