DoS : schémas des attaques et contre-mesures

L’in­dis­po­ni­bi­lité d’un service est en in­for­ma­tique appelé denial of service (DoS), ou déni de service en français. Un déni de service apparait nor­ma­le­ment quand il y a une surcharge des com­po­sants in­di­vi­duels de l’in­fras­truc­ture in­for­ma­tique. Si cela est provoqué dé­li­bé­ré­ment par un acteur extérieur, on parle alors d’attaque DoS, notamment lorsqu’une attaque inonde une cible URL avec un tel nombre de requêtes que le serveur ne peut pas les traiter. Cela signifie que les pé­ri­phé­riques réseau, les systèmes d’ex­ploi­ta­tion ainsi que les services des serveurs ne sont pas en mesure de répondre dans le temps imparti voire sont dans l’in­ca­pa­cité de traiter les requêtes. Une technique par­ti­cu­liè­re­ment efficace est lorsque le système est inondé de requêtes provenant de plusieurs or­di­na­teurs : ceci est connu sous le nom d’attaque DDoS, ce qui diffère d’une attaque DoS est l’uti­li­sa­tion de très nombreux botnets (réseau de bots in­for­ma­tiques) au lieu d’un seul.

Une forme courante de DoS est l’attaque par déni de service distribué ou DDoS (de l’anglais « Dis­tri­bu­tred Denial of Service »). Au lieu de sim­ple­ment utiliser un or­di­na­teur, les cy­ber­cri­mi­nels inondent les systèmes de très nom­breuses requêtes venant de plusieurs or­di­na­teurs qui sont combinées ensemble pour former un gi­gan­tesque botnet. En utilisant ces réseaux, un plus grand trafic de données est ainsi généré plutôt qu’avec une simple attaque DoS qui n’est exécutée qu’à partir d’un seul système. Les attaques DDoS ont des effets im­por­tants sur les systèmes touchés et l’espoir de localiser la source de l’attaque est assez faible. Les at­ta­quants qui réalisent ces botnets, placent aussi des agents logiciels spé­ci­fiques sur les or­di­na­teurs qui sont in­suf­fi­sam­ment protégés. Ces or­di­na­teurs peuvent ainsi être contrôlés sans que le pro­prié­taire s’en aperçoive. Une « infection » de ce type peut survenir plusieurs mois avant que les attaques réelles de DDoS soient exécutées.

La base de toute attaque DDoS est un réseau in­for­ma­tique plus vaste. En théorie, ce groupe peut ap­par­te­nir à l'at­ta­quant, au hacker, dans la pratique, cependant, ce sont presque ex­clu­si­ve­ment les réseaux de bots déjà men­tion­nés, qui se composent souvent de centaines de milliers d'or­di­na­teurs. Les or­di­na­teurs cor­res­pon­dants sont infectés par des logiciels mal­veil­lants qui per­met­tent aux cy­ber­cri­mi­nels d'accéder à distance sans se faire remarquer. Depuis peu, les com­po­sants de l’Internet des objets (idO) comme les routeurs, les caméras de sur­veil­lances ou les en­re­gis­treurs nu­mé­riques, jouent un rôle important et peuvent aussi être détournés pour devenir des bots.

Avec le réseau in­for­ma­tique approprié, le hackeur a souvent beau jeu pour réaliser le DDoS planifié. Pour atteindre son objectif, qui est de mettre le service ciblé en panne, il n’a besoin que du point d’attaque approprié dans le système ou le réseau de la victime. Dès qu’il trouve une telle porte dérobée (backdoor), il peut alors envoyer les commandes né­ces­saire à son armée de bots pour lancer la vague d’attaque DDoS au moment désiré. Vous ap­pren­drez dans les sections suivantes, quelles actions et schémas d’attaque dif­fé­rents peuvent être utilisés par les bots té­lé­com­man­dés.

Con­trai­re­ment à d’autres attaques de cy­ber­cri­mi­nels, les attaques DDoS n’essayent pas d’infiltrer un système. Cependant elles peuvent faire partie d’une attaque bien plus im­por­tante. Par exemple, lorsqu’un système a été paralysé, les attaques peuvent être utilisées pour distraire les opé­ra­teurs de serveurs sur le fait qu’une attaque est en cours ailleurs sur un autre système. Si la réac­ti­vité d’un système est retardée en raison d’une attaque DoS ou DDos, les hackers ont alors la pos­si­bi­lité de modifier les requêtes sur le système surchargé à l’aide de réponses ma­ni­pu­lées. Il y trois ca­té­go­ries de stra­té­gies qui reposent sur ces attaques :

• La surcharge de la bande passante
• La surcharge des res­sources
• L’ex­ploi­ta­tion des erreurs systèmes et des lacunes de sécurité

Le but de réaliser une surcharge de la bande passante est de rendre l’or­di­na­teur inac­ces­sible. Les attaques DoS et DDos ciblent di­rec­te­ment les réseaux ainsi que leurs pé­ri­phé­riques de connexion res­pec­tifs. Un routeur ne peut traiter qu’une certaine quantité de données à la fois, si cette capacité est dépassée en raison notamment d’une attaque, les services cor­res­pon­dants ne seront alors plus dis­po­nibles pour les autres uti­li­sa­teurs. Une attaque classique DDoS pour sur­char­ger la bande passante est l’attaque Smurf.

• Attaque Smurf : la technique de l’attaque Smurf ou attaque par réflexion en français, est  une technique de type DDoS qui profite de l’Internet Control Message Protocol (ICMP), qui permet l’échange des messages de contrôle et des rapports d’erreurs dans les réseaux in­for­ma­tiques. L’as­sail­lant envoie alors des paquets d’ICMP modifiés Echo Request (Ping) à l’adresse de diffusion du réseau et utilise l’adresse IP de la cible comme adresse d‘ex­pé­di­tion. La demande de diffusion est ensuite transmise du routeur à tous les pé­ri­phé­riques connectés, ce qui entraine forcément l’envoie d’une réponse à l’adresse de l’ex­pé­di­teur (Pong). Un réseau important avec de nombreux pé­ri­phé­riques connectés à celui-ci peut donc nuire énor­mé­ment à la bande passante ciblée.

Une attaque DDos cible les res­sources d’un système et les as­sail­lants ex­ploi­tent le fait que le serveur Web peut seulement établir un nombre limité de con­nexions. Et si elles sont utilisées pour des requêtes non valides, alors le serveur sera bloqué pour les uti­li­sa­teurs. C’est ce que l’on nomme Flooding (soit inon­da­tion). Les modèles d’attaque DDoS clas­siques sur les res­sources système sont HTTP Flood, Ping Flood, SYN Flood et UDP Flood.

• HTTP Flood : dans cette variante d’attaque de surcharge de res­sources DDoS qui est la plus simple, l’attaquant inonde le serveur Web de la cible d’un grand nombre de requêtes HTTP. Pour cela, il doit juste accéder aux pages du projet cible jusqu’à ce que le serveur s’effondre sous la charge de requêtes.

• Ping Flood : pour ce type d’attaque, les hackers envoient également des paquets ICMP modifiés Echo Request. Ces derniers sont gé­né­ra­le­ment envoyés par des botnets à grande échelle. Les con­sé­quences sont donc un ra­len­tis­se­ment du système voire un blocage du système puisque ce dernier doit répondre à ce flux massif de requêtes.
   
• SYN Flood : le SYN flood est une attaque qui vise à provoquer un déni de services et est destinée à rendre un réseau in­dis­po­nible. Elle rentre dans le cadre d’un protocole TCP (Trans­mis­sion Control Protocol) et le but est de submerger le serveur cible de requêtes SYN (Syn­chro­ni­zed) en masse. En temps normal une connexion TCP est utilisée entre le serveur et un client, un échange de message doit avoir lieu et la connexion se déroule en trois temps : le SYN, le SYN-ACK et l’ACK. Le client qui veut se connecter avec le serveur doit au­pa­ra­vant envoyer un premier paquet de SYN au serveur. Ensuite pour répondre à cette requête, le serveur lui envoie un message SYN-ACK (/Syn­chro­ni­zed Ack­now­ledg­ment), et le client doit fi­na­le­ment envoyer une réponse ACK (Ack­now­ledg­ment) afin de réaliser dé­fi­ni­ti­ve­ment la connexion. Si la dernière étape n’est pas réalisée alors le système sera paralysé depuis le serveur puisqu’il ne dispose pas d’une con­fir­ma­tion finale de connexion et met ainsi du temps à libérer les res­sources et génère un temps d’attente. Si un grand nombre de con­nexions semi-ouvertes sans message ACK ap­pa­rais­sent, alors il y a un risque de surcharge et les res­sources du serveur peuvent être épuisées.
   
• UDP Flood : avec ce type d’attaque les hackers utilisent la connexion UDP (User Datagram Protocol). Con­trai­re­ment avec la trans­mis­sion TCP, les données peuvent être trans­fé­rées via UDP sans avoir besoin d’une connexion établie. Con­cer­nant les attaques DoS et DDoS, les paquets UDP sont envoyés à des ports aléa­toires sur le système ciblé. Le système essaie alors en vain de dé­ter­mi­ner quelles ap­pli­ca­tions sont en attente des données trans­fé­rées, il en résulte un envoi à l’ex­pé­di­teur de paquets ICMP avec le message « Des­ti­na­tion inac­ces­sible ». Si un système rencontre un grand nombre de requêtes de ce genre, cela provoque une surcharge des res­sources et entraine une in­dis­po­ni­bi­lité limité pour les uti­li­sa­teurs.

Si un hacker trouve des failles de sécurité dans un programme ou un système, il peut donc planifier des attaques DoS ou DDoS de telle sorte que les messages d’erreurs en­trai­nent une panne complète du système. Les attaques Ping of Death (ou Ping de la mort) et Land (local area network denial) font parties de cette catégorie d’attaque.

• Ping of Death : ce modèle d’attaque a pour objectif de provoquer un arrêt du système. Les hackers profitent en effet de l’exécution des erreurs du protocole internet (IP). Les paquets IP sont gé­né­ra­le­ment envoyés par fragments plus petits que la taille maximale de 64 Ko. Ainsi le programme qui reçoit les paquets les réas­semble et se bloque ou tombe en panne. Cela peut conduire aussi à un « Buffer Overflow » (dé­pas­se­ment de tampon), qui peut ainsi en­dom­ma­ger fortement un programme en écrivant plus de données qu’il ne peut contenir, dans le but ensuite d’écraser des parties du code de l’ap­pli­ca­tion et ainsi de rentrer des données né­ces­saire pour exploiter la panne du programme.
   
• Attaque Land : pour ce type d’attaque, le hacker envoie un paquet SYN en lien avec le TCP à trois temps (voir ci-dessus). Le paquet SYN a la même cible et adresse d’envoi que le serveur cor­res­pon­dant qui doit être attaqué. Le serveur répond alors à la requête en envoyant lui-même une réponse sous la forme d’un paquet SYN/ACK. Ceci peut donc être in­ter­prété comme une nouvelle demande de connexion qui doit ainsi à nouveau être répondu avec un paquet SYN /ACK. La con­sé­quence est donc une surcharge de capacité car le système tente en vain de répondre cons­tam­ment aux requêtes, ce qui fi­na­le­ment paralyse le système.

Plusieurs mesures de sécurité ont étés mises au point afin de contrer les sur­charges des systèmes des attaques DoS et DDoS. Par exemple, une des solutions peut être d’iden­ti­fier des adresses IP critiques et de combler les failles de sécurité. En sus, il est né­ces­saire de fournir suf­fi­sam­ment de res­sources ma­té­rielles et logiciels pour pouvoir compenser des attaques mineures.

• IP-Blacklist : bla­ck­lis­ter permet d’iden­ti­fier les adresses IP critiques et de rejeter les paquets de données. Cette mesure de sécurité peut être exécutée ma­nuel­le­ment et au­to­ma­ti­que­ment grâce à des bla­ck­lists dy­na­miques via le pare-feu.
   
• Filtrage : pour filtrer les paquets de donnés anormaux, il est possible de définir des limites des volumes de données dans une période spé­ci­fique. Toutefois, il faut faire attention aux proxys, en effet de nombreux clients sont en­re­gis­trés avec la même adresse IP sur le serveur et peuvent ainsi être po­ten­tiel­le­ment bloqués.
   
• Cookies SYN : pes cookies SYN se con­centrent sur les failles de sécurité lors d’une connexion TCP. Si ces mesures de sécurité sont générées, l’in­for­ma­tion con­cer­nant le paquet SYN ne sera plus en­re­gis­tré sur le serveur, mais envoie un Crypto-cookie au client. L’attaque SYN a bien lieu mais ne surcharge pas la mémoire du système ciblé.
   
• Load Balancing : une mesure efficace contre la surcharge est de répartir les charges sur plusieurs systèmes, ce qui est faisable grâce au Load Balancer. Ainsi la capacité ma­té­rielle dis­po­nible est repartie sur plusieurs machines physiques. A un certain niveau, cela peut être une parade contre les attaques Dos et DDoS.