Les attaques DDoS : Le déni de service

Les attaques DoS ou DDoS signifie déni de service.
Le but est d’inonder de requêtes un service internet afin de le mettre hors ligne.
C’est un type de cyberattaque très fréquents dont les motivations sont diverses : extorsion, revanche, mettre le concurrence hors ligne, ….

Dans cet article, nous verrons comment fonctionnent les attaques DDoS, leurs motivations ainsi que des liens pour s’en protéger.

Qu’est-ce qu’une attaque DDoS

Les Attaques DoS ou DDoS (denial of service attack – en français Déni de Service) sont des attaques qui visent à paralyser un service et le rendre indisponible.
Il s’agit de noyer le service sous une multitude de demande en continue afin que celui-ci ne puisse plus répondre normalement.
Les motivations de ces attaques peuvent être multiples.

Définition :

• DoS (denial of service attack) : c’est une attaque avec une seul source non distribué.
• DDoS (distributed denial of service attack) : L’attaquant utilise un réseau d’ordinateur et objets internet sous son contrôle pour multiplier les sources et la force de l’attaque. Plusieurs différentes techniques sont possibles pour amplifier l’attaque.

Voici un schéma simplifié d’une attaque DoS distribuée (DDOS).
Bien sûr, il existe plusieurs techniques différentes.

Pour y parvenir les attaquants utilisent des machines infectées qui font partie d’un botnet (réseau de machines infectées).
L’attaquant peut utiliser un botnet ou plusieurs botnets selon les besoins.

Les types d’attaques DDoS

En clair donc, tout protocole utilisé (partage de fichiers par Torrent, partage de fichiers sur Windows) utilisent des protocoles applicatifs définies.
Ils s’appuient, eux sur des protocoles de communications : TCP, UDP, ICMP, etc.
Tous ces protocoles ont des fonctionnements très stricts, définis, certains sont décrits dans des spécifications (requests for comments (RFC)).

Pour bien comprendre le fonctionnement de ces attaques DoS, il faut connaître le fonctionnement de tous ces protocoles.
Il existe de multiples sites qui expliquent en détail tout cela, notamment par exemple, les étapes d’un établissement de connexion TCP.
Voici une image avec les étapes d’une ouverture de connexion TCP et la fermeture.

• L’établissement d’une connexion TCP/IP
• UDP (User Datagram Protocol) : définition, structure du protocole
• ICMP (Internet message protocol) : définition, fonctionnement du protocole

Syn flood

Voici maintenant quelques exemples d’attaques DDoS.

Il s’agit d’envoyer une multitude de connexions TCP avec un drapeau SYN. Le serveur va tenter de répondre par un SYN ACK, ce qui va donc provoquer de l’upload. De plus, l’adresse IP utilisée est souvent falsifié (Spoof Syn Flood). Le serveur ne pas recevoir de réponse au SYN ACK et va garder en mémoire la demande, la couche réseau du serveur va donc être vite  saturé, si la configuration du serveur est petit et mal configuré, les ressources systèmes peuvent être vite saturées. Il peut même planter. Ainsi toute demande légitime risque de ne pas obtenir de réponse et donc l’établissement de la connexion sera impossible. Cela inclue aussi les tentatives de connexion distante au serveur par l’administrateur.

Attaque DOS UDP (UDP Flood)

Le protocole UDP est un protocole réseau sans vérification d’erreur.
De plus, il est un protocole sans négociation de connexion par rapport à TCP. De ce fait, il est plus pratique pour noyer la cible sous de multiples requêtes réseau.
La plupart des attaques DoS par amplification utilise le protocole UDP.

DoS Amplication

Enfin il faut savoir que les protocoles applicatifs peuvent être utilisés sous la forme d’amplifications, ce qui fut la mode autour de 2009 avant que des mesures correctrices soient prises.
La méthode consiste à envoyer des paquets falsifiées avec l’IP cible à des services (DNS, NTP, etc).
Ces derniers vont répondre à la cible mais avec un nombre de paquets multipliées selon le facteur d’amplification du protocole applicatif.
Par exemple, DNS pouvait amplifier de 28 à 50, si vous envoyez un seul paquet, 28 ou 50 seront envoyés à la cible.
A partir de quelques machines, vous pouvez arriver à des attaques assez conséquentes.

Les attaquants cherchent alors des serveurs ou IoT vulnérables servant de réflecteurs.

Mars 2018, des serveurs WEB mal configurés utilisant memcached ont permis une attaque par amplification atteignant 1,7 Tbps.
Il s’agit d’un nouveau record.
Voici les listes des taux d’amplification selon les protocoles.

Les protocoles applicatifs ont été modifiées afin d’atténuer ce type d’attaque, les serveurs doivent être mis à jour avec les dernières versions pour palier à cela.
Il reste bien entendu des milliers de service non à jour qui peuvent encore être utilisés.

OVH dans cet article donne des statistiques sur la réparation des types d’attaques :

HTTP FLood (Attaque Layer 7)

Attaques L7 et HTTP Flood : le but est d’envoyer des requêtes à un serveur WEB. En clair de faire charger par des clients une ou des pages WEB spécifiques, de préférence, une page qui demande des ressources système. Le serveur croulera sous les demandes et ne pourra fournir les pages WEB aux clients légitimes. Vous trouverez des détails sur la page DoS : Attaque type Slowloris (http flood).

Exemple en vidéo d’une attaque SlowLoris et SYN :

Exemple d’une petite attaque DoS en UDP… On voit les paquets droppés sur le firewall :

Les sources des attaques DDoS

Les sources des attaques par déni de service sont des diverses.
Mais on peut distinguer deux types de sources :

1. Les équipements piratés utilisés de lancer des attaques depuis ces ordinateurs contrôlés. On parle de botnet.
2. Des sites WEB ou services WEB mal sécurisés et non à jour. Dans le paragraphe précédent, je parlais de l’amplification qui permet d’utiliser des services internet comme relai pour effectuer et amplifier une attaque DDoS. Il en existe d’autres.

Ordinateurs, sites WEB, IOT vulnérables

Le cas 1 numéro, vous le connaissez de manière générale.
Votre ordinateur a été infecté par un logiciel malveillant, le pirate en a le contrôle et peut faire ce qu’il veut.
Par exemple, lancer des campagnes de SPAM, ou DoS.
Il s’agit donc de botnet et réseau de Zombies.

Par exemple, ci-dessous, on constate de multiples connexions HTTP vers un serveur WEB.
Il s’agit d’une attaque HTTP pour saturer le serveur WEB.

Il existe la même chose avec les serveurs WEB mal sécurité.
De nombreux hébergeurs proposent des solutions d’hébergement pas très chers.
Ceci concourt à la démocratisation d’internet… malheureusement les personnes qui administrent ces  sites WEB n’ont pas forcément les connaissances techniques.
Des CMS comme WordPress ou Joomla étant très prisés, ils sont très visés.

L’injection de JavaScripts sur des sites WEB piratés ont été utilisés aussi pour mener des attaques DoS, exemple JavaScript DDoS L7 (HTTP Flood)

Site web infectés

Ces deux mondes peuvent se rejoindre.
Ces sites peuvent servir pour infecter des internautes, les ordinateurs des webmasters peuvent alors être visés afin de pirater leurs sites WEB par la suite.
=> Intrusions sur sites internet par vols d’identifiants FTP et PSW.Win32.Tepfer – vol FTP et injection/hack de sites

Exemple ci-dessous, d’un formulaire qui permet d’effectuer des attaques DoS UDP.

Dernièrement, ce sont les Internet des objets (IoT) et sécurité.
Suivre le lien pour obtenir plus d’informations sur les IoT et la sécurité.

Les services WEB piratés sont beaucoup plus intéressants que les ordinateurs car :

• Ils sont disponibles 24/24, alors qu’un ordinateur peut être éteint par son propriétaire. Dans un botnet, si les cibles sont dans le monde entier.. avec le décalage horaires, certains ordinateurs peuvent être éteint au moment du pic d’activité de la cible.
• Les services WEB ont des bandes passantes plus conséquentes et donc peuvent faire plus de ravages, surtout si elle sont dans le même Datacenter que la cible.

Le but est simple avoir de la chair à canon pour que les attaques DoS soient de plus en plus conséquentes.

Les services mal conçus

Il reste le cas des erreurs de conception de sites WEB.
Comme les services qui peuvent servir d’amplification, WordPress propose une fonction de “pingback“.
Lorsqu’un article d’un site pointe vers un autre, automatique, sur le second, un commentaire de type pingback est créé avec le lien du premier site.
Pour se faire, le premier site contacte le second avec le lien et le commentaire pingback est créé.

Il est alors possible à partir d’ordinateur piraté de contacter de multiples sites avec le lien du site que l’on veut attaquer.
Ces sites WordPress vont alors contacter le site cible.
Cela permet de multiplier les IPs source de contact et de tenter de noyer le site WordPress cible.
D’où l’intérêt de maintenir sont WordPress à jour et sécurité :

Ceci est bien sûr qu’un exemple, il en existe bien d’autres.

Il faut aussi savoir que les problèmes de conception peuvent aussi être chez la cible.
Des fonctions utilisés par les programmes les serveurs (PHP, Serveur WEB, CMS etc) peuvent être vulnérables à des attaques DoS.
En envoyant certains type de données, cela peut provoquer des pics d’utilisation des ressources et permettent de mettre le site hors lignes.
Des fonctionnalités mal programmées peuvent aussi être la cible.. Par exemple, sur un serveur WEB : un moteur de recherche mal conçu et non protégé en ne bloquant pas sur le nombre de requêtes peut mettre un site WEB HS, sans savoir besoin d’avoir énormément d’ordinateurs piratés pour effectuer cette attaque.
En clair, il s’agit de se d’exploiter des vulnérabilités applicatives pour mettre hors ligne un service.

L’exploitation de vulnérabilités

Historiquement, les attaques DoS exploitaient généralement les vulnérabilités de sécurité présentes dans la conception des réseaux, des logiciels et du matériel. Ces attaques sont devenues moins fréquentes car les attaques DDoS ont une plus grande capacité de perturbation et sont relativement faciles à créer compte tenu des outils disponibles.
En réalité, la plupart des attaques DoS peuvent également être transformées en attaques DDoS.

Toutefois il arrive que les attaques DoS tirent partie de vulnérabilités.
Par exemple, nous l’avons vu l’inondation SYN est une variante qui exploite une vulnérabilité dans la séquence de connexion TCP.
Elle peuvent aussi tirer partie de la saturation de mémoire tampon d’une application qui n’a pas été corrigée.

Les motivations des attaques DDoS

Les motivations sont multiples.
Voici quelques motivations qui explique le pourquoi des attaques DoS.
En 2015, Kaspersky publiait une étude sur les sources des attaques DDoS.

Revanches

Le cas des revanches et revenge.
Cela peut aller de simple crétins sur la toile, qui font des menaces sur les réseaux sociaux, tchat.
A des gamers qui ont un VPS et tentent d’attaquer d’autres gamers.
A l’aide d’un VPS, il est alors possible de mettre hors ligne une connexion ADSL en la saturant.
On peut aussi payer des services DoS (voir paragraphe suivant).

Si on est plus proche de la cours d’école, cela reste tout de même très agaçant pour les cibles.

Les revanches ou autre méthodes de rétorsions peuvent aussi être utilisées, si un contenu ne plait pas ou faire payer quelqu’un selon son activité sur toile.
Par exemple, malekal.com a été quelques fois attaquées selon mes activités de malwares.

• Site WEB sous attaque DoS et Site WEB sous attaque DoS

Quelques autres exemples :

Monétaire

Les raisons de profits sont les plus courantes.
On peut alors distinguer plusieurs manières de faire de l’argent avec les attaques DoS.

Proposer des services DoS. Il est possible de proposer des services DoS. En clair l’internaute s’inscrit sur le service et paye pour la bande passante.
Plusieurs offres selon la bande passante sont proposées.
Par exemple, le groupe Lizzard Squad connu pour avoir effectué des attaques contre Sony et Xbox proposaient ce type de service avec environ 150 000 à 200 000 bots dont des routeurs piratés.
Exemple ci-dessous d’offres de services DoS.
On nomme ces derniers des Stresser et Booter DDoS.

Les prix varient environ autour de 38$ pour une heure d’attaque par mois.

Le chantage est aussi une autre méthode pour monétiser.
Il s’agit de contacter des cibles, en leur demandant de payer une somme (souvent par bitcoin).. si le service ne paye pas, une attaque DoS sera effectuée contre ce dernier.
Exemple de contact reçu de chantage DoS.
La date peut être importante.
Imaginez par exemple, une attaque DoS sur le site de la SNCF le jours de la sortie des billets de Noël ou Été.

Des sociétés peuvent avoir aussi recours aux attaques DoS afin de paralyser un concurrent.
La société fait appel à des groupe pour mettre hors ligne le site afin de ternir la réputation.
Cela peut être très tentant si les sociétés vivent du net.

Les sites de jeux : les sites de jeux sont aussi très visés par les attaques. Certains sites de jeux et notamment MineCraft peuvent rapporter de l’argent aux administrateurs.
Le but est donc de tuer la concurrence.

Diversion

Les attaques DoS peuvent aussi être utilisées comme diversion.
Il s’agit d’occuper les équipes de maintenance des sites sur ces attaques afin à côté d’effectuer des pirates.
Cela est de plus en plus utilisé.

Quelques exemples :

• 2011 : Sony subit une attaque DDoS utilisées comme diversion pour voler des comptes PlayStation Network, Qriocity et Sony Online Entertainment.
• Octobre 2015 : Diversion via DDoS, intrusion & vol de données chez TalkTalk
• Janvier 2016 : Diversion via DDoS, intrusion & vol de données chez Linode

Hacktivisme

Les attaques peuvent aussi avoir pour source des actes Hacktivisme.
Il s’agit d’attaque de rétorsion selon les activités étatiques.
Les anonymous sont les plus connues pour ces pratiques, avec diverses opérations régulières.

Par exemple, en Octobre 2012, Anonymous dit avoir mis hors ligne plusieurs étatiques Phillipins

Wikipedia propose une liste : Chronologie des événements impliquant Anonymous

Ces motivations d’attaques DDoS sont très régulières.

Cyber-guerre

Par Cyber-guerre, on parle d’attaque d’un État vers un autre.

En 2007, l’Estonie, un pays très connecté, subit une attaque DDoS massive contre les sites étatiques, banques, journaux etc.
Cela fait suite à tentative de déplacement d’une statue de bronze de soldats russes de la seconde guerre mondiale. Cette statue commémore le sacrifice des combattants soviétiques qui ont chassé les nazis de Tallinn en septembre 1944. Pour les russophones vivant en Estonie, ce sont des héros. Pour la majorité des Estoniens, c’est un symbole de l’« occupation » communiste.
L’Estonie a accusé le gouvernement Russe d’être derrière cette attaque.

Juin 2013, la Corée du Sud subit une attaque par déni de service. Celle-ci accuse la Corée du Nord : South Korea hit by disk wiping attack blamed on ‘DarkSeoul’ gang

Aout 2013, la Chine cible d’une attaque DDoS… L’Internet Chinois est coupé pendant 4 : China’s Internet hit by DDoS attack; sites down for hours

Décembre 2015 : La Turquie perturbée par des attaques DDoS, cela fait suite à un avion russe abattu par les turcs sur leur sol.

Parfois le hacktivisme et Cyber-guerre se touchent… La Corée du nord est souvent montrée du doigt.
Un site anti-nucléaire visée par une attaque. La Corée du nord montrait du doigt.

La Corée du Nord “bizarrement” privée d’internet après une attaque contre Sony.
=> Une attaque DDoS prive la Corée du Nord d’Internet pendant dix heures.

Cartographie des attaques DDoS

Il existe beaucoup de services sur internet qui cartographie les attaques DDoS.
On peut alors voir les attaques par déni de service en temps réel.

• http://www.digitalattackmap.com/ avec une galerie des attaques les plus conséquentes : http://www.digitalattackmap.com/gallery/
• FireEye : https://www.fireeye.com/cyber-map/threat-map.html
• FortiGuard : https://threatmap.fortiguard.com/
• Norse : http://map.norsecorp.com/
• CheckPoint : https://threatmap.checkpoint.com/ThreatPortal/livemap.html
• HP : http://hp.ipviking.com/

Protection contre les attaques DDoS

Pour monsieur tout le monde, dès lors que l’attaquant a une bande passante plus importantes que la votre, il n’y aura pas grand chose à faire.

Mais si vous hébergez un site WEB par exemple, vous pouvez utiliser les CDN et Web Application Firewall (WAF).
Ainsi il existe des solutions de protection.
Voici quelques sociétés de protection Anti-DDoS :

• Sucuri
• CloudFlare
• Incapsula
• OVH propose aussi une protection Anti-DDoS, c’est aussi le cas de la plupart des hébergeurs dont Scaleway

Voici quelques liens du site pour vous aider à atténuer les attaques DDoS sur un site WEB.
Une présentation du Web Firewall de Cloudflare :

Voir aussi ce tutoriel de configuration d’un serveur WEB Nginx :

Le load balancing permet d’équilibrer les charges ce qui peut aider à répartir l’attaque DoS pour la mitiger.
L’article suviant présente la solution de load balancing de CloudFlare :