Selon Wikipédia, une attaque par déni de service (Denial of Service – DoS) est une attaque informatique ayant pour but de rendre indisponible un service (fourni par une ou plusieurs machines) afin d’empêcher les utilisateurs légitimes de l’utiliser.

Derrière cette définition se cache le plus souvent une action visant à :

• Saturer une ressource afin que celle-ci ne soit plus en mesure de rendre son service;
• Perturber un service via envoi de requêtes non supportées par ce dernier;
• Ou encore dissimuler une autre attaque.

Cette attaque est qualifiée de distribuée (Distributed Denial of Service – DDoS) lorsqu’elle utilise plusieurs sources attaquantes distinctes. Pour réaliser ce type d’attaque, les cybercriminels utilisent généralement des réseaux de machines infectées (botnet) qu’ils sont en mesure de contrôler à distance.

En fonction de l’entité et des services visés, les conséquences et risques d’une attaque DoS/DDoS peuvent être nombreux:

• Dégradation de l’image de la société;
• Pertes financières;
• Risque de pertes de données ou d’accès à des informations critiques
• etc…

On distingue trois grandes familles d’attaques DoS/DDoS :

• Attaques volumétriques;
• Attaques par saturation d’état;
• Attaques applicatives.

Celles-ci peuvent être combinées et ainsi donner naissance à des attaques hybrides.  Certaines d’entre elles sont conçues pour attaquer une cible en se servant d’un tiers comme pivot d’attaque : on parle en ce cas d’attaque par réflexion. Ce type d’attaque met en oeuvre de l’usurpation au niveau de l’adresse IP source du message. Il est par ailleurs souvent accompagné d’une amplification lorsque la bande passante requise pour l’attaque est inférieure à celle générée par la réponse.

Les attaques réflectives sont d’autant plus amplifiées si le protocole utilisé pour l’attaque ne nécessite pas l’établissement d’une connexion ou ne met pas en œuvre de mécanisme de vérification des messages.

Les attaques volumétriques tentent de noyer les réseaux sous une charge très élevée de trafic, ne laissant plus de bande passante (ou capacité de traitement) disponible pour les usages légitimes. Ces attaques correspondent tout simplement à une quantité exceptionnelle de trafic reçue dans un intervalle de temps restreint. Les attaques par innondation de requêtes (flooding) ICMP/UDP/TCP/IP font partie des attaques volumétriques les plus observées.

Notez que tout composant dispose d’une capacité finie de traitement. En cas de dépassement de cette dernière, le composant n’est plus en mesure de rendre le service assuré. Ainsi, sans aucune protection particulière, tout composant reste vulnérable aux attaques DDoS volumétriques. Un déni de service peut donc survenir sans attaque! En effet une forte affluence de trafic légitime peut également conduire à un déni de service même si ce dernier n’est pas intentionnellement réalisé.

Les attaques par saturation d’états touchent l’ensemble des systèmes pour lesquels le maintien d’une table d’états est impératif. En effet, ces équipements (pare-feux, IPS, répartiteurs de charge, serveurs applicatifs, …) ont besoin de valider dans un temps fini les flux qu’ils reçoivent en utilisant des ressources mémoire et processeur.

Les attaques par saturation d’état visent à consommer ces ressources en envoyant des paquets corrompus, dans la mauvaise séquence, ou à l’inverse en n’envoyant jamais les paquets attendus jusqu’à épuisement de la cible. Ces attaques sont bien spécifiques car elles nécessitent une compréhension plus fine des échanges protocolaires. Elles peuvent être « hybridées » avec la technique d’attaque volumétrique.

Deux méthodes d’attaques sont régulièrement utilisées pour parvenir à une saturation d’état: l’envoi de requêtes fragmentées et/ou lentes.

Les attaques applicatives ciblent spécifiquement des applications ou services présents sur les serveurs. Elles peuvent au mieux ralentir le fonctionnement de l’application, et au pire provoquer un crash du service, de l’application voire du serveur.

Les attaques applicatives utilisent pour cela des paquets malformés ou illégitimes (injection SQL, envoi de requêtes spécifiques provoquant une amplification de réponse, …). Elles consomment généralement beaucoup moins de bande passante que les attaques volumétriques et la plupart des attaques par saturation d’états, ce qui rend leur détection assez difficile.

La défense contre une attaque DoS/DDoS requiert la mise en place d’un plan de réponse adapté. Ce processus commence, entre autre, par la compréhension de ce type d’attaque (objet de cet article).

Il doit ensuite prévoir une phase d’analyse de risque puis de mise en place de moyens techniques et humains. N’hésitez pas à contacter notre cabinet pour tout accompagnement dans la mise en oeuvre de votre stratégie de défense DDoS.