Qu’est-ce qu’une attaque DoS par amplification

Une attaque par déni de service distribué ou DDoS est l’une des cyberattaques les plus dangereuses auxquelles les entreprises en ligne sont confrontées quotidiennement. L’amplification peut s’expliquer par des mots simples : augmentation, intensification, grossissement, etc.
Cela permet des attaques DOS importantes.

Dans ce tutoriel, je vous explique ce que sont les attaques DoS par amplification.

Qu’est-ce qu’une attaque DoS par amplification

Une attaque par amplification DDoS est une cyberattaque volumétrique et par réflexion.
Elle se produit lorsque les auteurs profitent des serveurs vulnérables pour submerger un réseau, un site web, une application, un service en ligne ou un serveur avec une quantité de trafic amplifiée. Cela conduit la victime à un état inaccessible (déni de service).

Ce type d’attaque est considéré comme asymétrique car il peut causer des dégâts considérables avec peu d’actions et de ressources. Et malheureusement, les auteurs ont le choix entre différentes options pour amplifier le trafic : ICMP (Internet control message protocol), UDP (user datagram protocol) ou TCP (transmission control protocol).

Pour cela, les attaques cherchent des réflecteurs. Ce sont des serveurs sur internet qui font tourner un service aux clients (DNS, NTP, SNMP, IoT, jeux, etc.).
Un exemple de réflecteur peut être un serveur DNS mal configuré (ou laissé dans un état par défaut) ou un serveur DNS public configuré intentionnellement pour fournir une récursion ouverte aux clients de l’Internet.
Dans tous les cas, un réflecteur n’a pas l’intention de faire partie de l’attaque DDoS.

Ces méthodes d’amplifications peuvent causer de sérieuses perturbations. Les attaquants, présumés chinois, de l’Operation Distributed Dragon installent des codes malveillants sur des serveurs compromis afin de terrasser leurs victimes. Certains de ces programmes sont détectés comme étant : Linux/Dnsamp

L’attaque DoS par amplification : comment ça marche ?

Des attaquants lancent une attaque DDoS en inondant un réflecteur de requêtes qui semblent être une demande de service légitime.
Cependant, le trafic réseau contient une adresse IP source usurpée d’une victime, par exemple un serveur web. L’usurpation d’adresse IP est effectuée pour deux raisons.
Premièrement, elle permet de dissimuler l’identité de l’attaquant.
Deuxièmement, la réponse à une requête envoyée par un réflecteur à la victime est beaucoup plus importante que la requête originale.

Par exemple, dans le cas d’une attaque DDoS DNS amplifiée, une réponse à une requête contient de nombreuses adresses IP pour le domaine résolu. Cela rend la réponse asymétrique en termes de bande passante consommée. Par conséquent, un réflecteur amplifie l’attaque DDoS, consommant la bande passante de la victime beaucoup plus rapidement.

Ci-dessous un exemple de Flood UDP par un DNS Amplification. Les requêtes proviennent de 8.8.8.8, le serveur DNS de Google.

Quels sont les protocoles utilisés dans les attaques DoS par amplification

Certains protocoles sont privilégiés pour mener ce type de cyberattaque :

• Domain Name System (DNS)
• Network Time Protocol (NTP)
• Character Generator Protocol (CharGEN)
• Simple Service Discovery Protocol (SSDP)
• Routing Information Protocol ver.1 (RIPv1)
• Memcached
•  TP-240 VoIP (Mitel System)

En général, les protocoles réseaux utilisent UDP qui permet des attaques plus importantes que TCP.
Cela vient du fait qu’UDP est un protocole de couche de transport sans connexion, ce qui signifie qu’aucune poignée de main n’est effectuée pour établir la communication. La réponse réfléchie et amplifiée par un réflecteur cible une victime qui doit la traiter d’une manière ou d’une autre.

Pour illustrer, voici une liste non-exhaustive de protocoles avec leurs taux respectifs d’amplification.

Protocole	Facteur d’amplification bande passante
DNS	28 à 54
NTP	556,9
SNMPv2	6,3
NetBIOS	3,8
SSDP	30,8
CharGEN	358,8
QOTD	140,3
TCP Middlebox	65
BitTorrent	3,8
Kad	16,3
Quake Network Protocole	63,9
Steam Protocol	5,5
Multicast DNS (mDNS)	2 à 10
RIPv1	131,24
Portmap (RPCbind)	7 à 28

On voit que CharGEN, QOTD, DNS, RIPv1, NTP, SSDP ont des taux d’amplification des plus importants.
Très souvent, les attaques sont du type DNS Amplification, SSDP ou NTP Amplification car les serveurs vulnérables sont plus courants sur internet. On appelle ces derniers des réflecteurs.
Il est alors facile de trouver un réflecteur.
Les failles dites « protocolaires », qui touchent directement le protocole, ne sont pas aisées à colmater.

Essentiellement, la plupart de ces protocoles permettent des attaques DoS en UDP.

Enfin cela met en lumière le problème des serveurs ou IoT vulnérables utilisés dans des attaques.

Les attaques DDoS par amplification avec botnet

Comme pour les autres types d’attaques, il est possible d’effectuer une attaque DDOS dites attaques DOS distribuée.
Pour cela, l’attaque va utiliser un ou plusieurs botnets.

Il ordonne à des milliers de bots d’envoyer des requêtes à un certain nombre de réflecteurs en parallèle. Cela augmente considérablement le trafic d’attaque et permet de dissimuler l’identité de l’attaquant.
Pour augmenter le volume des attaques, les attaques DDoS simples, exploitant divers protocoles d’application tels que DNS, NTP, SNMPv2 et autres peuvent être combinées et menées simultanément.

Ces attaques DoS sont extrêmement dévastatrices car elles peuvent atteindre 1,7 Tbps (Tetra bytes packets par secondes).