Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  03.08.2022      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Attaques en DoS ou DDoS et contre-attaques Anti-DoS et Anti-DDoS

DoS : « Attaque par Déni de Service » (« Denial of Service attack »), couramment abrégée en DoS dans le monde de l'informatique.

Une attaque par DoS est une attaque visant, à partir d'un ordinateur, à faire « tomber » (mettre en panne) un autre ordinateur, distant (par exemple un serveur, ce qui peut faire « tomber » une organisation complète ou de multiples sites Web et services Web sur un serveur mutualisé [partagé]). Des centaines à milliers de sites Web ou services Web peuvent être « effacés » du Web le temps de la « panne ».

L'une des méthodes utilisées consiste à bloquer l'accès à l'ordinateur cible en le noyant sous un flot de requêtes, à tel point qu'il perd sa capacité d'y répondre. Le résultat est le même que si l'on retirait, tout simplement, la prise de courant.

Le service attaqué peut être :

Une attaque par DoS n'est perpétrée que par un seul attaquant (un seul ordinateur attaque un service).

Les attaques en DoS de type « flots de requêtes » remonteraient au début des années 1980 (pas de preuve vérifiable) tandis que la première trace officielle d'une attaque par DDoS serait consignée dans un document des CERT (Computer emergency response team) également appelés CSIRT (Computer Security Incident Response Team).

Les contre-mesures s'étant rapidement développées, les attaques basiques en DoS (Déni de Service) se sont sophistiquées pour devenir des attaques en DDoS (Déni de Service Distribué - Distributed Denial of Service). Une multitude d'ordinateurs, essentiellement des ordinateurs de particuliers, silencieusement compromis, qualifiés de zombies, parfois plusieurs millions à la fois, sont coordonnés pour conduire la même attaque simultanément, depuis un réseau cybercriminel appelé BotNet, sous contrôle d'un cybercriminel qui pilote le BotNet depuis un ordinateur appelé C&C (Command and Control).

Une attaque en DoS peut faire « tomber » un serveur par d'autres méthodes comme l'exploitation d'une faille de sécurité permettant le « défacement » du site, le crash du serveur, le gel de l'exécution du service, etc.

Diverses attaques contre les infrastructures de l'Internet en lui-même ont été tentées (attaque des 13 serveurs racines de l'Internet, par exemple). Les moyens de ces attaques ne relèvent plus des DoS, mais des DDoS.

Voir l'article DDoS (Déni de Service Distribué - Distributed Denial of Service).

La contre-mesure à l'attaque en DoS ou en DDoS par submergement consiste à temporiser les requêtes, en faisant croire à la requête qu'elle est prise en charge et, en réalité, en la mettant en file d'attente, sur un ordinateur frontal se faisant passer pour la cible attaquée (serveur attaqué...), pour voir si elle se répète, le service lui-même étant sur un autre appareil, le serveur réel, masqué, qui n'est pas affecté par l'attaque. Exemple : se rendre sur le service : Hybrid Analysis et observez la stratégie anti-DDoS mise en place (5 secondes d'attente).




Il faut chercher à qui le crime profite : le quotidien russe « Vedomosti » publiait, le 10 juin 2005, un courrier électronique reçu d'un informaticien proposant à la location ses « services de blocage de systèmes d'information », via une attaque DDoS. Il affichait ses tarifs selon le nombre d'heures de blocage espéré et la taille du site à faire tomber :

  • 150 US$ pour une journée de blocage pour un site normal.

  • 1000 US$ pour une semaine de blocage du site du Kremlin.

  • 80 000 US$ pour une semaine de blocage du site de Microsoft.

  • Etc.

Ce cybercriminel est donc propriétaire d'un BotNet et a zombifié quelques milliers à millions d'ordinateurs pour lancer ses attaques en DDoS.




Des logiciels comme LOIC (Low Orbit Ion Cannon - Canon à Ions en Orbite Basse), développé avec le prétexte de tester la solidité d'un réseau, sont utilisés pour des attaques.

LOIC (Low Orbit Ion Cannon) est un outil à code ouvert (Open Source), gratuit, qui inonde un serveur de paquets TCP, UDP et requêtes HTTP. Il aurait été développé par le groupe hacktiviste des Anonymous, et, en tout cas, utilisé par eux, lors de l'attaque dite « Projet Chanology » contre les sites de la secte de la Scientologie. Utilisé derrière un proxy d'anonymisation, il devient quasiment impossible de remonter à l'attaquant.

LOIC (Low Orbit Ion Cannon) est abandonné (quelques instabilités) au profit de HOIC (High Orbit Ion Cannon - Canon à Ions en Orbite Haute).

Les attaques en DDoS (Distributed Denial of Service) peuvent être tournées contre un réseau et non contre un serveur. L'attaque consiste à submerger la victime d'un flot de trafic plus grand qu'elle n'est capable de le traiter - la bande passante est alors saturée et le réseau devient indisponible.





  1. CERT Coordination Center (Oct 2001, EN, 21 pages) - Trends in Denial of Service Attack Technology

  2. Wikipédia (FR) : Attaque par déni de service

  3. Wikipedia (EN) : Denial-of-service attack

  4. Wikipédia (FR) : Les attaques en DoS et DDoS reposent sur des techniques de « Flood »

  5. Wikipédia (FR) - Anonymous (mouvement collectif mondial de cyberactiviste)

  6. Le Monde Informatique (FR - 06.03.2012) : Un outil DDoS trafiqué pour piéger les fans d'Anonymous

  7. Assiste.com (FR) : Flood est la technique d'attaque en saturation (DoS, DDoS)

  8. Broadcom.com (EN - 01.03.2012) : Anonymous Supporters Tricked into Installing Zeus Trojan

  9. Clubic (archive du Web - FR - 28.03.2013) : DDOS sans précédent contre Spamhaus

  10. Carnegie Mellon (EN - 10.2001 - PDF 21 pages) – « Trends in Denial of Service Attack Technology » par les CERT

  11. Archives du Web (EN, 23.07.2001) : CERT® Advisory CA-2001-20 Continuing Threats to Home Users