DDoS - Un particulier attaqué en DDoS

Une attaque en DDoS - Distributed Denial of Service sert à faire tomber un serveur qui, sous la surcharge des requêtes entrantes, n'arrive plus à y répondre. Un DDoS - Distributed Denial of Service n'est rien d'autre que du Flood rapide et soutenu.

1. Ce genre d'attaques est conduit par des cybercriminels pour faire tomber un serveur d'un commerce en ligne et demander à son propriétaire de payer une rançon pour retrouver ses capacités en bande passante. Même principe que les maffias qui réclament un paiement aux boutiques de commerces, dans les rues, pour " assurer leur protection " (comprendre : pour qu'on ne t'envoie pas des gros bras casser ta boutique et / ou t'abattre).
   

2. Ce genre d'attaque est conduit par des activistes (hacktivistes) contre des serveurs institutionnels (de gouvernements, administrations, etc. ...) avec des revendications généralement politiques.

Ces attaques nécessitent de submerger un serveur par un flot de requêtes (plusieurs millions à la seconde, selon la bande passante attaquée) et nécessitent l'utilisation de milliers à millions de machines simultanément pour attaquer (donc le cybercriminel attaquant loue un BotNet à un autre cybercriminel qui contrôle un BotNet).

Les serveurs (les services d'hébergement), qu'ils soient traités en internes ou externalisés, disposent d'outils anti-DDoS

Nota :

• Tester sa résistance à un DDoS n'a rien d'illégal, c'est faire tomber la machine d'une victime tierce qui est illégal (et encore faut-il que cette victime porte plainte)
  

• Le matériel ne craint rien ! C'est le FAI (Fournisseur d'Accès Internet) qui va être fou de rage et va devoir protéger son backbone.

Un particulier est rarement ciblé par une attaque en DDoS - Distributed Denial of Service et c'est son FAI (Fournisseur d'Accès Internet) qui le protège (et protège sa bande passante).

En plus, un particulier a une adresse IP allouée par bail de 24 heures et en change donc toutes les 24 heures. Il est donc difficile d'attaquer une adresse IP qui risque de ne pas / plus être celle de la victime visée.

Le seul et unique cas de figure où un particulier nécessite une adresse IP fixe (et il doit alors en faire la demande à son FAI (Fournisseur d'Accès Internet)) est lorsqu'il dispose, à domicile, de son propre serveur. Sinon, c'est une hyper mauvaise idée (qui, en plus, est irréversible - on ne peut plus demander à son FAI (Fournisseur d'Accès Internet) de revenir à une IP changeante).

Donc, si un particulier dispose d'un serveur HTTP ou FTP ou P2P, c'est son serveur qu'il doit protéger. C'est la seule raison qui me vient à l'esprit. Ou alors il passe des heures sur IRC avec son IP qui s'affiche en rouge clignotant "venez me DDoSser" !

Pourquoi serait-il visé par une attaque en DDoS ? Pour faire tomber son serveur ? Donc son activité est probablement border line (ou plus/pire). Il est donc dans le collimateur de quelques-uns qu'il a titillé.

Donc un particulier risque d'être attaqué par un autre particulier.

Lorsque l'attaque arrive, elle n'arrive que d'une seule adresse IP. C'est un DoS - Attaque par Déni de Service (Denial of Service attack) et non pas un DDoS - Distributed Denial of Service. Il suffit de tracer les paquets entrant, de relever l'adresse IP et de la bloquer dans le pare-feu.

La bête attaque en DDoS - Distributed Denial of Service va faire tomber le serveur et donc gêner ceux qui sont connectés à son serveur pour le service qu'il rend.

La solution, après avoir relevé l'adresse IP de l'attaquant pour le poursuivre, consiste surtout à analyser l'attaque pour voir si le DDoS n'était pas qu'une façade cachant des scans de ports et de failles et un exploit.

Enfin, un pare-feu sur le serveur doit être capable de détecter et repousser une attaque en DDoS aussi primaire que celle provenant d'une seule adresse IP ou d'une petite grappe d'adresses IPs.

Si l'IP n'était pas fixe, il suffit d'éteindre et rallumer la BoX pour changer d'IP. L'attaquant ne va pas retrouver la victime (et la victime doit éviter de s'afficher sur IRC le temps que l'attaquant passe à autre chose, soit quelques heures).

Généralement, la sensation d'attaque en DoS ou DDoS d'un particulier relève du phantasme.