Qu'est-ce qu'une attaque lente et basse ?

Une attaque lente et basse est une attaque DDoS qui vise à arrêter un service web utilisant un trafic HTTP ou TCP extrêmement lent.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définissez une attaque lente et basse
  • Décrivez le fonctionnement des attaques lentes et basses
  • Comprendre comment atténuer les attaques faibles et lentes.

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce qu'une attaque lente et basse ?

Une attaque lente et faible est un type d'attaque DoS ou DDoS qui repose sur un petit flux de trafic très lent ciblant des ressources d'applications ou de serveurs. Contrairement aux attaques par force brute plus traditionnelles, les attaques faibles et lentes nécessitent très peu de bande passante et peuvent être difficiles à atténuer, car elles génèrent un trafic qu'il est très difficile de distinguer du trafic normal. Alors que les attaques DDoS à grande échelle sont susceptibles d'être remarquées rapidement, les attaques faibles et lentes peuvent passer inaperçues pendant de longues périodes, tout en refusant ou en ralentissant le service aux utilisateurs réels.

Parce qu'elles ne nécessitent pas beaucoup de ressources, les attaques faibles et lentes peuvent être lancées avec succès à partir d'un seul ordinateur, contrairement aux attaques plus distribuées qui peuvent nécessiter un botnet. Deux des outils les plus populaires pour lancer une attaque lente et faible sont appelés Slowloris et R.U.D.Y.

Comment fonctionne une attaque lente et basse ?

Les attaques de type « low and slow » visent les serveurs web basés sur des threads dans le but d'encombrer chaque thread avec des requêtes lentes, empêchant ainsi les véritables utilisateurs d'accéder au service. Pour ce faire, les données sont transmises très lentement, mais juste assez rapidement pour empêcher le serveur de s'arrêter.

Imaginez un pont à quatre voies avec un poste de péage pour chaque voie. Les conducteurs s'arrêtent au poste de péage, remettent un billet ou une poignée de pièces, puis traversent le pont, libérant la voie pour le conducteur suivant. Imaginez maintenant que quatre conducteurs se présentent en même temps et occupent toutes les voies ouvertes pendant qu'ils remettent lentement des pièces de monnaie à l'opérateur du poste de péage, une pièce à la fois, bloquant toutes les voies disponibles pendant des heures et empêchant les autres conducteurs de passer. Ce scénario incroyablement frustrant est très similaire au fonctionnement d'une attaque lente et lente.

Les attaquants peuvent utiliser les en-têtes HTTP, les requêtes HTTP post, ou le trafic TCP pour effectuer des attaques lentes et basses. Voici 3 exemples d'attaques courantes.

  • L'outil Slowloris se connecte à un serveur puis envoie lentement des en-têtes HTTP partiels. Le serveur garde alors la connexion ouverte pour pouvoir recevoir la suite des en-têtes, bloquant ainsi le thread.
  • Un autre outil appelé R.U.D.Y. (R-U-DEAD-YET ?) génère des requêtes HTTP pour remplir les champs du formulaire. Il indique aux serveurs la quantité de données à attendre, mais envoie ensuite ces données très lentement. Le serveur maintient la connexion ouverte, car il s'attend à recevoir plus de données.
  • Un autre type d'attaque lente et basse est l'attaque Sockstress, qui exploite une vulnérabilité dans la poignée de main à trois voies TCP/IP, créant une connexion indéfinie.

Comment les services web peuvent-ils détecter une attaque faible et lente ?

Les techniques de détection du débit utilisées pour identifier et arrêter les attaques DDoS traditionnelles ne détecteront pas une attaque lente et faible, car elle ressemble à un trafic normal. Le meilleur moyen de les détecter est de surveiller et de consigner soigneusement l'utilisation des ressources du serveur, en combinaison avec une analyse comportementale. Comparez le trafic et le comportement des utilisateurs en temps normal au trafic et au comportement des utilisateurs pendant la période d'attaque potentielle.

Si les serveurs fonctionnent lentement ou se bloquent et que l'on soupçonne une attaque de type "low and slow", l'un des signes de cette attaque est que les processus normaux des utilisateurs prennent beaucoup plus de temps. Si une action de l'utilisateur (par exemple, remplir un formulaire) prend généralement quelques secondes, mais qu'elle prend des minutes ou des heures, et occupe beaucoup plus de ressources serveur que d'habitude, une attaque de type « low and slow » peut en être la cause.

Une fois qu'une attaque faible et lente est détectée, l'atténuation est un autre problème.

Comment arrêter une attaque lente et basse ?

Une façon d'atténuer une attaque faible et lente est d'améliorer la disponibilité de votre serveur ; plus votre serveur peut maintenir de connexions simultanément, plus il sera difficile pour une attaque d'engorger votre serveur. Le problème avec cette approche est qu'un attaquant peut tenter d'adapter son attaque à la disponibilité de votre serveur.

Une autre solution est la protection basée sur un proxy inverse, qui atténue les attaques faibles et lentes avant qu'elles n'atteignent votre serveur d'origine. Découvrez comment la protection contre les attaques DDoS basée sur le cloud de Cloudflare peut atténuer les attaques faibles et lentes.