Comment DDoS | Outils d’attaque DoS et DDoS

Que sont les attaques DoS et DDoS ?

Les attaques par déni de service (DoS) et par déni de service distribué (DDoS) sont des tentatives malveillantes visant à perturber le fonctionnement normal d’un serveur, d’un service ou d’un réseau ciblé en le submergeant par un flot de trafic Internet.

Les attaques DDoS accomplissent cette perturbation en envoyant du trafic malveillant à partir d’une seule machine – généralement un ordinateur. Elles peuvent être très simples ; une attaque basique par inondation ping peut être réalisée en envoyant plus de requêtes ICMP (ping) à un serveur ciblé qu’il n’est capable de traiter et de répondre efficacement.

Les attaques DDoS, quant à elles, utilisent plus d’une machine pour envoyer du trafic malveillant à leur cible. Souvent, ces machines font partie d’un botnet – un ensemble d’ordinateurs ou d’autres appareils qui ont été infectés par des logiciels malveillants et qui peuvent donc être contrôlés à distance par un attaquant individuel. Dans d’autres circonstances, plusieurs attaquants individuels lancent des attaques DDoS en travaillant ensemble pour envoyer du trafic à partir de leurs ordinateurs individuels.

Les attaques DDoS sont plus répandues et plus dommageables dans l’Internet moderne pour deux raisons. Premièrement, les outils de sécurité modernes ont évolué pour arrêter certaines attaques DoS ordinaires. Deuxièmement, les outils d’attaque DDoS sont devenus relativement bon marché et faciles à utiliser.

Comment sont catégorisés les outils d’attaque DoS/DDoS ?

Il existe un certain nombre d’outils qui peuvent être adaptés pour lancer des attaques DoS/DDoS, ou qui sont explicitement conçus dans ce but. La première catégorie est souvent constituée de «  »stressors » » – des outils dont l’objectif déclaré est d’aider les chercheurs en sécurité et les ingénieurs réseau à effectuer des tests de stress contre leurs propres réseaux, mais qui peuvent également être utilisés pour effectuer de véritables attaques.

Certains sont spécialisés et ne se concentrent que sur une couche particulière du modèle OSI, tandis que d’autres sont conçus pour permettre de multiples vecteurs d’attaque. Les catégories d’outils d’attaque comprennent :

Les outils d’attaque faibles et lents

Comme leur nom l’indique, ces types d’outils d’attaque utilisent un faible volume de données et fonctionnent très lentement. Conçus pour envoyer de petites quantités de données à travers plusieurs connexions afin de garder les ports d’un serveur ciblé ouverts aussi longtemps que possible, ces outils continuent d’accaparer les ressources du serveur jusqu’à ce qu’il soit incapable de maintenir des connexions supplémentaires. De manière unique, les attaques faibles et lentes peuvent parfois être efficaces même lorsqu’elles n’utilisent pas un système distribué tel qu’un botnet et sont généralement utilisées par une seule machine.

Les outils d’attaque de la couche d’application (L7)

Ces outils ciblent la couche 7 du modèle OSI, où se produisent les requêtes basées sur Internet telles que HTTP. En utilisant une attaque par inondation HTTP pour submerger une cible avec des requêtes HTTP GET et POST, un acteur malveillant peut lancer un trafic d’attaque qui est difficile à distinguer des requêtes normales faites par de véritables visiteurs.

Les outils d’attaque de la couche protocole et transport (L3/L4)

En descendant plus bas dans la pile de protocoles, ces outils utilisent des protocoles comme UDP pour envoyer de grands volumes de trafic vers un serveur ciblé, comme lors d’une inondation UDP. Bien que souvent inefficaces individuellement, ces attaques se retrouvent généralement sous la forme d’attaques DDoS où le bénéfice de machines attaquantes supplémentaires augmente l’effet.

Quels sont les outils d’attaque DoS/DDoS couramment utilisés ?

Certains outils couramment utilisés incluent :

Low Orbit Ion Cannon (LOIC)

Le LOIC est une application de test de stress open-source. Il permet d’effectuer des attaques sur les couches de protocole TCP et UDP à l’aide d’une interface WYSIWYG conviviale. En raison de la popularité de l’outil original, des dérivés ont été créés qui permettent de lancer des attaques à l’aide d’un navigateur web.

High Orbit Ion Cannon (HOIC)

Cet outil d’attaque a été créé pour remplacer le LOIC en étendant ses capacités et en ajoutant des personnalisations. En utilisant le protocole HTTP, le HOIC est capable de lancer des attaques ciblées qui sont difficiles à atténuer. Le logiciel est conçu pour qu’un minimum de 50 personnes travaillent ensemble dans un effort d’attaque coordonné.

Slowloris

Slowloris est une application conçue pour instiguer une attaque faible et lente sur un serveur ciblé. Elle a besoin d’une quantité relativement limitée de ressources afin de créer un effet dommageable.

R.U.D.Y (R-U-Dead-Yet)

R.U.D.Y. est un autre outil d’attaque faible et lente conçu pour permettre à l’utilisateur de lancer facilement des attaques en utilisant une simple interface de type pointer-cliquer. En ouvrant plusieurs requêtes HTTP POST, puis en gardant ces connexions ouvertes aussi longtemps que possible, l’attaque vise à submerger lentement le serveur ciblé.

Comment puis-je me défendre contre les outils DoS/DDoS ?

Puisque les attaques DoS et DDoS prennent diverses formes, leur atténuation nécessite une variété de tactiques. Les tactiques courantes pour arrêter les attaques DDoS comprennent :

• La limitation du taux : Limiter le nombre de requêtes qu’un serveur acceptera sur une certaine fenêtre de temps
• Pare-feu d’application web : Outils qui filtrent le trafic web en fonction d’une série de règles
• Diffusion de réseaux anycast : Placement d’un grand réseau cloud distribué entre un serveur et le trafic entrant, fournissant des ressources informatiques supplémentaires avec lesquelles répondre aux demandes.

Cloudflare applique toutes ces stratégies et plus encore pour se défendre contre les attaques DoS et DDoS les plus importantes et les plus complexes. En savoir plus sur la protection DDoS de Cloudflare et son fonctionnement.