Attaque par déni de service
En informatique , une attaque par déni de service ( attaque DoS ) est une cyberattaque dans laquelle l’auteur cherche à rendre une machine ou une ressource réseau indisponible pour ses utilisateurs prévus en perturbant temporairement ou indéfiniment les services d’un hôte connecté à un réseau . Le déni de service est généralement accompli en inondant la machine ou la ressource ciblée de requêtes superflues dans le but de surcharger les systèmes et d’empêcher que certaines ou toutes les requêtes légitimes soient satisfaites. [1]
Schéma d’une attaque DDoS. Notez comment plusieurs ordinateurs attaquent un seul ordinateur
Dans une attaque par déni de service distribué ( attaque DDoS ), le trafic entrant inondant la victime provient de nombreuses sources différentes. Des stratégies plus sophistiquées sont nécessaires pour atténuer ce type d’attaque, car il ne suffit pas de tenter de bloquer une seule source. [2]
Une attaque DoS ou DDoS est analogue à un groupe de personnes se pressant devant la porte d’entrée d’un magasin, rendant difficile l’entrée des clients légitimes, perturbant ainsi le commerce.
Les auteurs criminels d’attaques DoS ciblent souvent des sites ou des services hébergés sur des serveurs Web de premier plan tels que des banques ou des passerelles de paiement par carte de crédit . La vengeance , le chantage [3] [4] [5] et l’ activisme [6] peuvent motiver ces attaques.
Histoire
Apprendre encore plus Cette section a besoin d’être agrandie . Vous pouvez aider en y ajoutant . ( juillet 2017 ) |
Panix , le troisième FAI le plus ancien au monde, a été la cible de ce que l’on pense être la première attaque DoS. Le 6 septembre 1996, Panix a fait l’objet d’une attaque par Inondation SYN , qui a interrompu ses services pendant plusieurs jours tandis que les fournisseurs de matériel, notamment Cisco, ont trouvé une défense appropriée. [7]
Une autre première démonstration de l’attaque DoS a été faite par Khan C. Smith en 1997 lors d’un événement DEF CON , perturbant l’accès Internet au Strip de Las Vegas pendant plus d’une heure. La publication d’un exemple de code lors de l’événement a conduit à l’attaque en ligne de Sprint , EarthLink , E-Trade et d’autres grandes entreprises au cours de l’année qui a suivi. [8]
En septembre 2017, Google Cloud a subi une attaque avec un volume maximal de 2,54 térabits par seconde. [9] Le 5 mars 2018, un client anonyme du fournisseur de services américain Arbor Networks a été victime du plus grand DDoS à cette date, atteignant un pic d’environ 1,7 térabits par seconde. [10] Le précédent record avait été établi quelques jours plus tôt, le 1er mars 2018, lorsque GitHub avait été frappé par une attaque de 1,35 térabits par seconde. [11]
En février 2020, Amazon Web Services a subi une attaque avec un volume maximal de 2,3 térabits par seconde. [12] [13] En juillet 2021, le fournisseur de CDN Cloudflare s’est vanté de protéger son client contre une attaque DDoS d’un botnet Mirai mondial qui atteignait jusqu’à 17,2 millions de requêtes par seconde. [14] Le fournisseur russe de prévention DDoS Yandex a déclaré avoir bloqué une attaque DDoS de pipeline HTTP le 5 septembre 2021 qui provenait d’un équipement réseau Mikrotik non corrigé. [15]
Les types
Les attaques par déni de service se caractérisent par une tentative explicite des attaquants d’empêcher l’utilisation légitime d’un service. Il existe deux formes générales d’attaques DoS : celles qui bloquent les services et celles qui inondent les services. Les attaques les plus graves sont réparties. [16]
DoS distribué
Une attaque par déni de service distribué (DDoS) se produit lorsque plusieurs systèmes inondent la bande passante ou les ressources d’un système ciblé, généralement un ou plusieurs serveurs Web. [16] Une attaque DDoS utilise plusieurs adresses IP ou machines uniques, souvent issues de milliers d’hôtes infectés par des logiciels malveillants. [17] [18] Une attaque par déni de service distribué implique généralement plus d’environ 3 à 5 nœuds sur différents réseaux ; moins de nœuds peuvent être qualifiés d’attaque DoS, mais ce n’est pas une attaque DDoS. [19] [20]
Plusieurs machines peuvent générer plus de trafic d’attaque qu’une seule machine, plusieurs machines d’attaque sont plus difficiles à désactiver qu’une seule machine d’attaque, et le comportement de chaque machine d’attaque peut être plus furtif, ce qui la rend plus difficile à suivre et à arrêter. Étant donné que le trafic entrant inondant la victime provient de différentes sources, il peut être impossible d’arrêter l’attaque simplement en utilisant le filtrage d’entrée . Il est également difficile de distinguer le trafic utilisateur légitime du trafic d’attaque lorsqu’il est réparti sur plusieurs points d’origine. En tant qu’alternative ou augmentation d’un DDoS, les attaques peuvent impliquer la falsification d’adresses IP d’expéditeur ( Usurpation d’adresse IP) compliquant davantage l’identification et la défaite de l’attaque. Ces avantages des attaquants entraînent des défis pour les mécanismes de défense. Par exemple, le simple fait d’acheter plus de bande passante entrante que le volume actuel de l’attaque peut ne pas aider, car l’attaquant peut être en mesure d’ajouter simplement plus de machines d’attaque.
L’ampleur des attaques DDoS n’a cessé d’augmenter ces dernières années, dépassant en 2016 le Térabit par seconde . [21] [22] Certains exemples courants d’attaques DDoS sont l’ inondation UDP , l’Inondation SYN et l’amplification DNS . [23] [24]
Attaque yo-yo
Une attaque yo-yo est un type spécifique de DoS/DDoS visant les applications hébergées dans le cloud qui utilisent l’ autoscaling . [25] [26] [27] L’attaquant génère un flot de trafic jusqu’à ce qu’un service hébergé dans le cloud évolue vers l’extérieur pour gérer l’augmentation du trafic, puis arrête l’attaque, laissant la victime avec des ressources surapprovisionnées. Lorsque la victime se réduit, l’attaque reprend, entraînant une nouvelle augmentation des ressources. Cela peut entraîner une qualité de service réduite pendant les périodes de mise à l’échelle et une ponction financière sur les ressources pendant les périodes de surprovisionnement, tout en fonctionnant avec un coût inférieur pour un attaquant par rapport à une attaque DDoS normale, car elle n’a besoin que de générer du trafic pendant une partie de la période d’attaque.
Attaques de la couche application
Une attaque DDoS de la couche application (parfois appelée attaque DDoS de la couche 7 ) est une forme d’attaque DDoS où les attaquants ciblent les processus de la couche application . [28] [19] L’attaque surexerce des fonctions ou caractéristiques spécifiques d’un site Web avec l’intention de désactiver ces fonctions ou caractéristiques. Cette attaque au niveau de la couche application est différente d’une attaque de réseau entier et est souvent utilisée contre les institutions financières pour distraire le personnel informatique et de sécurité des failles de sécurité. [29] En 2013, les attaques DDoS au niveau de la couche application représentaient 20 % de toutes les attaques DDoS. [30] Selon les recherches d’ Akamai Technologies, il y a eu “51 % d’attaques de couche d’application en plus” du quatrième trimestre 2013 au quatrième trimestre 2014 et “16 % de plus” du troisième trimestre 2014 au quatrième trimestre 2014. [31] En novembre 2017 ; Junade Ali , ingénieur chez Cloudflare , a noté que même si les attaques au niveau du réseau continuent d’être de grande capacité, elles se produisent moins fréquemment. Ali a en outre noté que même si les attaques au niveau du réseau devenaient moins fréquentes, les données de Cloudflare ont démontré que les attaques au niveau de la couche applicative ne montraient toujours aucun signe de ralentissement. [32] En décembre 2021, suite à la vulnérabilité de sécurité Log4Shell , une deuxième vulnérabilité dans la bibliothèque open source Log4j a été découverte, ce qui pourrait conduire à des attaques DDoS sur la couche application.[33]
Couche d’application
Le modèle OSI (ISO/IEC 7498-1) est un modèle conceptuel qui caractérise et normalise les fonctions internes d’un système de communication en le partitionnant en couches d’abstraction . Le modèle est un produit du projet Open Systems Interconnection de l’ Organisation internationale de normalisation (ISO). Le modèle regroupe des fonctions de communication similaires dans l’une des sept couches logiques. Une couche dessert la couche supérieure et est desservie par la couche inférieure. Par exemple, une couche qui fournit des communications sans erreur sur un réseau fournit le chemin de communication nécessaire aux applications situées au-dessus d’elle, tandis qu’elle appelle la couche inférieure suivante pour envoyer et recevoir des paquets qui traversent ce chemin.
Dans le modèle OSI, la définition de sa couche d’application a une portée plus étroite que celle qui est souvent mise en œuvre. Le modèle OSI définit la couche application comme étant l’interface utilisateur. La couche d’application OSI est responsable de l’affichage des données et des images à l’utilisateur dans un format reconnaissable par l’homme et de l’interface avec la couche de présentation en dessous. Dans une implémentation, les couches d’application et de présentation sont fréquemment combinées.
Méthode d’attaque
L’attaque DoS la plus simple repose principalement sur la force brute, inondant la cible d’un flux écrasant de paquets, sursaturant sa bande passante de connexion ou épuisant les ressources système de la cible. Les inondations saturant la bande passante reposent sur la capacité de l’attaquant à générer le flux écrasant de paquets. Un moyen courant d’y parvenir aujourd’hui consiste à utiliser un déni de service distribué, en utilisant un botnet .
Une attaque DDoS de la couche application est effectuée principalement à des fins ciblées spécifiques, notamment la perturbation des transactions et l’accès aux bases de données. Elle nécessite moins de ressources que les attaques de la couche réseau mais les accompagne souvent. [34] Une attaque peut être déguisée pour ressembler à du trafic légitime, sauf qu’elle cible des paquets ou des fonctions d’application spécifiques. L’attaque de la couche applicative peut perturber des services tels que la récupération d’informations ou les fonctions de recherche sur un site web. [30]
DoS persistant avancé
Un DoS persistant avancé (APDoS) est associé à une menace persistante avancée et nécessite une atténuation DDoS spécialisée . [35] Ces attaques peuvent persister pendant des semaines ; la plus longue période continue notée jusqu’à présent a duré 38 jours. Cette attaque a impliqué environ 50+ pétabits (plus de 50 000 térabits) de trafic malveillant. [36]
Dans ce scénario, les attaquants peuvent basculer tactiquement entre plusieurs cibles pour créer une diversion afin d’échapper aux contre-mesures défensives DDoS, tout en concentrant finalement l’essentiel de l’attaque sur une seule victime. Dans ce scénario, les attaquants ayant un accès continu à plusieurs ressources réseau très puissantes sont capables de soutenir une campagne prolongée générant d’énormes niveaux de trafic DDoS non amplifié.
Les attaques APDoS se caractérisent par :
- reconnaissance avancée ( OSINT pré-attaque et balayage leurre étendu conçu pour échapper à la détection sur de longues périodes)
- exécution tactique (attaque avec des victimes primaires et secondaires mais l’accent est mis sur la primaire)
- motivation explicite (une fin de partie/objectif calculé)
- grande capacité de calcul (accès à une puissance informatique et à une bande passante réseau importantes)
- attaques simultanées multi-thread de la couche OSI (outils sophistiqués fonctionnant aux couches 3 à 7)
- persistance sur de longues périodes (combinant tout ce qui précède dans une attaque concertée et bien gérée sur une gamme de cibles). [37]
Déni de service en tant que service
Certains fournisseurs proposent des services dits “booter” ou “stresser”, qui ont de simples interfaces Web et acceptent les paiements sur le Web. Commercialisés et promus en tant qu’outils de test de résistance, ils peuvent être utilisés pour effectuer des attaques par déni de service non autorisées et permettre à des attaquants techniquement peu sophistiqués d’accéder à des outils d’attaque sophistiqués. [38] Généralement alimenté par un botnet , le trafic produit par un consommateur stressant peut aller de 5 à 50 Gbit/s, ce qui peut, dans la plupart des cas, empêcher l’accès à Internet de l’utilisateur domestique moyen. [39]
Les symptômes
L’ équipe de préparation aux urgences informatiques des États-Unis (US-CERT) a identifié les symptômes d’une attaque par déni de service : [40]
- performances réseau anormalement lentes (ouverture de fichiers ou accès à des sites Web),
- l’indisponibilité d’un site Web particulier, ou
- impossibilité d’accéder à un site Web.
Techniques d’attaque
Outils d’attaque
Dans des cas tels que MyDoom et Slowloris , les outils sont intégrés dans des logiciels malveillants et lancent leurs attaques à l’insu du propriétaire du système. Stacheldraht est un exemple classique d’outil DDoS. Il utilise une structure en couches où l’attaquant utilise un programme client pour se connecter aux gestionnaires qui sont des systèmes compromis qui émettent des commandes aux agents zombies qui à leur tour facilitent l’attaque DDoS. Les agents sont compromis via les gestionnaires par l’attaquant utilisant des routines automatisées pour exploiter les vulnérabilités des programmes qui acceptent les connexions à distance exécutées sur les hôtes distants ciblés. Chaque gestionnaire peut contrôler jusqu’à un millier d’agents. [41]
Dans d’autres cas, une machine peut faire partie d’une attaque DDoS avec le consentement du propriétaire, par exemple, dans l’opération Payback organisée par le groupe Anonymous . Le canon à ions en orbite basse a généralement été utilisé de cette manière. Outre High Orbit Ion Cannon , une grande variété d’outils DDoS sont disponibles aujourd’hui, y compris des versions payantes et gratuites, avec différentes fonctionnalités disponibles. Il existe un marché souterrain pour ceux-ci dans les forums liés aux pirates et les canaux IRC.
Attaques de la couche application
Les attaques au niveau de la couche application utilisent des exploits causant du DoS et peuvent amener le logiciel exécutant le serveur à remplir l’espace disque ou à consommer toute la mémoire disponible ou le temps CPU . Les attaques peuvent utiliser des types de paquets ou des demandes de connexion spécifiques pour saturer des ressources finies, par exemple en occupant le nombre maximum de connexions ouvertes ou en remplissant l’espace disque de la victime avec des journaux. Un attaquant disposant d’un accès de niveau shell à l’ordinateur d’une victime peut le ralentir jusqu’à ce qu’il soit inutilisable ou le faire planter en utilisant une bombe à fourche . Un autre type d’attaque DoS au niveau de l’application est XDoS (ou XML DoS) qui peut être contrôlé par des pare-feu d’applications Web (WAF) modernes.
Toutes les attaques appartenant à la catégorie des timeouts exploitant [42] Slow DoS Attacks implémentent une attaque de la couche application. Des exemples de menaces sont Slowloris , établissant des connexions en attente avec la victime, ou SlowDroid , une attaque s’exécutant sur des appareils mobiles.
Une autre cible des attaques DDoS peut être de générer des surcoûts pour l’opérateur de l’application, lorsque ce dernier utilise des ressources basées sur le cloud computing . Dans ce cas, les ressources normalement utilisées par l’application sont liées à un niveau de qualité de service (QoS) nécessaire (par exemple, les réponses doivent être inférieures à 200 ms) et cette règle est généralement liée à un logiciel automatisé (par exemple Amazon CloudWatch [43] ) pour augmenter plus de ressources virtuelles du fournisseur pour répondre aux niveaux de QoS définis pour les demandes accrues. La principale incitation derrière de telles attaques peut être de pousser le propriétaire de l’application à augmenter les niveaux d’élasticité pour gérer l’augmentation du trafic des applications, à causer des pertes financières ou à les forcer à devenir moins compétitifs.
Une attaque banane est un autre type particulier de DoS. Cela implique de rediriger les messages sortants du client vers le client, d’empêcher l’accès extérieur et d’inonder le client avec les paquets envoyés. Une attaque LAND est de ce type.
Attaques par dégradation de service
Les zombies pulsants sont des ordinateurs compromis qui sont dirigés pour lancer des inondations intermittentes et de courte durée des sites Web des victimes dans le but de simplement les ralentir plutôt que de les planter. Ce type d’attaque, appelé dégradation de service , peut être plus difficile à détecter et peut perturber et entraver la connexion aux sites Web pendant de longues périodes, causant potentiellement plus de perturbations globales qu’une attaque par déni de service. [44] [45] L’exposition des attaques de dégradation de service est encore compliquée par la question de discerner si le serveur est vraiment attaqué ou s’il connaît des charges de trafic légitimes supérieures à la normale. [46]
Attaque DoS distribuée
Si un attaquant monte une attaque à partir d’un seul hôte, elle sera classée comme une attaque DoS. Toute attaque contre la disponibilité serait classée comme une attaque par déni de service. D’un autre côté, si un attaquant utilise plusieurs systèmes pour lancer simultanément des attaques contre un hôte distant, cela serait classé comme une attaque DDoS.
Les logiciels malveillants peuvent transporter des mécanismes d’attaque DDoS ; l’un des exemples les plus connus de ceci était MyDoom . Son mécanisme DoS a été déclenché à une date et une heure précises. Ce type de DDoS impliquait de coder en dur l’adresse IP cible avant de diffuser le logiciel malveillant et aucune autre interaction n’était nécessaire pour lancer l’attaque.
Un système peut également être compromis par un cheval de Troie contenant un agent zombie . Les attaquants peuvent également s’introduire dans les systèmes à l’aide d’outils automatisés qui exploitent les failles des programmes qui écoutent les connexions des hôtes distants. Ce scénario concerne principalement les systèmes faisant office de serveurs sur le Web. Stacheldraht est un exemple classique d’outil DDoS. Il utilise une structure en couches où l’attaquant utilise un programme client pour se connecter aux gestionnaires, qui sont des systèmes compromis qui émettent des commandes aux agents zombies, qui à leur tour facilitent l’attaque DDoS. Les agents sont compromis via les gestionnaires par l’attaquant. Chaque gestionnaire peut contrôler jusqu’à un millier d’agents. [41]Dans certains cas, une machine peut faire partie d’une attaque DDoS avec le consentement du propriétaire, par exemple, dans Operation Payback , organisée par le groupe Anonymous . Ces attaques peuvent utiliser différents types de paquets Internet tels que TCP, UDP, ICMP, etc.
Ces ensembles de systèmes compromis sont connus sous le nom de botnets . Les outils DDoS comme Stacheldraht utilisent toujours des méthodes d’attaque DoS classiques centrées sur l’usurpation d’ adresse IP et l’amplification comme les attaques smurf et les attaques fraggle (types d’attaques de consommation de bande passante). Les inondations SYN (une attaque par manque de ressources) peuvent également être utilisées. Les nouveaux outils peuvent utiliser des serveurs DNS à des fins de DoS. Contrairement au mécanisme DDoS de MyDoom, les botnets peuvent être retournés contre n’importe quelle adresse IP. Les script kiddies les utilisent pour refuser la disponibilité de sites Web bien connus aux utilisateurs légitimes. [47] Des attaquants plus sophistiqués utilisent des outils DDoS à des fins d’ extorsion – y compris contre leurs rivaux commerciaux. [48]
Il a été signalé que de nouvelles attaques provenant d’appareils de l’Internet des objets (IoT) ont été impliquées dans des attaques par déni de service. [49] Dans une attaque notée qui a été faite, elle a culminé à environ 20 000 demandes par seconde provenant d’environ 900 caméras de vidéosurveillance. [50]
Le GCHQ du Royaume-Uni dispose d’outils conçus pour les attaques DDoS, nommés PREDATORS FACE et ROLLING THUNDER. [51]
Des attaques simples telles que les inondations SYN peuvent apparaître avec une large gamme d’adresses IP source, donnant l’apparence d’un DoS distribué. Ces attaques par inondation ne nécessitent pas l’achèvement de la négociation à trois voies TCP et tentent d’épuiser la file d’attente SYN de destination ou la bande passante du serveur. Étant donné que les adresses IP source peuvent être usurpées de manière triviale, une attaque peut provenir d’un ensemble limité de sources, ou peut même provenir d’un seul hôte. Les améliorations de la pile telles que les cookies SYN peuvent constituer une atténuation efficace contre l’inondation de la file d’attente SYN, mais ne résolvent pas l’épuisement de la bande passante.
Extorsion DDoS
En 2015, les botnets DDoS tels que DD4BC ont pris de l’importance, ciblant les institutions financières. [52] Les cyber-extorqueurs commencent généralement par une attaque de bas niveau et un avertissement qu’une attaque plus importante sera menée si une rançon n’est pas payée en Bitcoin . [53] Les experts en sécurité recommandent aux sites Web ciblés de ne pas payer la rançon. Les attaquants ont tendance à se lancer dans un plan d’extorsion étendu une fois qu’ils reconnaissent que la cible est prête à payer. [54]
Attaque HTTP lente POST DoS
Découverte pour la première fois en 2009, l’attaque HTTP POST lente envoie un en-tête HTTP POST complet et légitime , qui inclut un champ Content-Length pour spécifier la taille du corps du message à suivre. Cependant, l’attaquant procède ensuite à l’envoi du corps du message réel à un rythme extrêmement lent (par exemple 1 octet/110 secondes). Étant donné que l’intégralité du message est correcte et complète, le serveur cible tentera d’obéir à la Content-Lengthchamp dans l’en-tête, et attendre que tout le corps du message soit transmis, ce qui peut prendre beaucoup de temps. L’attaquant établit des centaines, voire des milliers de connexions de ce type jusqu’à ce que toutes les ressources pour les connexions entrantes sur le serveur victime soient épuisées, rendant toute connexion ultérieure impossible tant que toutes les données n’ont pas été envoyées. Il est à noter que contrairement à de nombreuses autres attaques DDoS ou DDoS, qui tentent de maîtriser le serveur en surchargeant son réseau ou son processeur, une attaque HTTP POST lente cible les ressources logiques de la victime, ce qui signifie que la victime aurait encore suffisamment de bande passante réseau et de traitement. pouvoir de fonctionner. [55] Combiné avec le fait que le serveur HTTP Apacheacceptera par défaut les requêtes jusqu’à 2 Go, cette attaque peut être particulièrement puissante. Les attaques HTTP POST lentes sont difficiles à différencier des connexions légitimes et sont donc capables de contourner certains systèmes de protection. OWASP , un projet de sécurité des applications Web open source , a publié un outil pour tester la sécurité des serveurs contre ce type d’attaque. [56]
Défier l’attaque Collapsar (CC)
Une attaque Challenge Collapsar (CC) est une attaque dans laquelle des requêtes HTTP standard sont fréquemment envoyées à un serveur Web ciblé. Les identificateurs de ressources uniformes (URI) dans les demandes nécessitent des algorithmes complexes et chronophages ou des opérations de base de données qui peuvent épuiser les ressources du serveur Web ciblé. [57] [58] [59]
En 2004, un pirate chinois surnommé KiKi a inventé un outil de piratage pour envoyer ce type de requêtes afin d’attaquer un pare-feu NSFOCUS nommé Collapsar , et donc l’outil de piratage était connu sous le nom de Challenge Collapsar , ou CC en abrégé. Par conséquent, ce type d’attaque a reçu le nom d’ attaque CC . [60]
Inondation ICMP (Internet Control Message Protocol)
Une attaque smurf repose sur des périphériques réseau mal configurés qui permettent d’envoyer des paquets à tous les ordinateurs hôtes d’un réseau particulier via l’ adresse de diffusion du réseau, plutôt qu’une machine spécifique. L’attaquant enverra un grand nombre de paquets IP avec l’adresse source truquée pour apparaître comme l’adresse de la victime. La plupart des appareils sur un réseau répondront, par défaut, en envoyant une réponse à l’adresse IP source. Si le nombre de machines sur le réseau qui reçoivent et répondent à ces paquets est très important, l’ordinateur de la victime sera inondé de trafic. Cela surcharge l’ordinateur de la victime et peut même le rendre inutilisable lors d’une telle attaque. [61]
L’inondation ping est basée sur l’envoi à la victime d’un nombre écrasant de paquets ping , généralement en utilisant la commande ping à partir d’ hôtes de type Unix . [a] Il est très simple à lancer, la principale exigence étant l’accès à une bande passante supérieure à celle de la victime.
Le ping de la mort est basé sur l’envoi à la victime d’un paquet ping malformé, ce qui entraînera un plantage du système sur un système vulnérable.
L’ attaque BlackNurse est un exemple d’attaque tirant parti des paquets ICMP Destination Port Unreachable requis.
Nuke
Un Nuke est une attaque par déni de service à l’ancienne contre les Réseaux informatiques consistant en des paquets ICMP fragmentés ou non valides envoyés à la cible, obtenue en utilisant un utilitaire de ping modifié pour envoyer à plusieurs reprises ces données corrompues, ralentissant ainsi l’ordinateur affecté jusqu’à ce que il s’arrête complètement. [62]
Un exemple spécifique d’ une attaque nucléaire qui a pris de l’ importance est le WinNuke , qui exploitait la vulnérabilité du gestionnaire NetBIOS dans Windows 95 . Une chaîne de données hors bande a été envoyée au port TCP 139 de la machine de la victime, provoquant son blocage et l’affichage d’un Écran bleu de la mort . [62]
Attaques peer-to-peer
Les attaquants ont trouvé un moyen d’exploiter un certain nombre de bogues dans les serveurs peer-to-peer pour lancer des attaques DDoS. La plus agressive de ces attaques peer-to-peer-DDoS exploite DC++ . Avec le peer-to-peer, il n’y a pas de botnet et l’attaquant n’a pas à communiquer avec les clients qu’il subvertit. Au lieu de cela, l’attaquant agit comme un marionnettiste , demandant aux clients des grands hubs de partage de fichiers peer-to-peer de se déconnecter de leur réseau peer-to-peer et de se connecter au site Web de la victime à la place. [63] [64] [65]
Attaques permanentes par déni de service
Le déni de service permanent (PDoS), également connu sous le nom de phlashing, [66] est une attaque qui endommage tellement un système qu’il nécessite le remplacement ou la réinstallation du matériel. [67] Contrairement à l’attaque par déni de service distribué, une attaque PDoS exploite des failles de sécurité qui permettent une administration à distance sur les interfaces de gestion du matériel de la victime, comme les routeurs, les imprimantes ou tout autre matériel réseau . L’attaquant utilise ces vulnérabilités pour remplacer le micrologiciel d’un appareil par une image de micrologiciel modifiée, corrompue ou défectueuse, un processus qui, lorsqu’il est effectué de manière légitime, est appelé clignotement. L’intention est de briquerl’appareil, le rendant inutilisable pour son usage initial jusqu’à ce qu’il puisse être réparé ou remplacé.
Le PDoS est une attaque purement matérielle ciblée qui peut être beaucoup plus rapide et nécessite moins de ressources que l’utilisation d’un botnet dans une attaque DDoS. En raison de ces fonctionnalités et du potentiel et de la forte probabilité d’exploits de sécurité sur les appareils embarqués compatibles réseau, cette technique a attiré l’attention de nombreuses communautés de piratage. BrickerBot , un logiciel malveillant ciblant les appareils IoT, a utilisé des attaques PDoS pour désactiver ses cibles. [68]
PhlashDance est un outil créé par Rich Smith (un employé du Systems Security Lab de Hewlett-Packard) utilisé pour détecter et démontrer les vulnérabilités PDoS lors de la conférence EUSecWest Applied Security 2008 à Londres. [69]
Attaque réfléchie
Une attaque par déni de service distribué peut impliquer l’envoi de requêtes falsifiées d’un certain type à un très grand nombre d’ordinateurs qui répondront aux requêtes. En utilisant l’usurpation d’adresse de protocole Internet , l’adresse source est définie sur celle de la victime ciblée, ce qui signifie que toutes les réponses iront à (et inonderont) la cible. Cette forme d’attaque réfléchie est parfois appelée “DRDOS”. [70]
Les attaques de Demande d’écho ICMP (attaques Smurf ) peuvent être considérées comme une forme d’attaque réfléchie, car les hôtes inondés envoient des demandes d’écho aux adresses de diffusion de réseaux mal configurés, incitant ainsi les hôtes à envoyer des paquets de réponse d’écho à la victime. Certains premiers programmes DDoS ont implémenté une forme distribuée de cette attaque.
Amplification
Les attaques d’amplification sont utilisées pour amplifier la bande passante qui est envoyée à une victime. De nombreux services peuvent être exploités pour agir comme des réflecteurs, certains plus difficiles à bloquer que d’autres. [71] L’US-CERT a observé que différents services peuvent entraîner différents facteurs d’amplification, comme indiqué ci-dessous : [72]
Protocole | Facteur d’amplification | Remarques |
---|---|---|
Mitel MiCollab | 2 200 000 000 [73] | |
Memcaché | 50 000 | Corrigé dans la version 1.5.6 [74] |
NTP | 556.9 | Corrigé dans la version 4.2.7p26 [75] |
CHARGEN | 358,8 | |
DNS | jusqu’à 179 [76] | |
QOTD | 140.3 | |
Protocole réseau Quake | 63,9 | Corrigé dans la version 71 |
BitTorrent | 4,0 – 54,3 [77] | Corrigé dans libuTP depuis 2015 |
CoAP | 10 – 50 | |
BRAS | 33,5 | |
SSDP | 30,8 | |
Kad | 16.3 | |
SNMPv2 | 6.3 | |
Protocole Steam | 5.5 | |
NetBIOS | 3.8 |
Les attaques par amplification DNS impliquent qu’un attaquant envoie une demande de recherche de nom DNS à un ou plusieurs serveurs DNS publics, en usurpant l’adresse IP source de la victime ciblée. L’attaquant essaie de demander le plus d’informations possible, amplifiant ainsi la réponse DNS qui est envoyée à la victime ciblée. Étant donné que la taille de la demande est nettement inférieure à la réponse, l’attaquant peut facilement augmenter la quantité de trafic dirigée vers la cible. [78] [79]
SNMP et NTP peuvent également être exploités comme réflecteur dans une attaque par amplification. Un exemple d’attaque DDoS amplifiée via le protocole NTP ( Network Time Protocol ) consiste en une commande appelée monlist , qui renvoie les détails des 600 derniers hôtes qui ont demandé l’heure au serveur NTP au demandeur. Une petite demande à ce serveur de temps peut être envoyée à l’aide d’une adresse IP source usurpée d’une victime, ce qui entraîne une réponse 556,9 fois la taille de la demande envoyée à la victime. Cela s’amplifie lors de l’utilisation de botnets qui envoient tous des requêtes avec la même source IP usurpée, ce qui entraînera le renvoi d’une quantité massive de données à la victime.
Il est très difficile de se défendre contre ces types d’attaques car les données de réponse proviennent de serveurs légitimes. Ces demandes d’attaque sont également envoyées via UDP, qui ne nécessite pas de connexion au serveur. Cela signifie que l’adresse IP source n’est pas vérifiée lorsqu’une requête est reçue par le serveur. Pour faire prendre conscience de ces vulnérabilités, des campagnes ont été lancées qui se consacrent à la recherche de vecteurs d’amplification qui ont conduit les gens à réparer leurs résolveurs ou à les arrêter complètement. [ citation nécessaire ]
Réseau de zombies Mirai
Cette attaque fonctionne en utilisant un ver pour infecter des centaines de milliers d’appareils IoT sur Internet. Le ver se propage à travers les réseaux et les systèmes prenant le contrôle des appareils IoT mal protégés tels que les thermostats, les horloges Wi-Fi et les machines à laver. [80] Lorsque l’appareil devient asservi, le propriétaire ou l’utilisateur n’aura généralement aucune indication immédiate. L’appareil IoT lui-même n’est pas la cible directe de l’attaque, il est utilisé dans le cadre d’une attaque plus large. [81] Ces appareils nouvellement asservis sont appelés esclaves ou bots. Une fois que le pirate a acquis le nombre souhaité de bots, il demande aux bots d’essayer de contacter un FAI. En octobre 2016, un botnet Mirai a attaqué Dyn qui est le FAI de sites tels que Twitter, Netflix, etc. [80]Dès que cela s’est produit, ces sites Web ont tous été inaccessibles pendant plusieurs heures. Ce type d’attaque n’est pas physiquement dommageable, mais il sera certainement coûteux pour les grandes entreprises Internet attaquées.
RU-Mort-Encore ? (RUDY)
L’attaque RUDY [82] cible les applications Web en privant les sessions disponibles sur le serveur Web. Tout comme Slowloris , RUDY maintient les sessions à l’arrêt en utilisant des transmissions POST sans fin et en envoyant une valeur d’en-tête de longueur de contenu arbitrairement grande. [ citation nécessaire ]
SACK Panique
Manipulant la taille maximale de segment et l’accusé de réception sélectif (SACK) , il peut être utilisé par un pair distant pour provoquer un déni de service par un débordement d’entier dans le noyau Linux, provoquant même une panique du noyau . [83] Jonathan Looney a découvert CVE – 2019-11477 , CVE- 2019-11478 , CVE- 2019-11479 le 17 juin 2019. [84]
Attaque de musaraigne
L’attaque de musaraigne est une attaque par déni de service sur le protocole de contrôle de transmission où l’attaquant emploie des techniques de l’homme du milieu . Il utilise de courtes rafales de trafic synchronisées pour perturber les connexions TCP sur la même liaison, en exploitant une faiblesse du mécanisme de délai de retransmission de TCP. [85]
Attaque de lecture lente
Une attaque de lecture lente envoie des demandes légitimes de la couche application, mais lit les réponses très lentement, essayant ainsi d’épuiser le pool de connexions du serveur. Ceci est réalisé en annonçant un très petit nombre pour la taille de la fenêtre de réception TCP et en même temps en vidant lentement le tampon de réception TCP des clients, ce qui entraîne un débit de données très faible.
Attaque sophistiquée par déni de service distribué à faible bande passante
Une attaque DDoS sophistiquée à faible bande passante est une forme de DoS qui utilise moins de trafic et augmente son efficacité en ciblant un point faible dans la conception du système de la victime, c’est-à-dire que l’attaquant envoie au système un trafic composé de requêtes compliquées. [86] Essentiellement, une attaque DDoS sophistiquée est moins coûteuse en raison de son utilisation de moins de trafic, sa taille est plus petite, ce qui la rend plus difficile à identifier, et elle a la capacité de nuire aux systèmes protégés par des mécanismes de contrôle de flux. [86] [87]
Inondation (S)SYN
Une Inondation SYN se produit lorsqu’un hôte envoie une inondation de paquets TCP/SYN, souvent avec une adresse d’expéditeur falsifiée. Chacun de ces paquets est traité comme une demande de connexion, ce qui amène le serveur à générer une connexion semi-ouverte , en renvoyant un paquet TCP/SYN-ACK (accusé de réception) et en attendant un paquet en réponse de l’adresse de l’expéditeur (réponse à le paquet ACK). Cependant, comme l’adresse de l’expéditeur est falsifiée, la réponse n’arrive jamais. Ces connexions semi-ouvertes saturent le nombre de connexions disponibles que le serveur peut établir, l’empêchant de répondre aux requêtes légitimes jusqu’à la fin de l’attaque. [88]
Attaques en larme
Une attaque en forme de larme consiste à envoyer des fragments IP mutilés avec des charges utiles surdimensionnées qui se chevauchent vers la machine cible. Cela peut planter divers systèmes d’exploitation en raison d’un bogue dans leur code de réassemblage de fragmentation TCP/IP . [89] Les systèmes d’ exploitation Windows 3.1x , Windows 95 et Windows NT , ainsi que les versions de Linux antérieures aux versions 2.0.32 et 2.1.63 sont vulnérables à cette attaque.
(Bien qu’en septembre 2009, une vulnérabilité dans Windows Vista ait été qualifiée d ‘”attaque en forme de larme”, celle-ci ciblait SMB2 qui est une couche supérieure aux paquets TCP utilisés par la larme). [90] [91]
L’un des champs d’un en-tête IP est le champ « décalage de fragment », indiquant la position de départ, ou décalage, des données contenues dans un paquet fragmenté par rapport aux données du paquet d’origine. Si la somme du décalage et de la taille d’un paquet fragmenté diffère de celle du paquet fragmenté suivant, les paquets se chevauchent. Lorsque cela se produit, un serveur vulnérable aux attaques en forme de larme est incapable de réassembler les paquets, ce qui entraîne une condition de déni de service.
Déni de service téléphonique (TDoS)
La voix sur IP a rendu l’origine abusive d’un grand nombre d’ appels vocaux téléphoniques peu coûteuse et facilement automatisée, tout en permettant de déformer l’origine des appels par le biais de l’usurpation d’identité de l’appelant .
Selon le Federal Bureau of Investigation des États-Unis , le déni de service téléphonique (TDoS) est apparu dans le cadre de divers stratagèmes frauduleux :
- Un escroc contacte le banquier ou le courtier de la victime, se faisant passer pour la victime pour demander un transfert de fonds. La tentative du banquier de contacter la victime pour vérifier le transfert échoue car les lignes téléphoniques de la victime sont inondées de milliers de faux appels, rendant la victime injoignable. [92]
- Un escroc contacte des consommateurs avec une fausse réclamation pour recouvrer un prêt sur salaire impayé de plusieurs milliers de dollars. Lorsque le consommateur s’y oppose, l’escroc riposte en inondant l’employeur de la victime de milliers d’appels automatisés. Dans certains cas, l’identification de l’appelant affichée est usurpée pour se faire passer pour la police ou les forces de l’ordre. [93]
- Un escroc contacte les consommateurs avec une fausse demande de recouvrement de créances et menace d’envoyer la police ; lorsque la victime rechigne, l’escroc inonde les numéros de la police locale d’appels sur lesquels l’identification de l’appelant est usurpée pour afficher le numéro de la victime. La police arrive bientôt au domicile de la victime pour tenter de trouver l’origine des appels.
Le déni de service téléphonique peut exister même sans téléphonie Internet . Lors du scandale des brouillages téléphoniques des élections au Sénat du New Hampshire en 2002 , des télévendeurs ont été utilisés pour inonder les opposants politiques d’appels fallacieux pour brouiller les banques téléphoniques le jour des élections. La publication généralisée d’un numéro peut également l’inonder d’assez d’appels pour le rendre inutilisable, comme cela s’est produit par accident en 1981 avec plusieurs abonnés +1- indicatif régional -867-5309 inondés par des centaines d’appels quotidiens en réponse à la chanson 867-5309/ Jenny .
TDoS diffère des autres harcèlements téléphoniques (tels que les canulars et les appels téléphoniques obscènes ) par le nombre d’appels émis ; en occupant les lignes en permanence avec des appels automatisés répétés, la victime est empêchée de passer ou de recevoir des appels téléphoniques de routine et d’urgence.
Les exploits associés incluent les attaques par inondation de SMS et la transmission de télécopie noire ou de boucle de télécopie.
Attaque d’expiration TTL
Il faut plus de ressources de routeur pour supprimer un paquet avec une valeur TTL de 1 ou moins que pour transférer un paquet avec une valeur TTL plus élevée. Lorsqu’un paquet est abandonné en raison de l’expiration de la durée de vie, la CPU du routeur doit générer et envoyer une réponse ICMP dépassée . La génération d’un grand nombre de ces réponses peut surcharger le processeur du routeur. [94]
Attaque UPnP
Cette attaque utilise une vulnérabilité existante dans le protocole Universal Plug and Play (UPnP) pour contourner une quantité considérable des méthodes de défense actuelles et inonder le réseau et les serveurs d’une cible. L’attaque est basée sur une technique d’amplification DNS, mais le mécanisme d’attaque est un routeur UPnP qui transmet les requêtes d’une source externe à une autre sans tenir compte des règles de comportement UPnP. L’utilisation du routeur UPnP renvoie les données sur un port UDP inattendu à partir d’une fausse adresse IP, ce qui rend plus difficile la prise de mesures simples pour arrêter l’inondation de trafic. Selon les chercheurs d’ Imperva , le moyen le plus efficace d’arrêter cette attaque est que les entreprises verrouillent les routeurs UPnP. [95] [96]
Attaque par réflexion SSDP
En 2014, il a été découvert que SSDP était utilisé dans des attaques DDoS connues sous le nom d'” attaque par réflexion SSDP avec amplification”. De nombreux appareils, y compris certains routeurs résidentiels, présentent une vulnérabilité dans le logiciel UPnP qui permet à un attaquant d’obtenir des réponses du numéro de port 1900 à une adresse de destination de son choix. Avec un botnet de milliers d’appareils, les attaquants peuvent générer des débits de paquets suffisants et occuper de la bande passante pour saturer les liens, provoquant le déni de services. [97] [98] [99] La société de réseau Cloudflare a décrit cette attaque comme le “protocole DDoS stupidement simple”. [100]
Usurpation ARP
L’usurpation d’identité ARP est une attaque DoS courante qui implique une vulnérabilité dans le protocole ARP qui permet à un attaquant d’associer son adresse MAC à l’adresse IP d’un autre ordinateur ou d’une passerelle (comme un routeur), ce qui provoque le trafic destiné à l’adresse IP authentique d’origine. -routé vers celui de l’attaquant, provoquant un déni de service.
Techniques de défense
Les réponses défensives aux attaques par déni de service impliquent généralement l’utilisation d’une combinaison d’outils de détection d’attaque, de classification du trafic et de réponse, visant à bloquer le trafic qu’ils identifient comme illégitime et à autoriser le trafic qu’ils identifient comme légitime. [101] Une liste d’outils de prévention et d’intervention est fournie ci-dessous :
Filtrage en amont
Tout le trafic destiné à la victime est détourné pour passer par un “cleaning center” ou un “scrubbing center” via différentes méthodes telles que : modification de l’adresse IP de la victime dans le système DNS, méthodes de tunneling (GRE/VRF, MPLS, SDN), [102] proxies, interconnexions numériques, ou même circuits directs, qui séparent le “mauvais” trafic (DDoS et autres attaques Internet courantes) et n’envoient que le bon trafic légitime au serveur victime. [103]Le fournisseur a besoin d’une connectivité centrale à Internet pour gérer ce type de service, à moins qu’il ne soit situé dans la même installation que le « centre de nettoyage » ou le « centre de lavage ». Les attaques DDoS peuvent submerger tout type de pare-feu matériel, et faire passer le trafic malveillant à travers des réseaux vastes et matures devient de plus en plus efficace et économiquement durable contre les DDoS. [104]
Matériel frontal de l’application
Le matériel frontal d’application est un matériel intelligent placé sur le réseau avant que le trafic n’atteigne les serveurs. Il peut être utilisé sur des réseaux en conjonction avec des routeurs et des commutateurs. Le matériel frontal de l’application analyse les paquets de données lorsqu’ils entrent dans le système, puis les identifie comme prioritaires, réguliers ou dangereux. Il existe plus de 25 fournisseurs de gestion de la bande passante .
Indicateurs clés d’achèvement au niveau de l’application
Apprendre encore plus Cette section contient peut -être des recherches originales . ( mars 2018 ) Please improve it by verifying the claims made and adding inline citations. Statements consisting only of original research should be removed. (Learn how and when to remove this template message) |
Les approches des attaques DDoS contre les applications basées sur le cloud peuvent être basées sur une analyse de la couche application, indiquant si le trafic en masse entrant est légitime et déclenchant ainsi des décisions d’élasticité sans les implications économiques d’une attaque DDoS. [105] Ces approches reposent principalement sur un chemin de valeur identifié à l’intérieur de l’application et surveillent l’avancement des requêtes sur ce chemin, grâce à des marqueurs appelés Key Completion Indicators. [106]
Essentiellement, ces techniques sont des méthodes statistiques d’évaluation du comportement des demandes entrantes pour détecter si quelque chose d’inhabituel ou d’anormal se passe.
Une analogie est avec un grand magasin physique où les clients passent, en moyenne, un pourcentage connu de leur temps sur différentes activités telles que ramasser des articles et les examiner, les remettre en place, remplir un panier, attendre pour payer, payer , et partir. Ces activités de haut niveau correspondent aux indicateurs clés d’achèvement du service ou du site, et une fois qu’un comportement normal est déterminé, un comportement anormal peut être identifié. Si une foule de clients arrivaient dans le magasin et passaient tout leur temps à ramasser des articles et à les remettre, mais n’effectuaient aucun achat, cela pourrait être signalé comme un comportement inhabituel.
Le grand magasin peut tenter de s’adapter aux périodes de forte activité en mobilisant une réserve d’employés à court terme. Mais s’il le faisait régulièrement, si une foule commençait à se présenter mais n’achetait jamais rien, cela pourrait ruiner le magasin avec les coûts supplémentaires des employés. Bientôt, le magasin identifierait l’activité de la foule et réduirait le nombre d’employés, reconnaissant que la foule ne fournit aucun profit et ne devrait pas être servie. Bien que cela puisse rendre plus difficile pour les clients légitimes d’être servis pendant la présence de la foule, cela évite au magasin une ruine totale.
Dans le cas de services cloud élastiques où une charge de travail supplémentaire énorme et anormale peut entraîner des frais importants de la part du fournisseur de services cloud, cette technique peut être utilisée pour réduire ou même arrêter l’expansion de la disponibilité du serveur pour se protéger des pertes économiques.
Blackholing et gouffre
Avec le routage blackhole , tout le trafic vers l’adresse DNS ou IP attaquée est envoyé vers un “trou noir” (interface nulle ou serveur inexistant). Pour être plus efficace et éviter d’affecter la connectivité du réseau, il peut être géré par le FAI. [107]
Un gouffre DNS achemine le trafic vers une adresse IP valide qui analyse le trafic et rejette les mauvais paquets. Sinkholing n’est pas efficace pour les attaques les plus graves.
Prévention basée sur IPS
Les systèmes de prévention d’intrusion (IPS) sont efficaces si les attaques sont associées à des signatures. Cependant, la tendance parmi les attaques est d’avoir un contenu légitime mais une mauvaise intention. Les systèmes de prévention des intrusions qui fonctionnent sur la reconnaissance de contenu ne peuvent pas bloquer les attaques DoS basées sur le comportement. [35]
Un IPS basé sur ASIC peut détecter et bloquer les attaques par déni de service car il dispose de la puissance de traitement et de la granularité nécessaires pour analyser les attaques et agir comme un disjoncteur de manière automatisée. [35]
Défense basée sur DDS
Plus axé sur le problème que l’IPS, un système de défense DoS (DDS) peut bloquer les attaques DoS basées sur la connexion et celles avec un contenu légitime mais une mauvaise intention. Un DDS peut également traiter à la fois les attaques de protocole (telles que la larme et le ping de la mort) et les attaques basées sur le débit (telles que les inondations ICMP et les inondations SYN). DDS dispose d’un système spécialement conçu qui peut facilement identifier et bloquer les attaques par déni de service à une vitesse supérieure à celle d’un système basé sur un logiciel. [108]
Pare-feu
Dans le cas d’une attaque simple, un pare -feu peut avoir une règle simple ajoutée pour refuser tout le trafic entrant des attaquants, en fonction des protocoles, des ports ou des adresses IP d’origine.
Des attaques plus complexes seront cependant difficiles à bloquer avec des règles simples : par exemple, s’il y a une attaque en cours sur le port 80 (service web), il n’est pas possible de supprimer tout le trafic entrant sur ce port car cela empêchera le serveur de servir le trafic légitime. [109] De plus, les pare-feu peuvent être trop profonds dans la hiérarchie du réseau, les routeurs étant affectés négativement avant que le trafic n’atteigne le pare-feu. De plus, de nombreux outils de sécurité ne prennent toujours pas en charge IPv6 ou peuvent ne pas être configurés correctement, de sorte que les pare-feu peuvent souvent être contournés lors des attaques. [110]
Routeurs
Semblables aux commutateurs, les routeurs ont des capacités de limitation de débit et d’ ACL . Eux aussi sont réglés manuellement. La plupart des routeurs peuvent être facilement submergés par une attaque DoS. Cisco IOS possède des fonctionnalités facultatives qui peuvent réduire l’impact de l’inondation. [111]
Commutateurs
La plupart des commutateurs ont une capacité de limitation de débit et d’ ACL . Certains commutateurs offrent une limitation de débit automatique et/ou à l’échelle du système , une mise en forme du trafic , une liaison différée ( épissage TCP ), une inspection approfondie des paquets et un filtrage Bogon (filtrage IP factice) pour détecter et corriger les attaques DoS grâce au filtrage automatique du débit et au basculement et à l’équilibrage de la liaison WAN. . [35] [ citation nécessaire ]
Ces schémas fonctionneront tant que les attaques DoS pourront être évitées en les utilisant. Par exemple, l’Inondation SYN peut être évitée à l’aide d’une liaison retardée ou d’un épissage TCP. De même, le DoS basé sur le contenu peut être empêché en utilisant une inspection approfondie des paquets. Les attaques provenant d’ adresses sombres ou allant vers des adresses sombres peuvent être empêchées à l’aide du filtrage bogon . Le filtrage automatique des débits peut fonctionner tant que les seuils de débit ont été définis correctement. Le basculement de liaison Wan fonctionnera tant que les deux liaisons disposent d’un mécanisme de prévention DoS/DDoS. [35] [ citation nécessaire ]
Blocage des ports vulnérables
Par exemple, dans une attaque par réflexion SSDP ; la principale atténuation consiste à bloquer le trafic UDP entrant sur le port 1900 au niveau du pare-feu. [112]
Déni de service involontaire
Un déni de service involontaire peut se produire lorsqu’un système finit par être refusé, non pas en raison d’une attaque délibérée par un seul individu ou un groupe d’individus, mais simplement en raison d’un énorme pic soudain de popularité. Cela peut se produire lorsqu’un site Web extrêmement populaire publie un lien proéminent vers un deuxième site moins bien préparé, par exemple, dans le cadre d’un reportage. Le résultat est qu’une proportion importante des utilisateurs réguliers du site principal – potentiellement des centaines de milliers de personnes – cliquent sur ce lien en l’espace de quelques heures, ce qui a le même effet sur le site Web cible qu’une attaque DDoS. Un VIPDoS est le même, mais spécifiquement lorsque le lien a été posté par une célébrité.
Lorsque Michael Jackson est décédé en 2009, des sites Web tels que Google et Twitter ont ralenti, voire se sont écrasés. [113] De nombreux serveurs de sites pensaient que les requêtes provenaient d’un virus ou d’un logiciel espion tentant de provoquer une attaque par déni de service, avertissant les utilisateurs que leurs requêtes ressemblaient à des “requêtes automatisées d’un virus informatique ou d’une application de logiciel espion”. [114]
Les sites d’information et les sites de liens – des sites dont la fonction principale est de fournir des liens vers des contenus intéressants ailleurs sur Internet – sont les plus susceptibles de provoquer ce phénomène. L’exemple canonique est l’ effet Slashdot lors de la réception du trafic de Slashdot . Il est également connu sous le nom de “l’ étreinte de la mort Reddit ” et “l’ effet Digg “.
Les routeurs sont également connus pour créer des attaques DoS involontaires, car les routeurs D-Link et Netgear ont surchargé les serveurs NTP en les inondant sans respecter les restrictions des types de clients ou les limitations géographiques.
Un déni de service involontaire similaire peut également se produire via d’autres médias, par exemple lorsqu’une URL est mentionnée à la télévision. Si un serveur est indexé par Google ou un autre moteur de recherche pendant les périodes de pointe d’activité, ou s’il n’a pas beaucoup de bande passante disponible pendant l’indexation, il peut également subir les effets d’une attaque DoS. [35] [ échec de la vérification ] [ citation nécessaire ]
Des poursuites judiciaires ont été engagées dans au moins un de ces cas. En 2006, Universal Tube & Rollform Equipment Corporation a poursuivi YouTube : un grand nombre d’utilisateurs potentiels de YouTube.com ont accidentellement tapé l’URL de la société de tubes, utube.com. En conséquence, la société de tubes a fini par devoir dépenser de grosses sommes d’argent pour améliorer sa bande passante. [115] La société semble avoir profité de la situation, utube.com contenant désormais des publicités pour les revenus publicitaires.
En mars 2014, après la disparition du vol 370 de Malaysia Airlines , DigitalGlobe a lancé un service de crowdsourcing sur lequel les utilisateurs pouvaient aider à rechercher le jet manquant dans les images satellites. La réponse a submergé les serveurs de l’entreprise. [116]
Un déni de service involontaire peut également résulter d’un événement préprogrammé créé par le site Web lui-même, comme ce fut le cas du recensement en Australie en 2016. [117] Cela peut être dû au fait qu’un serveur fournit un service à un moment précis. Il peut s’agir d’un site Web universitaire définissant les notes disponibles, ce qui entraînera à ce moment-là beaucoup plus de demandes de connexion que tout autre.
Effets secondaires des attaques
Rétrodiffusion
Dans la sécurité des Réseaux informatiques, la rétrodiffusion est un effet secondaire d’une attaque par déni de service usurpée. Dans ce type d’attaque, l’attaquant usurpe (ou falsifie) l’adresse source dans les paquets IP envoyés à la victime. En général, la machine victime ne peut pas faire la distinction entre les paquets usurpés et les paquets légitimes, de sorte que la victime répond aux paquets usurpés comme elle le ferait normalement. Ces paquets de réponse sont connus sous le nom de rétrodiffusion. [118]
Si l’attaquant usurpe des adresses source de manière aléatoire, les paquets de réponse de rétrodiffusion de la victime seront renvoyés vers des destinations aléatoires. Cet effet peut être utilisé par les télescopes du réseau comme preuve indirecte de telles attaques.
Le terme “analyse de rétrodiffusion” fait référence à l’observation de paquets de rétrodiffusion arrivant sur une partie statistiquement significative de l’ espace d’ adressage IP pour déterminer les caractéristiques des attaques DoS et des victimes.
Légalité
De nombreux sites Internet proposant des outils pour mener une attaque DDoS ont été saisis par le FBI en vertu du Computer Fraud and Abuse Act . [119]
De nombreuses juridictions ont des lois en vertu desquelles les attaques par déni de service sont illégales.
- Aux États-Unis, les attaques par déni de service peuvent être considérées comme un crime fédéral en vertu de la Computer Fraud and Abuse Act, avec des sanctions pouvant aller jusqu’à des années d’emprisonnement. [120] La Section de la criminalité informatique et de la propriété intellectuelle du Département de la justice des États-Unis traite les cas de DoS et DDoS. Dans un exemple, en juillet 2019, Austin Thompson, alias DerpTrolling, a été condamné à 27 mois de prison et à un dédommagement de 95 000 $ par un tribunal fédéral pour avoir mené plusieurs attaques DDoS contre de grandes sociétés de jeux vidéo, perturbant leurs systèmes pendant des heures ou des jours. [121] [122]
- Dans les pays européens , commettre des attaques criminelles par déni de service peut, au minimum, conduire à une arrestation. [123] Le Royaume-Uni est inhabituel en ce qu’il a spécifiquement interdit les attaques par déni de service et a fixé une peine maximale de 10 ans de prison avec la Police and Justice Act 2006 , qui a modifié la section 3 de la Computer Misuse Act 1990 . [124]
- En janvier 2019, Europol a annoncé que “des actions sont actuellement en cours dans le monde entier pour retrouver les utilisateurs” de Webstresser.org, une ancienne place de marché DDoS fermée en avril 2018 dans le cadre de l’opération Power Off. [125] Europol a déclaré que la police britannique menait un certain nombre “d’opérations en direct” ciblant plus de 250 utilisateurs de Webstresser et d’autres services DDoS. [126]
Le 7 janvier 2013, Anonymous a publié une pétition sur le site whitehouse.gov demandant que le DDoS soit reconnu comme une forme légale de protestation similaire aux manifestations Occupy , l’affirmation étant que la similitude dans le but des deux est la même. [127]
Voir également
- BASHLITE – Logiciels malveillants pour les systèmes Linux
- Attaque d’un milliard de rires – Attaque par déni de service sur les analyseurs XML, exploitant l’expansion d’entité
- Botnet – Collection d’appareils connectés à Internet compromis contrôlés par un tiers
- Blaster (ver informatique) – Virus informatique qui a attaqué le logiciel de Bill Gates
- Dendroid (malware) – Malware basé sur Android
- Fork bomb – Type d’attaque logicielle par déni de service
- High Orbit Ion Cannon – Outil d’attaque par déni de service (HOIC)
- DDoS hit-and-run – Type de cyberattaque par déni de service
- Espionnage industriel – Utilisation de l’espionnage à des fins commerciales plutôt que de sécurité
- Boucle infinie – Idiome de programmation
- Système de détection d’intrusion – Dispositif ou logiciel de protection du réseau
- Low Orbit Ion Cannon – Test de résistance du réseau open source et application d’attaque par déni de service (LOIC)
- Attaque de menace mixte
- Système de détection d’intrusion réseau
- Cyberattaque Dyn de 2016
- Terrorisme papier – Utilisation de faux documents juridiques comme méthode de harcèlement
- Bouclier de projet
- ReDoS
- Attaque d’épuisement des ressources
- SlowDroid – Attaque expérimentale par déni de service
- Slowloris (sécurité informatique) – Logiciel pour exécuter une attaque par déni de service
- Licorne UDP
- Sit-in virtuel – Technique de désobéissance civile en ligne
- Web shell – Interface permettant l’accès à distance à un serveur Web
- Brouillage radio – Interférence avec les communications sans fil autorisées
- Attaque par déni de service XML
- Xor DDoS – Malveillance cheval de Troie Linux avec des capacités de rootkit
- Zemra
- Zombie (informatique) – Ordinateur compromis utilisé pour des tâches malveillantes sur un réseau
Remarques
- ^ L’indicateur -t sur les systèmes Windows est beaucoup moins capable de submerger une cible, de même l’indicateur -l (taille) n’autorise pas une taille de paquet envoyée supérieure à 65500 sous Windows.
Références
- ^ “Comprendre les attaques par déni de service” . US-CERT. 6 février 2013 . Récupéré le 26 mai 2016 .
- ^ “Qu’est-ce qu’une attaque DDoS ? – Signification DDoS” . usa.kaspersky.com . 2021-01-13 . Récupéré le 05/09/2021 .
- ^ Prince, Matthieu (25 avril 2016). « Menaces DDoS vides : rencontrez le collectif Armada » . Cloud Flare . Récupéré le 18 mai 2016 .
- ^ “Le président de Brand.com, Mike Zammuto, révèle une tentative de chantage” . 5 mars 2014. Archivé de l’original le 11 mars 2014.
- ^ “Mike Zammuto de Brand.com discute de l’extorsion de Meetup.com” . 5 mars 2014. Archivé de l’original le 13 mai 2014.
- ^ “La Philosophie d’Anonyme” . Radicalphilosophy.com. 2010-12-17 . Récupéré le 10/09/2013 .
- ^ “Attaques par déni de service distribué – The Internet Protocol Journal – Volume 7, Numéro 4” . Cisco . Archivé de l’original le 2019-08-26 . Récupéré le 26/08/2019 .
- ^ Forgeron, Steve. « 5 célèbres botnets qui ont pris Internet en otage » . tqahebdomadaire . Consulté le 20 novembre 2014 .
- ^ Cimpanu, Catalin. “Google dit avoir atténué une attaque DDoS de 2,54 Tbps en 2017, la plus importante connue à ce jour” . ZDNet . Récupéré le 16/09/2021 .
- ^ Goodin, Dan (5 mars 2018). “Le fournisseur de services américain survit au plus grand DDoS enregistré de l’histoire” . Ars Technica . Récupéré le 6 mars 2018 .
- ^ Ranger, Steve. “GitHub a été victime de la plus grande attaque DDoS jamais vue | ZDNet” . ZDNet . Récupéré le 14/10/2018 .
- ^ “Amazon” déjoue la plus grande Cyber-attaque DDoS jamais réalisée ” ” . BBC News . 18 juin 2020 . Récupéré le 11 novembre 2020 .
- ^ Pinho, Mario (29 mai 2020). “Le rapport AWS Shield Threat Landscape est désormais disponible” . Blog sur la sécurité AWS . Récupéré le 11 novembre 2020 .
- ^ “Cloudflare déjoue l’attaque DDoS de 17,2 millions de rps – la plus grande jamais signalée” . Le blog Cloudflare . 2021-08-19 . Récupéré le 23/12/2021 .
- ^ “Yandex matraqué par le puissant botnet Meris DDoS” . menacepost.com . Récupéré le 23/12/2021 .
- ^ un b Taghavi Zargar, Saman (novembre 2013). “Une enquête sur les mécanismes de défense contre les attaques par inondation par déni de service distribué (DDoS)” (PDF) . ENQUÊTES ET TUTORIELS SUR LES COMMUNICATIONS IEEE. pp. 2046–2069 . Récupéré le 07/03/2014 .
- ^ Khalifeh, Soltanian, Mohammad Reza (2015-11-10). Méthodes théoriques et expérimentales de défense contre les attaques DDoS . Amiri, Iraj Sadegh, 1977-. Waltham, MA. ISBN 978-0128053997. OCLC 930795667 .
- ^ “Votre site Web a-t-il été mordu par un zombie?” . Cloudbric. 3 août 2015 . Récupéré le 15 septembre 2015 .
- ^ un b “les Attaques DDoS de la Couche Sept”. Institut Infosec .
- ^ Raghavan, SV (2011). Une enquête sur la détection et l’atténuation des attaques par déni de service (DoS) . Springer. ISBN 9788132202776.
- ^ Goodin, Dan (28 septembre 2016). “Un DDoS record aurait été délivré par plus de 145 000 caméras piratées” . Ars Technica . Archivé de l’original le 2 octobre 2016.
- ^ Khandelwal, Swati (26 septembre 2016). “La plus grande attaque DDoS de 1 Tbit/s au monde lancée à partir de 152 000 appareils intelligents piratés” . Les nouvelles des pirates. Archivé de l’original le 30 septembre 2016.
- ^ Kumar, Bhattacharyya, Dhruba; Kalita, Jugal Kumar (2016-04-27). Attaques DDoS : évolution, détection, prévention, réaction et tolérance . Boca Raton, Floride. ISBN 9781498729659. OCLC 948286117 .
- ^ “Imperva, paysage mondial des menaces DDoS, rapport 2019” (PDF) . Imperva.com . Imperva . Récupéré le 4 mai 2020 .
- ^ Côtés, Mor; Bremler-Barr, Anat; Rosensweig, Elisha (17 août 2015). “Attaque Yo-Yo : Vulnérabilité dans le mécanisme de mise à l’échelle automatique” . Examen de la communication informatique ACM SIGCOMM . 45 (4): 103–104. doi : 10.1145/2829988.2790017 .
- ^ Barr, Anat; Ben David, Ronen (2021). “Kubernetes Autoscaling : vulnérabilité et atténuation des attaques Yo Yo ” . Actes de la 11e conférence internationale sur l’informatique en nuage et la science des services . p. 34–44. arXiv : 2105.00542 . doi : 10.5220/0010397900340044 . ISBN 978-989-758-510-4. S2CID 233482002 .
- ^ Xu, Xiaoqiong; Li, Jin ; Yu, Hongfang ; Luo, Long ; Wei, Xuetao ; Soleil, Gang (2020). “Vers l’atténuation des attaques Yo-Yo dans le mécanisme de mise à l’échelle automatique du cloud” . Communications et réseaux numériques . 6 (3): 369–376. doi : 10.1016/j.dcan.2019.07.002 . S2CID 208093679 .
- ^ Lee, Newton (2013). Lutte contre le terrorisme et cybersécurité : Sensibilisation totale à l’information . Springer. ISBN 9781461472056.
- ^ “Gartner dit que 25% des attaques par déni de services distribués en 2013 seront basées sur les applications” . Gartner . 21 février 2013. Archivé de l’original le 25 février 2013 . Récupéré le 28 janvier 2014 .
- ^ un b Ginovsky, John (27 janvier 2014). “Ce que vous devez savoir sur l’aggravation des attaques DDoS” . Journal bancaire ABA . Archivé de l’original le 2014-02-09.
- ^ “Q4 2014 State of the Internet – Security Report: Numbers – The Akamai Blog” . blogs.akamai.com .
- ^ Ali, Junade (23 novembre 2017). “Le nouveau paysage DDoS” . Blog Cloud Flare .
- ^ Colline, Michael (2021-12-16). “La deuxième vulnérabilité Log4j comporte une menace de déni de service, un nouveau correctif est disponible” . OSC en ligne . Récupéré le 18/12/2021 .
- ^ Higgins, Kelly Jackson (17 octobre 2013). “Une attaque DDoS a utilisé un navigateur “sans tête” pendant 150 heures de siège” . Lecture sombre . Semaine de l’information. Archivé de l’original le 22 janvier 2014 . Récupéré le 28 janvier 2014 .
- ^ un bcdef Kiyuna et Conyers ( 2015 ). Livre source sur la guerre cybernétique . ISBN 978-1329063945.
- ^ Ilascu, Ionut (21 août 2014). « Un siège DDoS de 38 jours équivaut à plus de 50 pétabits dans un mauvais trafic » . Nouvelles de Softpedia . Récupéré le 29 juillet 2018 .
- ^ Or, Steve (21 août 2014). “Une société de jeux vidéo touchée par une attaque DDoS de 38 jours” . SC Magazine Royaume-Uni . Archivé de l’original le 2017-02-01 . Récupéré le 4 février 2016 .
- ^ Krebs, Brian (15 août 2015). “Stress-Tester les services Booter, financièrement” . Krebs sur la sécurité . Récupéré le 09/09/2016 .
- ^ Moubarakali, Azath; Srinivasan, Karthik ; Mukhalid, Reham ; Jaganathan, Subash CB ; Marina, Ninoslav (2020-01-26). “Défis de sécurité dans l’internet des objets : détection d’attaques par déni de service distribué à l’aide de systèmes experts basés sur des machines à vecteurs de support” . Intelligence computationnelle . 36 (4): 1580-1592. doi : 10.1111/coin.12293 . ISSN 0824-7935 . S2CID 214114645 .
- ^ McDowell, Mindi (4 novembre 2009). “Conseil de cybersécurité ST04-015 – Comprendre les attaques par déni de service” . Équipe de préparation aux urgences informatiques des États-Unis . Archivé de l’original le 2013-11-04 . Consulté le 11 décembre 2013 .
- ^ un b Dittrich, David (31 décembre 1999). “L’outil d’attaque par déni de service distribué” scheldraht “” . Université de Washington. Archivé de l’original le 2000-08-16 . Récupéré le 11/12/2013 .
- ^ Cambiaso, Enrico; Papaleo, Gianluca; Chiola, Giovanni; Aiello, Maurizio (2015). “Concevoir et modéliser la prochaine attaque DoS lente”. Conférence sur l’intelligence computationnelle dans la sécurité des systèmes d’information (CISIS 2015) . 249-259. Springer.
- ^ “Amazon Cloud Watch” . Amazon Web Services, Inc .
- ^ Encyclopédie des technologies de l’information . Éditeurs et distributeurs de l’Atlantique. 2007. p. 397.ISBN _ 978-81-269-0752-6.
- ^ Schwabach, Aaron (2006). Internet et la loi . ABC-CLIO. p. 325.ISBN _ 978-1-85109-731-9.
- ^ Lu, Xicheng; Wei Zhao (2005). Réseaux et informatique mobile . Birkhauser. p. 424.ISBN _ 978-3-540-28102-3.
- ^ Boyle, Phillip (2000). “SANS Institute – FAQ sur la détection d’intrusion : outils d’attaque par déni de service distribué : n/a” . Institut SANS. Archivé de l’original le 15/05/2008 . Récupéré le 02/05/2008 .
- ^ Leyde, John (2004-09-23). “La société américaine de cartes de crédit combat l’attaque DDoS” . Le Registre . Récupéré le 02/12/2011 .
- ^ Swati Khandelwal (23 octobre 2015). “Piratage des caméras CCTV pour lancer des attaques DDoS” . Les nouvelles des pirates .
- ^ Zeifman, Igal; Gayer, Ofer; Wilder, Or (21 octobre 2015). “Botnet CCTV DDoS dans notre propre arrière-cour” . incapsula.com .
- ^ Glenn Greenwald (15/07/2014). “PIRATAGE DES SONDAGES EN LIGNE ET AUTRES MOYENS D’ESPIONS BRITANNIQUES CHERCHENT À CONTRÔLER INTERNET” . L’Interception_ . Récupéré le 25/12/2015 .
- ^ “Qui est derrière les attaques DDoS et comment pouvez-vous protéger votre site Web ?” . Cloudbric. 10 septembre 2015 . Récupéré le 15 septembre 2015 .
- ^ Solon, Olivia (9 septembre 2015). “Les cyber-extorqueurs ciblant le secteur financier exigent des rançons Bitcoin” . Bloomberg . Récupéré le 15 septembre 2015 .
- ^ Greenberg, Adam (14 septembre 2015). “Akamai met en garde contre une activité accrue du groupe d’extorsion DDoS” . Revue SC . Récupéré le 15 septembre 2015 .
- ^ “Plan OWASP – Homme de Paille – Layer_7_DDOS.pdf” (PDF) . Ouvrez le projet de sécurité des applications Web . 18 mars 2014 . Récupéré le 18 mars 2014 .
- ^ “Outil de publication HTTP OWASP” . Archivé de l’original le 2010-12-21.
- ^ “Qu’est-ce qu’une attaque CC?” . HUAWEI CLOUD-Développez avec intelligence . Archivé de l’original le 2019-03-05 . Récupéré le 05/03/2019 .
- ^ 刘鹏; 郭洋. “Méthode, dispositif et système de défense contre les attaques CC (challenge collapsar)” . Brevets Google . Archivé de l’original le 2019-03-05 . Récupéré le 05/03/2018 .
- ^ 曾宪力; 史伟; 关志来; 彭国柱. “Méthode et dispositif de protection contre les attaques CC (Challenge Collapsar)” . Brevets Google . Archivé de l’original le 2019-03-05 . Récupéré le 05/03/2018 .
- ^ “史上最臭名昭著的黑客工具 CC的前世今生” . NetEase (en chinois simplifié). 驱动中国网(北京). 2014-07-24. Archivé de l’original le 2019-03-05 . Récupéré le 05/03/2019 .
- ^ “Types d’attaques DDoS” . Ressources sur les attaques par déni de service distribuées (DDoS), Pervasive Technology Labs à l’Université de l’Indiana . Laboratoire de gestion de réseau avancé (ANML). 3 décembre 2009. Archivé de l’original le 14/09/2010 . Consulté le 11 décembre 2013 .
- ^ un b “Qu’est-ce qu’un Nuke? | Radware — DDoSPedia” . security.radware.com . Récupéré le 16/09/2019 .
- ^ Paul Sop (mai 2007). “Alerte d’attaque par déni de service distribué Prolexic” . Prolexic Technologies inc . Prolexic Technologies Inc. Archivé de l’original le 2007-08-03 . Récupéré le 22/08/2007 .
- ^ Robert Lemos (mai 2007). “Les réseaux peer-to-peer cooptés pour les attaques DOS” . SecurityFocus . Récupéré le 22/08/2007 .
- ^ Fredrik Ullner (mai 2007). “Refuser les attaques distribuées” . DC++ : Juste ces gars, tu sais ? . Récupéré le 22/08/2007 .
- ^ Leyde, John (2008-05-21). « L’attaque par phlashing détruit les systèmes embarqués » . Le Registre . Récupéré le 07/03/2009 .
- ^ Jackson Higgins, Kelly (19 mai 2008). “L’attaque permanente par déni de service sabote le matériel” . Lecture sombre. Archivé de l’original le 8 décembre 2008.
- ^ ” “BrickerBot” Results In PDoS Attack” . Radware . Radware . 4 mai 2017 . Récupéré le 22 janvier 2019 .
- ^ “Conférence de sécurité appliquée EUSecWest: Londres, Royaume-Uni” EUSecWest. 2008. Archivé de l’original le 2009-02-01.
- ^ Rossow, Christian (février 2014). “L’enfer de l’amplification : revisiter les protocoles réseau pour les abus DDoS” (PDF) . Société Internet. Archivé de l’original (PDF) le 4 mars 2016 . Récupéré le 4 février 2016 .
- ^ Paxson, Vern (2001). “Une analyse de l’utilisation de réflecteurs pour les attaques par déni de service distribué” . ICIR.org.
- ^ “Alerte (TA14-017A) Attaques d’amplification basées sur UDP” . US-CERT. 8 juillet 2014 . Récupéré le 08/07/2014 .
- ^ “CVE-2022-26143 : Une vulnérabilité Zero-Day pour le lancement d’attaques DDoS d’amplification UDP” . Blog Cloud Flare . 2022-03-08 . Récupéré le 16 mars 2022 .
- ^ “Notes de version de Memcached 1.5.6” . GitHub . 2018-02-27 . Récupéré le 3 mars 2018 .
- ^ “DRDoS / Amplification Attack utilisant la commande ntpdc monlist” . support.ntp.org. 2010-04-24 . Récupéré le 13/04/2014 .
- ^ van Rijswijk-Deij, Roland (2014). “DNSSEC et son potentiel d’attaques DDoS”. DNSSEC et son potentiel d’attaques DDoS – une étude de mesure complète . Presse ACM. p. 449–460. doi : 10.1145/2663716.2663731 . ISBN 9781450332132. S2CID 2094604 .
- ^ Adamsky, Florian (2015). “Partage de fichiers P2P en enfer : Exploitation des vulnérabilités de BitTorrent pour lancer des attaques DoS réfléchissantes distribuées” .
- ^ Vaughn, Randal; Évron, Gadi (2006). “Attaques d’amplification DNS” (PDF) . ISOTF. Archivé de l’original (PDF) le 14/12/2010.
- ^ “Alerte (TA13-088A) Attaques d’amplification DNS” . US-CERT. 8 juillet 2013 . Récupéré le 17/07/2013 .
- ^ un b Kolias, Constantinos; Kambourakis, Georgios ; Stavrou, Angelos; Voas, Jeffrey (2017). “DDoS dans l’IoT : Mirai et autres botnets”. Ordinateur . 50 (7): 80–84. doi : 10.1109/MC.2017.201 . S2CID 35958086 .
- ^ Kuzmanovic, Aleksandar; Chevalier, Edward W. (2003-08-25). Attaques par déni de service ciblées sur TCP à faible débit : la mégère contre les souris et les éléphants . ACM. p. 75–86. CiteSeerX 10.1.1.307.4107 . doi : 10.1145/863955.863966 . ISBN 978-1581137354.
- ^ “Ru-mort-encore” .
- ^ “SACK Panic et autres problèmes de déni de service TCP” . WikiUbuntu . _ 17 juin 2019. Archivé de l’original le 19 juin 2019 . Récupéré le 21 juin 2019 .
- ^ “CVE-2019-11479” . CVE . Archivé de l’original le 21 juin 2019 . Récupéré le 21 juin 2019 .
- ^ Yu Chen; Kai Hwang; Yu-Kwong Kwok (2005). “Filtrage des attaques DDoS astucieuses dans le domaine fréquentiel”. 30e anniversaire de la conférence IEEE sur les Réseaux informatiques locaux (LCN’05)l . p. 8 p. doi : 10.1109/LCN.2005.70 . manche : 10722/45910 . ISBN 978-0-7695-2421-4. S2CID 406686 .
- ^ un b Ben-Porat, U.; Bremler-Barr, A.; Lévy, H. (2013-05-01). “Vulnérabilité des mécanismes de réseau aux attaques DDoS sophistiquées”. Transactions IEEE sur les ordinateurs . 62 (5): 1031-1043. doi : 10.1109/TC.2012.49 . ISSN 0018-9340 . S2CID 26395831 .
- ^ satellite orbital. “Test HTTP lent” . SourceForge .
- ^ Eddy, Wesley (août 2007). « Attaques par inondation TCP SYN et atténuations courantes » . Tools.ietf.org . RFC 4987 . Récupéré le 02/12/2011 .
- ^ “Avis CERT CA-1997-28 Attaques par déni de service IP” . CERT. 1998 . Consulté le 18 juillet 2014 .
- ^ “Windows 7, Vista exposé à” l’attaque en forme de larme ” ” . ZDNet . 8 septembre 2009 . Récupéré le 11/12/2013 .
- ^ “Microsoft Security Advisory (975497): Des vulnérabilités dans SMB pourraient permettre l’exécution de code à distance” . Microsoft.com. 8 septembre 2009 . Récupéré le 02/12/2011 .
- ^ “FBI – Les appels téléphoniques bidon détournent les consommateurs du vol authentique” . FBI.gov. 2010-05-11 . Récupéré le 10/09/2013 .
- ^ “Alertes d’escroquerie du Centre de plainte pour crime Internet (IC3) 7 janvier 2013” . IC3.gov . 2013-01-07 . Récupéré le 10/09/2013 .
- ^ “Identification et atténuation des attaques d’expiration TTL” . Systèmes Cisco . Récupéré le 24/05/2019 .
- ^ “La nouvelle méthode d’attaque DDoS tire parti de l’UPnP” . Lecture sombre . Récupéré le 29/05/2018 .
- ^ “La nouvelle méthode d’attaque DDoS exige une nouvelle approche de l’atténuation des attaques d’amplification – Blog | Imperva” . Blogue | Imperva . 2018-05-14 . Récupéré le 29/05/2018 .
- ^ Guide des attaques DDoS, page 8
- ^ “Attaques d’amplification basées sur UDP” .
- ^ SSDP génère 100 Gbps DDoS
- ^ “Le protocole DDoS stupidement simple (SSDP) génère un DDoS de 100 Gbps” . Le blog Cloudflare . 2017-06-28 . Récupéré le 13/10/2019 .
- ^ Loukas, G.; Oke, G. (septembre 2010). “Protection contre les attaques par déni de service : une enquête” (PDF) . Calcul. J. 53 (7): 1020-1037. doi : 10.1093/comjnl/bxp078 . Archivé de l’original (PDF) le 2012-03-24 . Récupéré le 02/12/2015 .
- ^ “Shunt de trafic synchrone basé sur MPLS (NANOG28)” . Réseaux Riverhead, Cisco, Colt Telecom . NANOG28. 2003-01-03. Archivé de l’original le 2003-01-03 . Récupéré le 10/01/2003 .
- ^ “Techniques de détournement et de tamisage pour vaincre les attaques DDoS” . Cisco, Riverhead Networks . NANOG23. 2001-10-23. Archivé de l’original le 2008-09-21 . Récupéré le 30/10/2001 .
- ^ “Atténuation DDoS via les centres de nettoyage régionaux (janvier 2004)” (PDF) . SprintLabs.com . Recherche Sprint ATL. Archivé de l’original (PDF) le 2008-09-21 . Récupéré le 02/12/2011 .
- ^ Alqahtani, S.; Gamble, RF (1er janvier 2015). Attaques DDoS dans les Clouds de Service . 2015 48e Conférence internationale d’Hawaï sur les sciences des systèmes (HICSS) . pages 5331–5340. doi : 10.1109/HICSS.2015.627 . ISBN 978-1-4799-7367-5. S2CID 32238160 .
- ^ Kosiouris, George (2014). “INDICATEURS CLÉS D’ACHÈVEMENT : minimisation de l’effet des attaques DoS sur les applications élastiques basées sur le cloud en fonction des points de contrôle de la chaîne de markov au niveau de l’application”. Conférence CLOSER . doi : 10.5220/0004963006220628 .
- ^ Patrikakis, C.; Masikos, M.; Zouraraki, O. (décembre 2004). “Attaques par déni de service distribué” . Le journal du protocole Internet . 7 (4) : 13–35. Archivé de l’original le 2015-12-27 . Récupéré le 13/01/2010 .
- ^ Popeskic, Valter (16 octobre 2012). “Comment prévenir ou stopper les attaques DoS ?” .
- ^ Froutan, Paul (24 juin 2004). “Comment se défendre contre les attaques DDoS” . Monde informatique . Consulté le 15 mai 2010 .
- ^ “La vulnérabilité de la cybersécurité monte en flèche” . ComputerWeekly.com . Récupéré le 13/08/2018 .
- ^ Suzen, Mehmet. “Quelques conseils IoS pour les services Internet (fournisseurs)” (PDF) . Archivé de l’original (PDF) le 10/09/2008.
- ^ Attaque SSDP DDoS
- ^ Shiels, Maggie (2009-06-26). “Le Web ralentit après la mort de Jackson” . Nouvelles de la BBC .
- ^ “Nous sommes désolés. Erreur de requête automatisée” . Forums des produits Google › Forum de recherche Google . 20 octobre 2009 . Récupéré le 11/02/2012 .
- ^ “YouTube poursuivi en justice par un site qui ressemble à un son” . Nouvelles de la BBC . 2006-11-02.
- ^ Bill Chappell (12 mars 2014). “Site Web de surcharge de personnes, dans l’espoir d’aider à rechercher un jet manquant” . NPR . Récupéré le 4 février 2016 .
- ^ Palmer, Daniel (19 août 2016). “Les experts mettent en doute les revendications DDoS du recensement” . Délimiteur . Récupéré le 31 janvier 2018 .
- ^ “Analyse de rétrodiffusion (2001)” . Animations (vidéo). Association coopérative pour l’analyse de données Internet . Consulté le 11 décembre 2013 .
- ^ “Le FBI saisit 15 sites Web DDoS-For-Hire” . Kotaku . 6 janvier 2019.
- ^ “Code des États-Unis : Titre 18,1030. Fraude et activité connexe en rapport avec les ordinateurs | Imprimerie du gouvernement” . gpo.gov. 2002-10-25 . Récupéré le 15/01/2014 .
- ^ “Homme de l’Utah condamné pour crime de piratage informatique” . 2019-07-02. Archivé de l’original le 2019-07-10.
- ^ Smolaks, Max (2019-07-04). “Get rekt: Deux ans de tintement pour le morveux DDoS DerpTrolling” . Le Registre . Récupéré le 27/09/2019 . Austin Thompson, alias DerpTrolling, qui s’est fait connaître en 2013 en lançant des attaques par déni de service distribué (DDoS) contre de grandes sociétés de jeux vidéo, a été condamné à 27 mois de prison par un tribunal fédéral. Thompson, un résident de l’Utah, devra également payer 95 000 $ à Daybreak Games, qui appartenait à Sony lorsqu’il a souffert aux mains de DerpTrolling. Entre décembre 2013 et janvier 2014, Thompson a également fait tomber Valve’s Steam – la plus grande plate-forme de distribution numérique pour les jeux sur PC – ainsi que le service Origin d’Electronic Arts et BattleNet de Blizzard. La perturbation a duré de quelques heures à quelques jours.
- ^ “Action internationale contre le groupe cybercriminel DD4BC” . EUROPOL . 12 janvier 2016.
- ^ “Loi sur l’utilisation abusive de l’ordinateur 1990” . legislation.gov.uk — Archives nationales du Royaume-Uni . 10 janvier 2008.
- ^ “Salle de presse” . Europol . Récupéré le 29 janvier 2019 .
- ^ “Les autorités du monde entier s’en prennent aux utilisateurs du plus grand site Web DDoS-for-hire” . Europol . Récupéré le 29 janvier 2019 .
- ^ “Pétition anonyme DDoS : le groupe appelle la Maison Blanche pour reconnaître le déni de service distribué comme une protestation” . HuffingtonPost.com. 2013-01-12.
Lectures complémentaires
- Ethan Zuckerman; Hal Roberts; Ryan McGrady; Jillian York; John Palfrey (décembre 2011). “Attaques par déni de service distribué contre les médias indépendants et les sites de défense des droits de l’homme” (PDF) . Le Berkman Center for Internet & Society de l’Université de Harvard. Archivé de l’original (PDF) le 2011-02-26 . Récupéré le 02/03/2011 .
- “Rapports des médias publics DDOS” . Harvard. Archivé de l’original le 2010-12-25.
- PC World – Les attaques DDoS de la couche application deviennent de plus en plus sophistiquées
Liens externes
- Considérations sur le déni de service Internet RFC 4732
- Rapport d’Akamai sur l’état de la sécurité Internet – Statistiques trimestrielles sur la sécurité et les tendances Internet
- W3C La FAQ sur la sécurité du World Wide Web
- cert.org Guide du CERT sur les attaques DoS. (document historique)
- Rapport de synthèse ATLAS – Rapport mondial en temps réel sur les attaques DDoS.
- Low Orbit Ion Cannon – L’outil de test de stress réseau bien connu
- High Orbit Ion Cannon – Un simple inondateur HTTP
- LOIC SLOW Une tentative d’apporter SlowLoris et des outils réseau lents sur LOIC