Les Cas types de cybersécurité(DoS et DDoS)

Une attaque par déni de service submerge les ressources d’un système afin que ce dernier ne puisse pas répondre aux demandes de service. Une attaque DDoS vise elle aussi les ressources d’un système, mais elle est lancée à partir d’un grand nombre d’autres machines hôtes infectées par un logiciel malveillant contrôlé par l’attaquant.

À la différence des attaques conçues pour permettre à un attaquant d’obtenir ou de faciliter des accès, le déni de service ne procure pas d’avantage direct aux attaquants. Le déni de service est une satisfaction en soi pour certains pirates. Cependant, si la ressource attaquée appartient à un concurrent, l’avantage pour l’attaquant est alors bien réel. Une attaque DoS peut aussi avoir pour but de mettre un système hors ligne afin de pouvoir lancer un autre type d’attaque. Un exemple courant de cette technique est le détournement de session, que je décrirai plus loin.

Il existe différents types d’attaques DoS et DDoS ; les plus courantes sont les attaques SYN flood, les attaques teardrop, les attaques par rebond, le ping de la mort et les botnets.

Attaque TCP SYN flood

Un attaquant exploite l’utilisation de l’espace tampon lors du handshake d’initialisation de session TCP. La machine de l’attaquant inonde de demandes de connexion la petite file d’attente de traitement du système cible, mais elle ne réagit pas lorsque le système cible répond à ces demandes. Le système cible se met alors à temporiser en attendant la réponse de la machine de l’attaquant, ce qui fait planter le système ou le rend inutilisable lorsque la file d’attente de connexion se remplit.

Il existe quelques parades aux attaques SYN flood :

·      Placez les serveurs derrière un pare-feu configuré pour bloquer les paquets SYN entrants.

·      Augmentez la taille de la file d’attente de connexion et diminuez le délai d’attente pour les connexions ouvertes.

Attaque teardrop

Cette attaque provoque le chevauchement des champs de longueur et de décalage de fragmentation des paquets séquentiels du protocole Internet (IP) au niveau de l’hôte attaqué ; au cours de ce processus, le système attaqué tente de reconstruire les paquets mais échoue. Le système cible s’embrouille et plante.

En l’absence de correctifs pour se protéger contre cette attaque DoS, désactivez SMBv2 et bloquez les ports 139 et 445.

Attaque Smurf

Cette attaque implique d’usurper une adresse IP et d’utiliser l’ICMP pour saturer de trafic un réseau cible. Cette méthode d’attaque utilise des demandes d’écho ICMP ciblant des adresses IP de diffusion. Ces demandes ICMP proviennent d’une adresse usurpée. Si, par exemple, l’adresse de la victime choisie est 10.0.0.0.10, l’attaquant simule une demande d’écho ICMP de 10.0.0.0.10 à l’adresse de diffusion 10.255.255.255.255. Cette demande est envoyée à toutes les adresses IP de la plage, et toutes les réponses sont renvoyées à 10.0.0.0.10, submergeant ainsi le réseau. Ce processus est répétable et peut être automatisé en vue de générer des encombrements considérables sur le réseau.

Pour protéger vos appareils de ce type d’attaque, désactivez les diffusions dirigées par IP vers les routeurs. Ceci bloquera les demandes d’écho ICMP au niveau des périphériques réseau. Une autre option consiste à configurer les systèmes d’extrémité de manière à les empêcher de répondre aux paquets ICMP provenant des adresses de diffusion.

Ping of death

Ce type d’attaque pingue un système cible avec des paquets IP dont la taille est supérieure au maximum de 65 535 octets. Les paquets IP de cette taille ne sont pas autorisés, le pirate les fragmente donc. Lorsque le système cible réassemble les paquets, il peut subir des débordements de tampon et d’autres plantages.

Les attaques ping de la mort peuvent être bloquées à l’aide d’un pare-feu qui vérifie la taille maximale des paquets IP fragmentés.

Botnets

Les botnets sont des réseaux constitués de millions de systèmes infectés par des logiciels malveillants et contrôlés par des pirates informatiques afin d’effectuer des attaques DDoS. Ces bots ou systèmes zombies sont utilisés pour effectuer des attaques contre les systèmes cibles, souvent en submergeant leur bande passante et leurs capacités de traitement. Ces attaques DDoS sont difficiles à tracer, car les botnets sont disséminés dans des lieux géographiques différents.

Les botnets peuvent être atténués par :

·      le filtrage RFC3704, qui bloque le trafic provenant d’adresses usurpées et contribue à assurer la traçabilité du trafic vers son véritable réseau source. Le filtrage RFC3704 supprime par exemple les paquets provenant d’adresses figurant sur la liste Bogon.

·      Le filtrage par trous noirs, qui élimine le trafic indésirable avant qu’il n’entre dans un réseau protégé. Lorsqu’une attaque DDoS est détectée, l’hôte BGP (Border Gateway Protocol) doit envoyer des mises à jour de routage aux routeurs des FAI, afin qu’ils acheminent tout le trafic à destination des serveurs victimes vers une interface null0 lors du saut suivant.

 

But recherché :

Rendre un service indisponible. Le cybercriminel agit pour des motivations politiques, idéologiques, par goût du challenge, chantage, vengeance, ou pour des raisons économiques (concurrence). Cette attaque peut être utilisée pour faire diversion d’une autre attaque visant à voler des données sensibles de sa cible.

- Commentaires

- Laisser un Commentaire

- Contact

New vulnerabilities are discovered every day. Keep the risk to your information system under control!.

Cybertechs SARL

Call us +225 20 23 04 51 Locate us

K7, Cité Esculape, Avenue Abdoulaye Fadiga Abidjan, Plateau - 24 BP 147 Abidjan 24, Côte d’Ivoire

Cybertechs LLC

Call us +1 (202) 643-4505 Locate us

5313 Smiths Cove Ln Greenbelt, MD 20770 United States of America

- Contact us

Success! Your message has been sent.
Error! Error sending your message.
Secured by CyberTechs CAPTCHA code