Guide sur le déni de service

Description du problème

On appelle déni de service (DoS) une tentative de rendre une machine ou un réseau inaccessible aux utilisateurs ciblés. Une attaque par DoS est généralement constituée d’actions visant à interrompre ou à suspendre temporairement ou indéfiniment les services d’un hôte connecté à Internet. Une attaque par DoS lancée à partir d’un grand nombre de sources devient une attaque par déni de service distribué (DDoS), contre laquelle il est très difficile de se défendre. Certains des plus importants sites Web et systèmes privés et gouvernementaux sur Internet ont déjà été paralysés par des attaques par DDoS.

Le type le plus commun d’attaque par DoS utilise des ressources comme la bande passante, la mémoire, l’espace disque ou le temps processeur. Les méthodes utilisées pour parvenir à ces résultats varient grandement.

iWeb offre aux victimes d’attaques par DDoS d’acheter le module d’extension DDoS d’Incapsula. Veuillez envoyer vos demandes à notre service des ventes. En apprendre davantage sur Incapsula.

 

Les vulnérabilités qui causent les attaques par DDoS

Entendons-nous. La plupart des clients ne feraient pas le choix d’être la cible d’une attaque par DDoS. Si votre serveur est vulnérable à une attaque par DDoS, ou s’il en fait actuellement l’objet, vous devez prendre des mesures pour corriger la situation et éviter qu’elle ne se produise, ou pour l’arrêter et l’empêcher de se reproduire.

 

Réflexion

Il existe un certain nombre de vulnérabilités très connues pouvant utiliser la « réflexion » pour provoquer une attaque par DDoS sur votre serveur. Ce procédé consiste à envoyer de fausses demandes à un très grand nombre d’ordinateurs afin que ces derniers y répondent. Quand les demandes sont falsifiées, la cible de l’attaque est utilisée comme adresse IP d’origine, ce qui signifie que toutes les réponses lui seront transmises (et l’inonderont).

Certains services répondent aux demandes en utilisant plus de données qu’ils ont reçues, ce qui permet aux pirates d’amplifier l’attaque contre leur cible. Ces pirates se servent à la fois de services qui non seulement réfléchissent les paquets de données vers les sources mystifiées, mais également font croître la quantité de données envoyées à la cible de l’attaque.

Les services concernés par l’amplification et la mystification sont :

  • le protocole NTP
  • CHARGEN
  • le service DNS
  • l’application réseau QOTD
  • le protocole Quake Network
  • le protocole SSDP
  • le réseau kad
  • le protocole SNMPv2
  • le protocole Steam
  • le protocole NetBIOS
  • le protocole BitTorrent

Les services énumérés ci-dessus sont triés de la plus grande amplification possible (haut) à la plus petite (bas). Les protocoles NetBIOS et BitTorrent ne possèdent qu’un facteur d’amplification de 4, mais le protocole NTP peut multiplier par 550 le trafic envoyé à l’origine. Cela signifie que l’envoi de 10 octets de données à un serveur NTP mal configuré à partir d’une source mystifiée peut engendrer l’envoi de 5500 octets à la cible de l’attaque. En répétant ceci des milliers de fois par minute en utilisant des centaines de réflecteurs, on peut facilement perturber l’accessibilité aux services de la cible de l’attaque.

 

Un compte compromis qui exécute un programme malveillant

Dans certains cas moins courants, on peut utiliser un compte d’utilisateur ou même un site Web compromis pour exécuter des programmes malveillants qui provoquent des attaques par déni de service. Dans un tel cas, consultez notre article qui explique comment repérer le Trafic hostile sortant.

Vous avez d’autres questions ? Envoyer une demande

0 Commentaires

Cet article n'accepte pas de commentaires.
Réalisé par Zendesk