Toute organisation est susceptible d’être la cible d’une attaque par déni de service (DDoS). Celles qui sont visées ont souvent à déplorer l’arrêt de leurs services, ce qui entraîne une perte financière et la dégradation de leur réputation. Dans certains cas, plusieurs mois peuvent s’écouler avant qu’une entreprise reprenne le contrôle de ses services, ce qui finit par coûter des dizaines de milliers de dollars.

Les 12 catégories de DDoS qui suivent figurent parmi les plus communes et les plus potentiellement dangereuses. Une meilleure connaissance de ces attaques entrera en ligne de compte pour apprécier l’efficacité d’un service de mitigation d’attaque DDoS. De plus, comprendre le fonctionnement de ces attaques peut aider votre équipe de sécurité à planifier les mécanismes de défense appropriés et des stratégies de mitigation.

1. Attaque DNS par Amplification – Lors d’une attaque par réflexion, l’attaquant commence par des petites requêtes en utilisant l’adresse IP usurpée de la victime. En exploitant les vulnérabilités des serveurs DNS publics (domain name system), les réponses sont amplifiées en paquets de données bien plus importants, submergeant les serveurs ciblés.

2. Attaque UDP Flood – Dans cette attaque, le pirate utilise des paquets UDP contenant des datagrammes IP pour inonder les ports aléatoires sur un réseau ciblé. Le système touché tente de répondre à chaque datagramme par une application, mais échoue. Le système devient rapidement submergé, en tentant de gérer le volume des réponses aux paquets UDP.

3. Attaque DNS Flood – Semblable à l’UDP Flood, cette technique implique que les attaquants utilisent des quantités massives de paquets UDP, pour épuiser les ressources du serveur. Ici, cependant, ce sont les serveurs DNS et leur mémoire cache qui sont ciblés, dans l’intention d’empêcher les requêtes légitimes d’accéder à la zone des ressources DNS.

4. Attaque HTTP Flood – Cette attaque utilise un nombre extrêmement important de requêtes HTTP, GET ou POST -apparemment légitimes- pour cibler une application ou un serveur web. Ces requêtes sont souvent conçues pour éviter au pirate d’être détecté, lui permettant de recueillir des informations utiles sur sa cible avant l’attaque.

5. Attaque par fragmentation IP – Dans cette technique, les attaquants exploitent l’unité de transmission maximale (MTU) d’un datagramme IP, dans le but de submerger un système. Cela peut être réalisé en envoyant des ICMP fantômes et des paquets UDP qui excèdent les ressources du réseau MTU, au point que ces dernières s’épuisent rapidement, rendant le système indisponible durant la reconstruction des paquets. Les auteurs peuvent aussi lancer une attaque teardrop, qui consiste à empêcher la reconstruction des paquets TCP/IP.

6. Attaque par amplification NTP – Les ordinateurs connectés à internet utilisent un protocole d’heure réseau pour la synchronisation horaire. Comme pour l’attaque à amplification DNS, ici l’attaquant utilise d’innombrables serveurs NTP pour submerger sa cible avec le flux UDP (protocole de datagramme utilisateur).

7. Attaque Ping Flood – Une autre attaque de type flood assez répandue, utilisant d’innombrables paquets ICMP de type “echo-request”, ou pings, pour surcharger le réseau de la victime. Pour chaque ping envoyé, une réponse correspondante contenant le même nombre de paquets est sensée être retournée. Le système cible tente de répondre aux innombrables requêtes, et finit par saturer la bande-passante de son propre réseau.

8. Attaque par réflexion SNMP – Le protocole simple de gestion réseau (SNMP) permet aux administrateurs systèmes de configurer et modifier à distance certaines données sur les appareils connectés. En utilisant l’adresse IP forgée de sa victime, un attaquant peut envoyer de nombreuses requêtes SNMP aux appareils connectés, chacun étant sensé répondre en retour. Plus le nombre d’appareils connectés est élevé, plus le réseau risque de finir étranglé par la quantité de réponses SNMP.

9. Attaque SYN Flood – Toute session TCP a besoin d’un Handshaking en trois temps entre les deux appareils concernés. En utilisant la technique du SYN flood, l’attaquant frappe rapidement la cible avec tant de demandes de connexion qu’elle ne peut y faire face, ce qui mène à une saturation du réseau.

10. Attaque Smurf – Comme le ping flood, l’attaque Smurf repose sur une large collection de paquets ICMP echo-request. Mais la ressemblance s’arrête là, car l’attaque Smurf utilise un vecteur d’amplification pour augmenter le potentiel payload sur le serveur broadcast. Smurf malware est employé pour déjouer ce type d’attaque.

11. Attaque Ping de la mort – Le PoD est une technique par laquelle les hackers envoient des paquets malformés ou trop gros (en utilisant ping) pour geler, déstabiliser ou provoquer le crash d’un système ou d’un service cible. La mémoire déborde lorsqu’elle tente de reconstituer les données des paquets surdimensionnés. Sans être soumis à ping, les attaquants peuvent utiliser n’importe quel datagramme IP pour lancer une attaque, y compris ICMP echo, UDP, IDX et TCP.

12. Fork bomb : Cette attaque DDoS se développe de l’intérieur du serveur cible. Dans un environnement basé sur Unix, la fonction fork permet qu’un processus existant, “le papa”, se duplique en un deuxième processus appelé “le fils”. Les deux processus peuvent alors entreprendre des tâches simultanées dans le noyau du système, indépendamment l’un de l’autre. En utilisant une fork bomb (ou “rabbit virus”), l’attaquant émet tellement de forks récursives que le système cible est submergé de l’intérieur.

En espérant vous avoir éclairé sur ce phénomène qui se répand de plus en plus. Si vous avez été victime d’une telle attaque ou souhaitez échanger sur le sujet, les commentaires sont ouverts.