DÉNI DE SERVICE DISTRIBUÉ (DDoS)


Le déni de service distribué est une forme particulière de déni de service, simple et efficace, particulièrement répandue. Un déni de service distribué consiste en l'utilisation synchronisée de plusieurs machines, en général des victimes de chevaux de Troie qui, a leur insu, déclenchent une attaque par déni de service sur une cible particulière.


+ d'infos :

D'une manière générale, l'attaque par déni de service ou Denial of Service (DoS) vise à rendre une application informatique incapable de répondre aux requêtes de ses utilisateurs.

Une machine serveur offrant des services à ses clients (par exemple un serveur web) doit traiter des requêtes provenant de plusieurs clients. Lorsque ces derniers ne peuvent en bénéficier pour des raisons délibérément provoquées par un tiers il y a déni de service.

De nombreux types d'attaques par déni de service existent (le simple fait de débrancher la prise d'un serveur peut être qualifiée d'attaque par déni de service) mais l'attaquant procède souvent par saturation d'au moins l'un des éléments chargés d'animer l'application.

L'approche appelée Distributed Denial of Service (DDoS) repose sur une parallèlisation d'attaques DoS, simultanément menées par plusieurs systèmes contre un seul. Cela réduit le temps nécessaire à l'attaque et amplifie ses effets. Dans ce type d'attaque les pirates se dissimulent parfois grâce à des machine-rebonds, utilisées à l'insu de leurs propriétaires. Un ensemble de machine-rebonds, également appelé botnet, est contrôlable par un pirate après infection de chacune d'elles par un programme de type porte dérobée.

Ces attaques sont souvent utilisées par les lamers, les script kiddies ou les concepteurs de virus. Ils peuvent transiter par des botnets.
Ce genre d'attaque est également très utile à un pirate qui ne réussit pas à prendre le contrôle d'une machine en tentant de se faire passer pour une machine de confiance grâce à l'IP spoofing. En effet en cas de demande de session (TCP SYN) avec une adresse IP « spoofée » qui serait celle de la machine de confiance c'est bien cette dernière qui recevrait le paquet TCP SYN/ACK émis par la cible, donc elle réinitialiserait automatiquement la tentative de connexion avec un paquet RST (puisqu'elle n'est pas à l'origine de la demande d'établissement de session), interdisant au pirate d'établir une session.
Depuis quelques années l'attaque par déni de service distribué est utilisée à des fins de chantage et tentative d'extorsion auprès des entreprises dont l'activité commerciale repose sur la disponibilité de leur site Web. Ces rackets sont davantage le fait d'organisations criminelles (mafieuses) que de pirates isolés.

Les attaques de type DoS peuvent être évitées en repérant l'adresse de la machine hostile, dans le cas d'une attaque à distance, et de bannir celle-ci. Les paquets IP provenant de cette machine seront donc dès lors rejetés directement sans être traités.
Les attaques de type DDoS sont beaucoup plus difficiles à éviter, on peut seulement limiter leurs effets dévastateurs en repérant les machines hostiles effectuant trop de requêtes en un temps limité (comportement client anormal) afin de les bannir au fur et à mesure. Cependant une attaque massive et rapide ne sera sans doute pas enrayée ainsi. Une architecture répartie, composée de plusieurs machines serveurs offrant le même service gérées de sorte que chaque adresse IP de machine cliente ne soit prise en charge que par l'un d'entre eux, permet de répartir les points d'accès aux services voulus et offre un mode dégradé (ralentissement) souvent acceptable. L' utilisation de SYN cookies est également une solution envisageable pour éviter les attaques de type SYN flooding mais ne permet pas cependant d'éviter la saturation de la bande passante du réseau.