Le terme DDoS siffle quand le cyber-activisme se dresse en masse. Ces types d'attaques font les manchettes internationales pour de multiples raisons. Les problèmes qui déclenchent ces attaques DDoS sont souvent controversés ou hautement politiques. Comme un grand nombre d'utilisateurs réguliers sont affectés par les attaques, c'est un problème qui joue avec les gens.
Peut-être le plus important, beaucoup de gens ne savent pas ce qui constitue une attaque DDoS. En dépit de sa fréquence croissante, en regardant les titres du journal, les attaques DDoS peuvent aller du vandalisme numérique au cyber-terrorisme à part entière.
Alors, qu'est-ce qu'une attaque DDoS ou Distributed Denial of Service implique? Comment cela fonctionne-t-il et comment affecte-t-il la cible et ses utilisateurs? Ce sont des questions importantes, et c'est ce sur quoi nous allons nous concentrer dans cette instance de MakeUseOf Explains .
Déni de service
Avant d'aborder le problème des attaques DDoS ou des attaques par déni de service distribué, examinons le plus grand groupe de problèmes de déni de service (DoS).
Le déni de service est un problème général. En termes simples, un site Web rencontre des problèmes de DoS lorsqu'il ne peut plus servir ses utilisateurs habituels. Quand trop de gens affluent sur Twitter, le Fail Whale apparaît, indiquant que le site a atteint et dépassé la capacité maximale. Essentiellement, Twitter connaît des DoS.
La plupart du temps, ces problèmes sont provoqués sans intention malveillante. Un grand site Web est relié à un petit site Web qui n'est pas construit pour le même niveau de trafic.
Une attaque de déni de service indique alors une intention malveillante. L'attaquant fait des efforts pour essayer de provoquer des problèmes de DoS. Les techniques utilisées ici varient énormément - une attaque DoS fait référence au résultat attendu de l'attaque, pas à la manière dont elle est exécutée. Généralement, en accaparant les ressources du système, il peut rendre le système indisponible à ses utilisateurs habituels, finissant même par écraser le système et le retirer complètement.
Attaques distribuées (DDoS)
La différence entre le déni de service distribué (DDoS) et les attaques DoS régulières est la portée de l'attaque. Lorsqu'un DoS est effectué par un seul attaquant à l'aide d'un seul système, une attaque Distributed est effectuée sur plusieurs systèmes attaquants.
Agents participant volontairement
Parfois, plusieurs attaquants se joignent, chacun participant volontairement à l'attaque. Les logiciels utilisés pour tester les systèmes ou les logiciels spécifiquement conçus pour détruire les dégâts sont installés sur chaque système. Pour que l'attaque fonctionne, elle doit être coordonnée. Coordonnés via des forums de discussion IRC, des forums ou même des flux Twitter, les pirates se jettent en masse sur une seule cible, essayant de l'inonder d'activité pour perturber l'utilisation ou faire planter le système.
Lorsque PayPal, Visa et MasterCard ont commencé à boycotter WikiLeaks vers la fin de l'année 2010, les partisans de WikiLeaks ont réalisé une attaque DDoS coordonnée, supprimant temporairement la page d'accueil de plusieurs sites Web. Des attaques similaires ont visé d'autres banques et même des agences de sécurité nationale.
Ce qu'il est important de retenir ici, c'est que la vitrine du site est inondée et écrasée, alors que les réseaux internes des banques et des agences de sécurité sont généralement laissés intacts, comme expliqué dans XKCD comic 932, montré ci-dessus.
Systèmes de zombies ou botnets
Une attaque de déni de service distribué nécessite plusieurs systèmes d'attaque. Il ne nécessite généralement pas plusieurs attaquants. Souvent, les attaques à grande échelle ne sont pas effectuées via l'ordinateur de l'attaquant, mais à travers un grand nombre de systèmes zombies infectés. Les attaquants peuvent abuser d'une vulnérabilité zero day Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf Explique] Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf Explains] Lire la suite et utiliser un ver ou un cheval de Troie Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf Explique] Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf Explains] Lire la suite pour prendre le contrôle d'un grand nombre de systèmes compromis. L'attaquant utilise ensuite ces systèmes infectés pour monter une attaque contre sa cible. Les systèmes infectés utilisés de cette manière sont souvent appelés robots ou systèmes zombies . Une collection de robots s'appelle un botnet .
Bien que le site Web ciblé par l'attaque DDoS soit généralement décrit comme la seule victime, les utilisateurs de systèmes infectés qui font partie du botnet sont également affectés. Non seulement leurs ordinateurs sont utilisés dans des attaques illicites, mais les ressources de leur ordinateur et de leur connexion Internet sont utilisées par le botnet.
Types d'attaque
Comme mentionné précédemment, une attaque DDoS indique seulement l'intention de l'attaque - voler un système de ses ressources et le rendre incapable d'effectuer le service prévu. Il y a plusieurs façons d'atteindre cet objectif. L'attaquant peut bloquer les ressources du système, ou même pousser le système au-delà des limites et le faire planter. Dans les cas graves, une attaque de déni de service permanent (PDoS), également connue sous le nom de phlashing, fait tellement de ravages sur sa cible que les composants matériels doivent être entièrement remplacés avant de pouvoir reprendre le fonctionnement normal.
Nous allons examiner deux méthodes d'attaque importantes. Cette liste n'est en aucun cas exhaustive. Une plus grande liste peut être trouvée sur l'article DoS de Wikipedia.
ICMP Flood
Le protocole ICMP (ou Internet Control Message Protocol, mais c'est moins important) fait partie intégrante du protocole Internet. Une attaque ICMP est effectuée en bombardant un réseau avec des paquets réseau, en utilisant des ressources et en le plantant. Un type d'attaque est un Ping Flood, une simple attaque DoS où l'attaquant submerge efficacement sa cible avec des paquets 'ping'. L'idée ici est que la bande passante de l'attaquant est plus grande que celle de sa cible.
Une attaque de Schtroumpf est une façon plus intelligente d'inonder ICMP. Certains réseaux permettent aux clients du réseau de diffuser des messages à tous les autres clients en les envoyant à une seule adresse de diffusion. Une attaque Smurf cible cette adresse de diffusion et donne l'impression que ses paquets proviennent de la cible. La cible diffuse ces paquets à tous les clients du réseau, servant efficacement d'amplificateur pour l'attaque.
(S) SYN Flood
A (S) SYN Flood s'appuie sur les principes de fonctionnement essentiels de la communication réseau. Pendant les opérations normales, un client commence la communication en envoyant au serveur un paquet TCP / SYN, indiquant essentiellement au serveur qu'il souhaite communiquer. Le serveur, à la réception du paquet, crée une connexion pour communiquer avec le client et renvoie un accusé de réception et une référence au canal de communication.
Le client renvoie à son tour un accusé de réception et commence sa communication avec le serveur. Cependant, si le client ne répond pas avec ce deuxième accusé de réception, le serveur considère qu'il n'est pas arrivé correctement (comme cela arrive assez souvent) et le renvoie.
A (S) SYN Flood abuse de ce mécanisme en envoyant d'innombrables paquets TCP / SYN (chacun avec une origine différente et fausse spécifiée). Chaque paquet invite le serveur à créer une connexion et continue d'envoyer des accusés de réception. Avant longtemps, le serveur a utilisé ses propres ressources avec des connexions semi-ouvertes. Ce principe est illustré dans la bande dessinée ci-dessus, dessinée et postée par Verisimilarity de Redditor.
Comme expliqué ci-dessus, les attaques DDoS sont variées mais ont un but singulier: (temporairement) empêcher les utilisateurs authentiques d'utiliser le système cible. Cela correspond-il à vos idées initiales sur les attaques DDoS? Faites le nous savoir dans la section "Commentaires".
Crédit d'image: Shutterstock