Une attaque lente et basse est une attaque DDoS qui vise à arrêter un service web utilisant un trafic HTTP ou TCP extrêmement lent.
Cet article s'articule autour des points suivants :
Contenu associé
R U Dead Yet? (R.U.D.Y.)
Attaque Slowloris
Pare-feu d'applications web (WAF)
Attaque Ping (ICMP) flood
Comment DDoS | Outils d’attaque DoS et DDoS
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Une attaque lente et faible est un type d'attaque DoS ou DDoS qui repose sur un petit flux de trafic très lent ciblant des ressources d'applications ou de serveurs. Contrairement aux attaques par force brute plus traditionnelles, les attaques faibles et lentes nécessitent très peu de bande passante et peuvent être difficiles à atténuer, car elles génèrent un trafic qu'il est très difficile de distinguer du trafic normal. Alors que les attaques DDoS à grande échelle sont susceptibles d'être remarquées rapidement, les attaques faibles et lentes peuvent passer inaperçues pendant de longues périodes, tout en refusant ou en ralentissant le service aux utilisateurs réels.
Parce qu'elles ne nécessitent pas beaucoup de ressources, les attaques faibles et lentes peuvent être lancées avec succès à partir d'un seul ordinateur, contrairement aux attaques plus distribuées qui peuvent nécessiter un botnet. Deux des outils les plus populaires pour lancer une attaque lente et faible sont appelés Slowloris et R.U.D.Y.
Les attaques de type « low and slow » visent les serveurs web basés sur des threads dans le but d'encombrer chaque thread avec des requêtes lentes, empêchant ainsi les véritables utilisateurs d'accéder au service. Pour ce faire, les données sont transmises très lentement, mais juste assez rapidement pour empêcher le serveur de s'arrêter.
Imaginez un pont à quatre voies avec un poste de péage pour chaque voie. Les conducteurs s'arrêtent au poste de péage, remettent un billet ou une poignée de pièces, puis traversent le pont, libérant la voie pour le conducteur suivant. Imaginez maintenant que quatre conducteurs se présentent en même temps et occupent toutes les voies ouvertes pendant qu'ils remettent lentement des pièces de monnaie à l'opérateur du poste de péage, une pièce à la fois, bloquant toutes les voies disponibles pendant des heures et empêchant les autres conducteurs de passer. Ce scénario incroyablement frustrant est très similaire au fonctionnement d'une attaque lente et lente.
Les attaquants peuvent utiliser les en-têtes HTTP, les requêtes HTTP post, ou le trafic TCP pour effectuer des attaques lentes et basses. Voici 3 exemples d'attaques courantes.
Les techniques de détection du débit utilisées pour identifier et arrêter les attaques DDoS traditionnelles ne détecteront pas une attaque lente et faible, car elle ressemble à un trafic normal. Le meilleur moyen de les détecter est de surveiller et de consigner soigneusement l'utilisation des ressources du serveur, en combinaison avec une analyse comportementale. Comparez le trafic et le comportement des utilisateurs en temps normal au trafic et au comportement des utilisateurs pendant la période d'attaque potentielle.
Si les serveurs fonctionnent lentement ou se bloquent et que l'on soupçonne une attaque de type "low and slow", l'un des signes de cette attaque est que les processus normaux des utilisateurs prennent beaucoup plus de temps. Si une action de l'utilisateur (par exemple, remplir un formulaire) prend généralement quelques secondes, mais qu'elle prend des minutes ou des heures, et occupe beaucoup plus de ressources serveur que d'habitude, une attaque de type « low and slow » peut en être la cause.
Une fois qu'une attaque faible et lente est détectée, l'atténuation est un autre problème.
Une façon d'atténuer une attaque faible et lente est d'améliorer la disponibilité de votre serveur ; plus votre serveur peut maintenir de connexions simultanément, plus il sera difficile pour une attaque d'engorger votre serveur. Le problème avec cette approche est qu'un attaquant peut tenter d'adapter son attaque à la disponibilité de votre serveur.
Une autre solution est la protection basée sur un proxy inverse, qui atténue les attaques faibles et lentes avant qu'elles n'atteignent votre serveur d'origine. Découvrez comment la protection contre les attaques DDoS basée sur le cloud de Cloudflare peut atténuer les attaques faibles et lentes.