AttaqueDeniDeService

Une attaque par déni de service (denial of service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut prendre plusieurs formes dont les plus connues sont l’encombrement de réseau, la perturbation de la connectivité entre 2 machines travaillant en synergie, l’obstruction d’accès à un service à une personne en particulier.

Les attaques par déni de service sont un fléau pouvant toucher tout serveur d’entreprise ou tout particulier relié à internet. Le but d’une telle attaque n’est pas de récupérer ou d’altérer des données, mais de nuire à la réputation de sociétés ayant une présence sur internet et éventuellement de nuire à leur fonctionnement si leur activité repose sur un système d’information.

Les procédures d’attaques

Le principe des attaques par déni de service consiste à envoyer des paquets IP ou des données de taille ou de constitution inhabituelle, afin de provoquer une saturation ou un état instable des machines victimes et de les empêcher ainsi d’assurer les services réseau qu’elles proposent

Les attaques par déni de service distribués DDOS

Une attaque par déni de service distribué (DDoS) survient lorsque plusieurs hôtes (PC compromis faisant partie d’un « réseau zombie » par exemple) sont utilisés pour lancer et amplifier une attaque. Les attaquants créent généralement un état de déni de service en consommant la bande passante du serveur ou en affaiblissant directement le serveur. Les cibles habituelles comprennent les serveurs Web, les serveurs DNS, les serveurs d’application, les routeurs, les pare-feux et la bande passante sur Internet.

Les protections contre les attaques de déni de service

Les attaques par déni de service non distribuées peuvent être contrées en identifiant l’adresse IP de la machine émettant les attaques et en la bannissant au niveau du pare-feu ou du serveur. Les paquets IP provenant de la machine hostile sont dès lors rejetés sans être traités empêchant que le service du serveur ne soit saturé et ne se retrouve donc hors-ligne.

Les attaques par déni de service distribuées sont plus difficiles à contrer. Le principe même de l’attaque par déni de service distribuée est de diminuer les possibilités de stopper l’attaque. Celle-ci émanant de nombreuses machines hostiles aux adresses différentes, bloquer les adresses IP limite l’attaque mais ne l’arrête pas. Thomas Longstaff de l’université Carnegie-Mellon explique à ce sujet que : « En réalité, la prévention doit plus porter sur le renforcement du niveau de sécurité des machines connectées au réseau (pour éviter qu’une machine puisse être compromise) que sur la protection des machines cibles (les serveurs Web).

Une architecture répartie, composée de plusieurs serveurs offrant le même service gérés de sorte que chaque client ne soit pris en charge que par l’un d’entre eux, permet de répartir les points d’accès aux services et offre, en situation d’attaque, un mode dégradé (ralentissement) souvent acceptable.

Selon les attaques il est également possible de mettre un serveur tampon qui filtre et nettoie le trafic. Ce serveur, « cleaning center » permet en cas d’attaques de faire en sorte que les requêtes malveillantes ne touchent pas le serveur visé.

Un peu d’histoire à présent

La première attaque DDOS médiatisée dans la presse grand public a eu lieu en février 2000, causé par Michael Calce, mieux connu sous le nom de Mafiaboy. Le 7 février, Yahoo! a été victime d’une attaque DDOS qui a rendu son portail Internet inaccessible pendant trois heures. Le 8 février, Amazon.com, Buy.com, CNN et eBay ont été touchés par des attaques DDOS qui ont provoqué soit l’arrêt soit un fort ralentissement de leur fonctionnement. Le 9 février, E-Trade et ZDNet ont à leur tour été victimes d’attaques DDOS.

septembre 2001, un certain virus Code Red3 infecte quelques milliers de systèmes, et une seconde version, intitulée Code Red II, installe un agent DDOS. Les rumeurs prétendent qu’il devait lancer une attaque contre la Maison-Blanche

La première version de Slapper, apparue à la mi-septembre 2002, a contaminé plus de 13 000 serveurs Linux en deux semaines.