Une attaque par Déni de Service ou DoS se produit lorsque des utilisateurs légitimes n’ont plus accès à leurs informations, services, équipements, etc. à cause d’une attaque malicieuse.
Cette attaque consiste à surcharger les ressources (CPU, Mémoire, bande passante) des machines, serveurs ou réseaux ciblés de façon à ce qu’ils ne seront plus capables de répondre aux besoins des utilisateurs. Les services affectés peuvent être des boites mail, sites web, comptes online (ex. compte bancaire) et tout autre service dépendant des réseaux ou équipements affectés. Les conséquences d’une telle attaque se traduisent par des pertes financières et des conséquences sur la réputation de la victime à cause de l’indisponibilité de ses services sur une période donnée.
La première attaque DoS a été faite en 1974 par David Dennis. Ce dernier a utilisé la commande ext des machines PLATO résultant la déconnexion de 31 utilisateurs à la fois. Comme les attaques par déni de service étaient réalisées à partir d’un seul ordinateur, il n’était pas très difficile de les arrêter. Pour cette raison, la DDoS a été introduite.
Qu’est-ce qu’une attaque DDoS (Distributed Denial of Service) ?
L’attaque par Déni de Service Distribué ou DDoS est une forme courante de l’attaque DoS à travers laquelle les attaquants utilisent plusieurs ordinateurs infectés par un malware (bots) au lieu d’un seul ordinateur (dans le cas de DoS). Ces bots sont combinés ensemble pour former un gigantesque botnet utilisé pour déclencher une attaque, et par la suite inonder la cible d’une façon synchrone.
La DDoS est généralement caractérisée par le débit d’attaque, nombre des machines attaquantes et similarité entre le trafic légitime et le trafic de l’attaque.
La première attaque DDoS a été subie par l’université du Minnesota en août 1999 utilisant un outil appelé Trinoo. Cet outil a été déployé sur 114 machines causant l’inondation des serveurs de l’université. Ainsi, l’accès à ces serveurs est resté bloqué pendant plus de deux jours.
Les attaques DoS ont subi plusieurs changements / évolutions pour éviter les mesures de protection prises et être plus efficaces. Une nouvelle variante du DDoS appelée DrDos est apparue.
Qu’est-ce qu’une attaque DrDoS (Distributed Reflection Denial of Service) ?
L’attaque par Déni de Service Distribué et Réfléchi ou DrDoS consiste à attaquer une victime à travers un réflecteur (ex. serveur DNS, NTP, etc.) en envoyant des requêtes aux serveurs en mettant l’adresse IP de la victime comme adresse IP source. De cette façon, les serveurs vont répondre tous à la fois à la victime, causant ainsi la surcharge de ses ressources et potentiellement l’indisponibilité de ses services. En 2014, 39% des attaques DDoS ont été réalisées par des techniques DrDoS.
Exemples d’attaques
Ci-dessous quelques exemples d’attaques DoS / DDoS :
- Ping of death : Envoyer un paquet ping de taille supérieure à la taille maximale attendue. La cible ne saura pas le gérer/traiter causant son crash.
- Land attack : Envoyer un paquet à une cible en mettant comme adresse IP source, son adresse IP (la cible va se répondre à elle-même et rentrer dans une boucle infinie).
- Teardrop attack : Récupérer les fragments des paquets de grande taille et changer les fragments Offset (numéro de fragment). La machine victime ne saura jamais reconstituer le paquet initial.
- TCP SYN : Saturer la machine victime par des demandes de synchronisation (SYN). A chaque SYN la machine victime va réserver de la mémoire et après un certain moment elle va être saturée.
- Reflective attack : Changer l’adresse IP source par celle de la victime et envoyer un broadcast. Toutes les machines disponibles sur le réseau vont répondre la victime ce qui va engendrer sa saturation.
De nos jours, les attaques DDoS sont de plus en plus répandues pour leur simplicité de mise en œuvre et de leur efficacité contre une cible non bien préparée. Ci-dessous une liste des attaques DDoS les plus connues (source : cloudflare) :
- 2020 – Attaque de AWS (2,3 Tb/s)
- 2018 – Attaque de GitHub (1,3 Tb/s au rythme de 126,9 millions paquets/s)
- 2016 – Attaque de Dyn fournisseur DNS (665 Gb/s)
- 2015 – Attaque de GitHub
- 2013 – Attaque de Spamhaus (300 Gb/s)
- 2000 – Attaque Mafiaboy (jusqu’à 1 Gb/s)
- 2007 – Attaque de l’Estonie (jusqu’à 400 Mb/s)
Comment se protéger de ces attaques ?
Plusieurs raisons poussent les cybercriminels à lancer des attaques DDoS. Elles peuvent être politiques, financières, demande de rançon ou aussi une distraction pour opérer une action malveillante. Actuellement, il existe plusieurs stratégies pour la protection contre les attaques DDoS.
Pour faire face aux attaques DDoS, il faut impérativement mettre en place des mesures de protection. Ces mesures peuvent être placées à la source, à la destination, dans le réseau ou bien dans tous ces emplacements. Le tableau ci-dessous décrit les avantages et les inconvénients de chaque option :
| A la source | A la destination | Dans le réseau | Hybrides |
| – Détecter l’attaque dès qu’elle sera initiée. – Difficile de différentier si le flux sortant est légitime ou douteux. | – Ne détecter et n’analyser que le trafic à destination de la cible. – Facile à implémenter. – Gaspillage de la bande passante sur le réseau jusqu’à la cible si une attaque a été déjà initiée. | – Protéger le réseau dans son globalité (couches 2 et 3). – Ne protège pas contre les attaques DDoS visant les applications (couche 7). | – Protection à plusieurs endroits. – Communication et coopération entre les différents dispositifs placés. – Combine les avantages de chaque option. – Plus compliqué et plus coûteux. |
Les mécanismes à emplacement unique possèdent des inconvénients, leur mitigation ne constitue pas une défense efficace contre toutes les attaques DDoS, alors que l’approche hybride, visant à placer et faire communiquer des dispositifs dans plusieurs endroits offre une protection plus complète.
