Académique Documents
Professionnel Documents
Culture Documents
Les attaques DoS et DDoS peuvent prendre de nombreuses formes et être utilisées à
des fins diverses. Il peut s’agir de faire perdre des clients à une entreprise, de paralyser
un concurrent, de distraire l’attention d’autres attaques, ou simplement de causer des
problèmes ou de faire une déclaration. Voici quelques formes courantes prises par ces
attaques.
Attaque Teardrop
Une attaque Teardrop est une attaque DoS qui envoie d’innombrables fragments de
données de protocole Internet (Internet Protocol, IP) à un réseau. Lorsque le réseau
tente de recompiler les fragments dans leurs paquets d’origine, il n’y parvient pas.
Par exemple, l’attaquant peut prendre des paquets de données très volumineux et les
diviser en multiples fragments que le système ciblé va réassembler. Cependant,
l’attaquant change la façon dont le paquet est désassemblé pour induire en erreur le
système ciblé, qui est alors incapable de réassembler les fragments en paquets
d’origine.
Une attaque par saturation est une attaque DoS qui envoie plusieurs demandes de
connexion à un serveur, mais ensuite ne répond pas pour établir la liaison.
Par exemple, l’attaquant peut envoyer diverses demandes de connexion en tant que
client, mais lorsque le serveur tente de communiquer pour vérifier la connexion,
l’attaquant refuse de répondre. Après avoir répété le processus d’innombrables fois, le
serveur devient tellement saturé de demandes en attente que les clients réels ne
peuvent pas se connecter, et le serveur devient « occupé » ou même tombe en panne.
Une attaque par fragmentation IP est un type d’attaque DoS qui fournit des paquets de
réseaux altérés que le réseau récepteur ne peut pas réassembler. Le réseau est alors
encombré de paquets volumineux non assemblés qui utilisent toutes ses ressources.
Attaque volumétrique
Une attaque volumétrique est un type d’attaque DDoS utilisé pour cibler les ressources
de largeur de bande. Par exemple, l’attaquant utilise un réseau zombie pour envoyer un
volume élevé de paquets de requêtes à un réseau, submergeant sa largeur de bande de
requêtes d’écho d’Internet Control Message Protocol (ICMP). Cela entraîne un
ralentissement ou même l’arrêt total des services.
Attaque de protocole
Une attaque de protocole est un type d’attaque DDoS qui exploite les faiblesses des
couches 3 et 4 du modèle OSI. Par exemple, l’attaquant peut exploiter la séquence de
connexion TCP en envoyant des requêtes, mais en ne répondant pas comme prévu ou
en répondant avec une autre requête en utilisant une adresse IP source usurpée. Les
requêtes sans réponse utilisent les ressources du réseau jusqu’à ce qu’il devienne
indisponible.
Une attaque au niveau de l’application est un type d’attaque DDoS qui cible la couche
7 du modèle OSI. Un exemple de ce type d’attaque est Slowloris, dans laquelle
l’attaquant envoie des requêtes Hypertext Transfer Protocol (HTTP) partielles, mais ne
les termine pas. Des en-têtes HTTP sont envoyés périodiquement pour chaque requête,
ce qui entraîne l’immobilisation des ressources réseau.
Amplification DDoS :
Dans une attaque d'amplification, l'attaquant envoie des requêtes à des serveurs mal
configurés, exploitant leur capacité à générer des réponses beaucoup plus
volumineuses que les requêtes initiales. Ces réponses amplifiées sont dirigées vers
la cible, saturant ainsi sa bande passante et provoquant un déni de service.
Les attaques de réflexion DNS exploitent les serveurs DNS en envoyant des
requêtes avec une adresse IP source falsifiée. Les serveurs DNS renvoient leurs
réponses à la cible, augmentant ainsi la charge sur ses ressources.
HTTP Flood :
Une attaque HTTP Flood consiste à inonder un serveur cible avec un grand nombre
de requêtes HTTP légitimes. Cela peut entraîner une surcharge du serveur, le
rendant incapable de répondre aux demandes légitimes.
SYN/ACK Flood :
Ping of Death :
Cette attaque exploite des vulnérabilités dans la manière dont certains systèmes
traitent les paquets ICMP de taille anormalement grande. L'envoi de tels paquets
peut provoquer un débordement de tampon et entraîner un crash du système cible.
NTP Amplification :
Similaire à l'amplification DDoS, cette attaque utilise des serveurs NTP mal
configurés pour amplifier le trafic dirigé vers la cible en renvoyant des réponses plus
volumineuses que les requêtes initiales.
DNS Spoofing :
L'attaquant falsifie les réponses DNS pour rediriger le trafic légitime vers des
serveurs malveillants. Cela peut entraîner une surcharge du réseau cible ou un
détournement de trafic.
Smurf Attack :
Une attaque Smurf exploite le protocole ICMP en envoyant des paquets de demande
d'écho (ping) à des réseaux de diffusion avec une adresse IP source falsifiée. Les
réponses sont renvoyées à la cible, provoquant une saturation du réseau.
Surveillance du réseau :
Utilisez des outils de surveillance en temps réel pour identifier les modèles de trafic
normaux. Les anomalies peuvent indiquer une attaque en cours. La détection
précoce est cruciale pour une réponse rapide.
Avoir une bande passante supplémentaire peut aider à absorber les pics de trafic
pendant une attaque. Bien que cela ne stoppe pas nécessairement l'attaque, cela
peut réduire son impact en assurant la disponibilité des services.
Protection multicouche :
Adoptez des outils de reporting avancés et des analyses pour évaluer l'efficacité des
mesures de protection, comprendre les tendances des attaques, et ajuster votre
stratégie de sécurité en conséquence.
Si votre infrastructure repose sur des services cloud, collaborez avec les fournisseurs
de services cloud pour mettre en place des mécanismes de protection DDoS au
niveau du cloud.