Déni de Service ?
Le Déni de Service (DoS – Denial of Service) est une attaque qui a pour but de rendre l’accès à une ressource impossible ou très difficile pour les utilisateurs tel que l’accès à un site web ou à un réseau, ou pour rendre la ressource extrêmement lente. Le but fréquent de ce genre d’attaque est la perte financière.
Comment marche une attaque par DoS ?
Ce type d’attaque est généralement mit en œuvre en envoyant un nombre important de requêtes en même temps vers le serveur afin de le faire tomber ou de le rendre extrêmement lent. Ce genre d’attaque est souvent impossible à détecter car il est difficile de différencier une vraie et une requête malveillante.
Différence entre DoS et DDoS :
Une attaque DDoS est une attaque similaire à DoS, dans l’attaque DoS le hacker lance son attaque à partir d’une seule machine par contre dans une attaque DDoS le hacker crée d’abord un Botnet en prenant la main sur plusieurs machines à l’aide d’un malware ou en contournant leurs systèmes de sécurité, puis créé ensuite un serveur de type command-and-control à l’aide duquel il donne des directives à son réseau pour générer de fausses requêtes et les envoyer à la machine ciblée.
Les paramètres clés d’une attaque DoS :
Pour qu’une attaque DoS soit efficace, il faut prendre en compte les deux facteurs suivant :
- Le spoofing UDP (usurpation UDP) :
C’est le facteur qui permet l’anonymat de l’attaque grâce au protocole UDP qui émet des informations sans se préoccuper de savoir si les informations sont bien arrivées ou pas.
Le spoofing consiste à remplacer l’adresse IP source de l’attaquant par une autre (considérée par le serveur comme légitime), ainsi le serveur pense communiquer avec une source mais en réalité communique avec une autre. - L’amplification factor (facteur d’amplification) :
Ce facteur est très important car l’attaquant ne devrait pas avoir besoin de beaucoup de ressources pour que la cible reçoit une énorme masse de données.
Il s’agit de générer des requêtes pour lesquelles les réponses sont volumineuses.
Exemple : demander à un serveur de jeux de nous envoyer toutes les parties en cours, ce qui fait énormément de données à envoyer à la cible.
Si l’attaquant a une liaison de 200 Mb/s et que la cible reçoit 10 Gb/s alors dans ce cas le facteur est de 50, alors que si l’attaquant n’utilise pas de facteur d’amplification la cible ne recevra qu’un ratio de la liaison de l’attaquant.
Il existe des DDoS qui ont atteint 400 Gb/s.
Comment se protéger des attaques DoS et DDoS ?
- Surveiller les niveaux du trafic :
Une attaque DoS/DDoS provoque une énorme augmentation dans le trafic vu que le hacker envoie un nombre important de requêtes, et donc une augmentation inhabituelle du trafic est le signe d’une attaque DoS/DDoS. - Mettre en place une bande passante supplémentaire :
Ce là permettra au serveur de gérer le flux de données supplémentaire en cas d’attaque, et ainsi de donner une marge du à la victime de détecter l’attaque. - Installer des pares-feu :
Ce qui permet d’arrêter l’accès réseau indésirable et de se protéger des attaques DoS/DDoS.