25 types d’attaques DDoS sur des sites Web que vous devez connaître

La plupart des gens supposent qu’une attaque DDoS n’est qu’un attaquant DDoS qui envoie des paquets de données indésirables vers un site Web qu’il souhaite fermer. En fait, le DDoS est bien plus que cela. La première attaque DDoS au monde a été signalée en 1974 lorsque David Dennis, 13 ans, étudiant à University High School, a envoyé des centaines de demandes Ext au terminal PLATO du Laboratoire de recherche en éducation par ordinateur (CERL).

La toute première attaque DDoS à grande échelle utilisant un botnet s’est produite en août 1999, lorsqu’un pirate informatique a utilisé un outil appelé «Trinoo» pour désactiver le réseau informatique de l’Université du Minnesota pendant plus de deux jours. Trinoo consistait en un réseau de machines compromises appelées «Masters» et «Daemons», permettant à un attaquant d’envoyer une instruction DoS aux botnets.

 

En ce qui concerne le présent, comparez cela à la récente attaque DDoS sur GitHub impliquant une attaque de 1,35 térabits par seconde (Tbps) contre le site. Ce coup de poing virtuel a été livré sans l’aide d’un botnet et a mis GitHub hors service pendant près d’un mois.

Au fil des ans, la taille du DDoS vient d’augmenter, la plupart des attaques DDoS atteignant en moyenne 50 Go. Le DDoS reste le principal vecteur de menaces destructrices et en constante évolution qui peut mettre même un site Web hautement protégé hors ligne en l’inondant de trafic indésirable.

 

Qu’est-ce qu’une attaque DDoS?

Une attaque par déni de service distribué (DDoS) est une tentative malveillante de perturber le trafic normal d’un serveur, d’un service ou d’un réseau ciblé en submergeant la cible ou son infrastructure environnante par un flot de paquets de données indésirables.

Les attaques DDoS atteignent leur efficacité en utilisant plusieurs systèmes informatiques compromis, appelés réseaux de zombies, comme sources de trafic d’attaque. Les botnets ou les machines zombies peuvent inclure des ordinateurs / ordinateurs portables et d’autres ressources en réseau telles que les appareils IoT. À partir d’un niveau élevé, une attaque DDoS est comme un embouteillage obstruant l’autoroute Internet, empêchant le trafic régulier d’arriver à sa destination souhaitée.

 

Pour attaquer un système, les pirates vont à ces trois catégories pour former la base de l’attaque:

  • Attaques de protocole: ces attaques sont utilisées pour épuiser les ressources du serveur ou du pare-feu.

  • Attaques volumétriques (basées sur le volume): l’attaque DDoS de 1996 en était une. Ces attaques sont les «classiques» qui encombrent la bande passante d’un réseau cible avec une quantité considérable de paquets de trafic.

  • Attaques de la couche application (couche 7 DDoS): ces attaques ciblent des applications Web spécifiques plutôt que l’ensemble du réseau. Celles-ci sont particulièrement difficiles à prévenir et à atténuer tout en étant relativement faciles à orchestrer.

Pour implémenter l’une de ces attaques, il existe 25 sous-types de méthodes d’attaques DDoS utilisées à l’ère actuelle:

1. NTP Flood (NTP Amplification)

Le Network Time Protocol (NTP), l’un des plus anciens protocoles de mise en réseau chargés de la synchronisation d’horloge entre les systèmes électroniques, est au cœur d’un autre vecteur d’attaque DDoS. L’idée est d’exploiter des serveurs NTP accessibles au public pour surcharger un réseau cible avec un grand nombre de paquets UDP.

2. Fraggle Attack

Cette technique DDoS suit une logique similaire à l’attaque Schtroumpf, sauf qu’elle déluge la victime visée avec de nombreux paquets UDP plutôt que des requêtes d’écho ICMP.

3. SYN-ACK Flood

La logique de ce vecteur d’attaque est d’abuser de l’étape de communication TCP où le serveur génère un paquet SYN-ACK pour accuser réception de la demande du client. Pour exécuter cet assaut, les escrocs inondent les ressources CPU et RAM du serveur avec une multitude de paquets SYN-ACK escrocs.

4. ACK & PUSH ACK Flood

Une fois que la négociation TCP à trois a abouti à l’établissement d’une connexion entre un hôte et un client, les paquets ACK ou PUSH ACK sont envoyés dans les deux sens jusqu’à la fin de la session. Un serveur ciblé par ce type d’attaque DDoS ne peut pas identifier l’origine des paquets falsifiés et gaspille toute sa capacité de traitement en essayant de déterminer comment les gérer.

5. Fragmented ACK Flood

Cette attaque est une imitation de la technique d’inondation ACK & PUSH ACK mentionnée ci-dessus. Cela revient à déloger un réseau cible avec un nombre relativement faible de paquets ACK fragmentés qui ont une taille maximale autorisée, généralement 1 500 octets chacun. Les équipements réseau tels que les routeurs finissent par manquer de ressources en essayant de réassembler ces paquets. De plus, les paquets fragmentés peuvent glisser sous le radar des systèmes de prévention des intrusions (IPS) et des pare-feu.

6. Spoofed Session Flood (Fake Session Attack)

Afin de contourner les outils de protection du réseau, les cybercriminels peuvent forger une session TCP plus efficacement en soumettant un faux paquet SYN, une série de paquets ACK et au moins un paquet RST (réinitialisation) ou FIN (terminaison de connexion). Cette tactique permet aux escrocs de contourner les défenses qui ne gardent un œil que sur le trafic entrant plutôt que d’analyser le trafic de retour.

7. UDP Flood

Comme son nom l’indique, cette attaque DDoS exploite plusieurs paquets UDP (User Datagram Protocol). Pour mémoire, les connexions UDP manquent d’un mécanisme d’établissement de liaison (contrairement à TCP), et donc les options de vérification d’adresse IP sont très limitées. Lorsque cette exploitation bat son plein, le volume de paquets factices dépasse la capacité maximale du serveur cible pour traiter et répondre aux demandes.

8. DNS Flood

Celui-ci est une variante de UDP Flood qui héberge spécifiquement les serveurs DNS. Le malfaiteur génère une multitude de faux paquets de demande DNS ressemblant à des paquets légitimes qui semblent provenir d’un grand nombre d’adresses IP différentes. DNS Flood est l’un des raids de déni de service les plus difficiles à prévenir et à récupérer.

9. VoIP Flood

Il s’agit d’une forme courante d’inondation UDP qui cible un serveur VoIP (Voice over Internet Protocol). La multitude de fausses demandes VoIP envoyées à partir de nombreuses adresses IP drainent les ressources du serveur victime et le mettent hors ligne à la fin de la journée.

10. SYN Flood

Cette attaque exploite la prise de contact à trois voies TCP, une technique utilisée pour établir une connexion entre un client, un hôte et un serveur à l’aide du protocole TCP. Normalement, un client soumet un message SYN (synchronisation) au serveur pour demander une connexion.

Lorsqu’une attaque SYN Flood est en cours, les criminels envoient une pléthore de ces messages à partir d’une adresse IP usurpée. En conséquence, le serveur de réception devient incapable de traiter et de stocker autant de paquets SYN et refuse le service aux clients réels.

11. CHARGEN Flood

À l’instar du NTP, le Character Generator Protocol (CHARGEN) est un ancien dont l’émergence remonte aux années 1980. Malgré cela, il est toujours utilisé sur certains appareils connectés tels que les imprimantes et les photocopieuses. L’attaque se résume à l’envoi de minuscules paquets contenant l’IP fabriquée par un serveur victime à des appareils avec le protocole CHARGEN activé. En réponse, les appareils connectés à Internet soumettent des paquets UDP au serveur, l’inondant ainsi de données redondantes.

12. SSDP Flood

Les malfaiteurs peuvent exploiter les appareils en réseau exécutant les services Universal Plug and Play (UPnP) en exécutant une attaque DDoS basée sur la réflexion SSDP (Simple Service Discovery Protocol). Sur une note latérale, SSDP est intégré dans le cadre du protocole UPnP. L’attaquant envoie de petits paquets UDP avec une adresse IP usurpée d’un serveur cible à plusieurs appareils exécutant UPnP. En conséquence, le serveur est inondé de demandes de ces appareils au point où il se déconnecte.

13. SNMP Flood (SNMP Amplification)

Chargé de récolter et d’organiser les données sur les appareils connectés, le protocole SNMP (Simple Network Management Protocol) peut devenir le pivot d’une autre méthode d’attaque. Les cybercriminels bombardent un serveur, un commutateur ou un routeur cible avec de nombreux petits paquets provenant d’une adresse IP fabriquée. Alors que de plus en plus d’appareils «à l’écoute» répondent à cette adresse usurpée, le réseau ne peut pas faire face à l’immense quantité de ces réponses entrantes.

14. HTTP Flood

Lors de l’exécution d’une attaque DDoS HTTP Flood, un adversaire envoie des demandes GET ou POST ostensiblement légitimes à un serveur ou une application Web, siphonnant la plupart ou la totalité de ses ressources. Cette technique implique souvent des réseaux de zombies composés d’ordinateurs «zombies» précédemment contaminés par des logiciels malveillants.

15. Recursive HTTP GET Flood

Pour perpétuer cette attaque, un acteur malveillant demande un tableau de pages Web à un serveur, inspecte les réponses et demande de manière itérative chaque élément de site Web pour épuiser les ressources du serveur. L’exploitation ressemble à une série de requêtes légitimes et peut être difficile à identifier.

16. ICMP Flood

Également appelée Ping Flood, cette incursion vise à inonder un serveur ou un autre périphérique réseau avec de nombreuses requêtes d’écho ou pings ICMP (Internet Control Message Protocol) usurpés. Ayant reçu un certain nombre de pings ICMP, le réseau répond avec le même nombre de paquets de réponse. Étant donné que cette capacité de réponse est limitée, le réseau atteint son seuil de performances et ne répond plus.

17. Misused Application Attack

Au lieu d’utiliser des adresses IP usurpées, cette attaque parasite les ordinateurs clients légitimes exécutant des applications gourmandes en ressources telles que les outils P2P. Les escrocs redirigent le trafic de ces clients vers le serveur victime pour le réduire en raison d’une charge de traitement excessive. Cette technique DDoS est difficile à empêcher car le trafic provient de machines réelles précédemment compromises par les attaquants.

18. IP Null Attack

Celui-ci est effectué en envoyant une série de paquets contenant des en-têtes IPv4 invalides qui sont censés porter les détails du protocole de la couche transport. L’astuce est que les acteurs de la menace définissent cette valeur d’en-tête sur null. Certains serveurs ne peuvent pas traiter correctement ces paquets d’apparence corrompue et gaspillent leurs ressources en essayant de trouver comment les gérer.

19. Smurf Attack

Celui-ci implique une souche de malware appelée Smurf pour inonder un réseau informatique avec des requêtes ping ICMP portant une adresse IP usurpée de la cible. Les appareils récepteurs sont configurés pour répondre à l’adresse IP en question, ce qui peut produire un flot de pings que le serveur ne peut pas traiter.

20. LAND attack

Pour effectuer une attaque de refus de réseau local (LAND), un acteur de menace envoie un message SYN fabriqué dans lequel les adresses IP source et de destination sont les mêmes. Lorsque le serveur tente de répondre à ce message, il se met en boucle en générant de manière récurrente des réponses à lui-même. Cela conduit à un scénario d’erreur et l’hôte cible peut éventuellement se bloquer.

21. Ping of Death Attack

Pour déclencher ce raid, les cybercrooks empoisonnent un réseau victime avec des paquets ping non conventionnels dont la taille dépasse considérablement la valeur maximale autorisée (64 octets). Cette incohérence oblige le système informatique à allouer trop de ressources pour réassembler les paquets non autorisés. À la suite de cela, le système peut rencontrer un débordement de tampon ou même un crash.

22. Slowloris

Cette attaque se démarque de la foule car elle nécessite une bande passante très faible et peut être exécutée à l’aide d’un seul ordinateur. Il fonctionne en établissant plusieurs connexions simultanées à un serveur Web et en les maintenant ouverts pendant une longue période. L’attaquant envoie des demandes partielles et les complète avec des en-têtes HTTP de temps en temps pour s’assurer qu’ils n’atteignent pas une étape d’achèvement. Par conséquent, la capacité du serveur à maintenir des connexions simultanées est épuisée et il ne peut plus traiter les connexions de clients légitimes.

23. Low Orbit Ion Cannon (LOIC)

Conçu à l’origine comme un outil de test de stress réseau, LOIC peut être armé dans des attaques DDoS réelles. Codé en C #, ce logiciel open source déluge un serveur avec un grand nombre de paquets (UPD, TCP ou HTTP) dans le but de perturber le fonctionnement d’une cible. Cet assaut est généralement soutenu par un botnet composé de milliers de machines et coordonné par un seul utilisateur.

24. High Orbit Ion Cannon (HOIC)

HOIC est une application accessible au public qui a remplacé le programme LOIC susmentionné et a un potentiel de perturbation beaucoup plus important que son précurseur. Il peut être utilisé pour soumettre une pléthore de requêtes «GET» et HTTP POST à un serveur simultanément, ce qui finit par mettre un site Web cible hors ligne. HOIC peut affecter jusqu’à 256 domaines différents en même temps.

25. ReDoS

ReDoS signifie «déni de service par expression régulière». Son objectif est de surcharger l’implémentation des expressions régulières d’un programme avec des instances de modèles de recherche de chaînes très complexes. Un acteur malveillant peut déclencher un scénario de traitement des expressions régulières dont la complexité algorithmique fait que le système cible gaspille des ressources superflues et ralentit ou se bloque.

Je parie que vous ne saviez pas que ces nombreux vecteurs DDoS existaient. Si vous aimez cet article et souhaitez que nous développions les différents vecteurs DDoS, faites-le nous savoir dans les commentaires.

 

One Response

Leave a Reply