Le déni de service

Publié le 22 février 2016 par securitywatchblog

Le principe

Une attaque par déni de service (denial of service attack , d’où l’abréviation DOS) est une attaque ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser en saturant la bande passante d’un serveur défini. Celle-ci est principalement utilisée contre des entreprises de commerce en ligne, afin d’obtenir un rançon contre l’arrêt de l’attaque.

Jadis réalisées par un seul attaquant, elles sont aujourd’hui distribuées. On parle alors de DDoS (distributed denial of service attack).

Les techniques classiques

L’une des principales caractéristiques de ce type d’attaque est que pour être exécutée, l’attaquant n’a pas besoin d’avoir autant de ressources (CPU, vitesse du réseau, etc.) que la machine attaquée : c’est une attaque asymétrique.

Il existe de nombreuses manières de faire un DOS, nous ne citerons ici que deux des principales.

L’une des plus utilisées est le déni de service SYN Flood, qui consiste à initialiser de manières répétée des connexions incomplètes avec un serveur. Pour chaque demande de connexion, le serveur attend que le connexion soit complétée par la réception d’un « message » envoyée par l’attaquant. Ce « message » n’étant jamais envoyé, le serveur est dans une attente perpétuelle.

220px-Tcp_synflood

Schéma d’une attaque par SYN Flood

On trouve aussi le smurfing, qui consiste à usurper l’adresse IP de la cible et à émettre en son nom de nombreux paquets ICMP EchoRequest vers l’adresse broadcast d’un réseau constitué d’un grand nombre d’ordinateurs. Ceux-ci vont alors tous répondre à la machine cible, et saturer ainsi ses services.

Actualité des attaques par déni de service

Le nombre d’attaques par déni de service distribués et les dégâts qu’ils ont engendré est en augmentation ces dernières années. D’après un rapport publié dans un célèbre magazine américain, celles-ci n’ont jamais été plus présentes qu’au dernier trimestre 2015, où leur fréquence a augmenté de 85% sur la fin d’année par rapport à la fin d’année 2014, et de 15% par rapport au trimestre précédent. Les cibles des attaques peuvent par ailleurs l’être à de multiples reprises : certaines victimes subissent ce genre d’attaques jusqu’à 16 fois en 3 mois à peine.

Au niveau de l’intensité des attaques, la plus violente a été enregistrée fin 2015 et utilisait le principe du SYN Flood (cf-dessus). Elle lançait environ 125 millions de paquets par seconde, écrasant le précédant record de 91 millions enregistré en fin 2014.

Les entreprises les plus touchées par ce type d’attaques ces derniers temps sont les entreprises fournissant des services autour des technologies de l’information, du cloud, et d’autres services autour du numérique. En effet, 32% des attaques par DDoS le sont contre ce secteur.

Cet article a été publié dans Non classé. Ajoutez ce permalien à vos favoris.

Laisser un commentaire