Attaque par déni de service
Un article de Wikipédia, l'encyclopédie libre.
Une attaque par déni de service (ou attaque par saturation ; en anglais, Denial of Service attack ou DoS attack) est une attaque sur un serveur informatique qui résulte en l'incapacité pour le serveur de répondre aux requêtes de ses clients.
Un déni de service est une situation où un serveur informatique est incapable de répondre aux requêtes de ses clients. Un serveur informatique (par exemple un serveur Web) doit traiter plusieurs requêtes dans un court laps de temps. Lorsque le serveur est incapable de traiter toutes les requêtes qu'il reçoit, il y a déni de service.
Une attaque par déni de service distribuée (en anglais, Distributed Denial of Service attack ou DDoS attack) est une attaque par déni de service dans laquelle le serveur cible est attaqué par plusieurs ordinateurs simultanément.
Sommaire |
[modifier] Types d'attaque
Il existe de nombreux types d'attaques par déni de service. Par exemple, le simple fait de débrancher la prise électrique d'un serveur est une attaque par déni de service. Cependant, l'attaquant procède souvent par saturation d'un des éléments du serveur visé.
[modifier] Déni par saturation
La puissance de traitement des équipements (ordinateurs, équipements réseaux, etc.) est définie afin qu'un nombre donné de requêtes soit honoré dans un certain laps de temps. Lorsque le nombre de requêtes dépasse la limite prévue de façon prolongée, l'un des équipements du serveur sature et n'accepte plus les nouvelles requêtes. Cela entraîne un déni de service puisque certains utilisateurs ne peuvent plus obtenir une réponse à leurs requêtes.
[modifier] Attaque par déni de service distribuée (DDoS attack)
L'attaque par déni de service distribuée est une variante de l'attaque par déni de service. Elle repose sur une parallélisation d'attaques par déni de service, menées simultanément par plusieurs ordinateurs. Cette approche réduit le temps nécessaire à l'attaque en amplifiant ses effets.
Dans ce type d'attaque, les pirates se dissimulent souvent derrière des machines-rebonds (ou machines zombies), utilisées à l'insu de leurs propriétaires. Un ensemble de machines-rebonds, également appelé botnet, est contrôlé par un pirate après infection de chacune d'elles par un programme de type porte dérobée.
[modifier] Responsables de ces attaques
Les attaques par déni de service sont souvent effectuées par des pirates informatiques peu expérimentés comme les lamers et les script kiddies.
Ces attaques sont aussi utilisées par un pirate qui ne réussit pas à prendre le contrôle d'un ordinateur en tentant de se faire passer pour une machine de confiance grâce à l'IP spoofing. En effet, en cas de demande de session (TCP SYN) avec une adresse IP « spoofée » qui serait celle de la machine de confiance, c'est bien cette dernière qui recevrait le paquet TCP SYN/ACK émis par la cible, donc elle réinitialiserait automatiquement la tentative de connexion avec un paquet RST (puisqu'elle n'est pas à l'origine de la demande d'établissement de session), interdisant au pirate d'établir une session.
Depuis quelques années, l'attaque par déni de service distribuée est aussi utilisée à des fins de chantage auprès d'entreprises dont l'activité commerciale repose sur la disponibilité de leur site Web. Ces fraudes sont habituellement le fait d'organisations criminelles (mafieuses) et non de pirates isolés.
[modifier] Exemples d'attaques par déni de service
- L'attaque sur le serveur de mise à jour de Microsoft
- L'attaque de sites Web connus comme Google, Microsoft et Apple
- Les attaques de type ping flood d'octobre 2002 et l'attaque par déni de service de février 2007 sur les serveurs racines du DNS [1]
[modifier] Comment contrer ces attaques
Les attaques par déni de service non distribuées peuvent être contrées en repérant l'adresse IP de la machine hostile et en les bannissant au niveau du pare-feu ou du serveur. Les paquets IP provenant de la machine hostile sont dès lors rejetés sans être traités.
Les attaques par déni de service distribuées sont beaucoup plus difficiles à contrer. On peut seulement limiter leurs effets dévastateurs en repérant les machines hostiles effectuant trop de requêtes en un temps limité (comportement client anormal) et en les bannissant une à une. Cependant, une attaque massive et rapide ne sera sans doute pas enrayée ainsi. Une architecture répartie, composée de plusieurs serveurs offrant le même service gérés de sorte que chaque client ne soit pris en charge que par l'un d'entre eux, permet de répartir les points d'accès aux services et offre, en situation d'attaque, un mode dégradé (ralentissement) souvent acceptable. L'utilisation de SYN cookies est également une solution envisageable pour éviter les attaques de type SYN flood, mais cette approche ne permet pas d'éviter la saturation de la bande passante du réseau.
[modifier] Retour aux conditions normales
Le retour aux conditions normales après une attaque peut exiger une intervention humaine, car certains logiciels ne redémarrent pas adéquatement après une attaque.
