Les attaques DDoS

Voici un article qui évoque les attaques DDoS.
Ces dernières sont toujours d’actualité, notamment dernièrement avec l’attaque d’OVH et le site de Brian Krebs.
Cette semaine le service Dyn, Spotify et Twitter aux USA  ont aussi subi une attaque DDoS, les Internet des objets (IoT) et sécurité sont encore montré du doigt.
Dernièrement aussi, l’arrestation deux suspects derrières le service (DDoS) PoodleCorp/LizardSquad – Arrestation de deux suspects etc.
Bref les attaques DDoS refont encore parler d’elles comme c’est souvent le cas.

Dans cet article, nous verrons les motivations de ces attaques ainsi que quelques aspects et explications techniques.

attaque-logo

Les types d’attaques DDoS

Les Attaques DoS ou DDoS (denial of service attack – en français Deni de Service) sont des attaques qui visent à paralyser un service et le rendre indisponible.
Il s’agit de noyer le service sous une multitude de demande en continue afin que celui-ci ne puisse plus répondre normalement.
Les motivations de ces attaques peuvent être multiples.

Définition :

  • DoS (denial of service attack) : c’est une attaque avec une seul source non distribué.
  • DDoS (distributed denial of service attack) : L’attaquant utilise un réseau d’ordinateur/objets internet sous son contrôle pour multiplier les sources et la force de l’attaque. Plusieurs différentes techniques sont possibles pour amplifier l’attaque.

Voici un schéma simplifié d’une attaque DoS distribuée (source Wikipedia).
Bien sûr, il existe plusieurs techniques différentes.

schema_attaque_dos

Explications techniques des attaques DDoS

Il existe plusieurs méthodes d’attaques appelant des protocoles de communications différents.
Les couches de transport permettent les communications entre les différents ordinateurs sur le réseau (LAN ou internet).
A ces couches de transports, des protocoles applications peuvent être utilisées selon l’activité de l’ordinateur sur le réseau.
Par exemple, pour se connecter à un site WEB, on utilisera la couche de transport TCP, qui utilisera le protocole HTTP.
Mais pour se connecter à un site, nous avons besoin de son adresse IP, le protocole DNS sera donc utilisé initialement pour le navigateur WEB pour connaître l’adresse IP du site WEB.
DNS et HTTP utilisent la couche de transport TCP pour fonctionner.
En clair donc, tout protocole utilisé (partage de fichiers par Torrent, partage de fichiers sur Windows) utilisent des protocoles applicatifs définies, qui s’appuient, eux sur des protocoles de communications : TCP, UDP etc.
Tous ces protocoles ont des fonctionnements très stricts, définis, certains sont décrits dans des spécifications (requests for comments (RFC)).

La connexion TCP

Pour bien comprendre le fonctionnement de ces attaques DoS, il faut connaître le fonctionnement de tous ces protocoles.
Il existe de multiples sites qui expliquent en détail tout cela, notamment par exemple, les étapes d’un établissement de connexion TCP.
Voici une image avec les étapes d’une ouverture de connexion TCP et la fermeture.

  • Pour établir, une connexion TCP, le client envoie avec un drapeau (flag) SYN. S’ensuit divers dialogues entre le client/server.
  • Pour la fermeture, le client envoie un drapeau FIN, de même divers autres dialogues sont ensuite effectués.

connexion_tcp_etapes

Enfin, les connexions TCP permettent ensuite de faire fonctionner avec des protocoles applicatifs, comme HTTP pour se connecter à un site WEB.
FTP pour l’échanger de fichiers.
DNS pour obtenir l’adresse IP d’une adresse littérale.
Le protocole Bittorent lui s’appuie le protocole UDP pour échanger les fichiers.

Tous ces protocoles TCP, HTTP etc ont des spécifications afin d’uniformiser et établir les méthodes de fonctionnement.

Syn, UDP, HTTP FLood

Voici maintenant quelques exemples d’attaques DDoS.

  • Syn Flood : il s’agit d’envoyer une multitude de connexions TCP avec un drapeau SYN. Le serveur va tenter de répondre par un SYN ACK, ce qui va donc provoquer de l’upload. De plus, l’adresse IP utilisée est souvent falsifié (Spoof Syn Flood). Le serveur ne pas recevoir de réponse au SYN ACK et va garder en mémoire la demande, la couche réseau du serveur va donc être vite  saturé, si la configuration du serveur est petit et mal configuré, les ressources systèmes peuvent être vite saturées. Il peut même planter. Ainsi toute demande légitime risque de ne pas obtenir de réponse et donc l’établissement de la connexion sera impossible. Cela inclu aussi les tenatives de connexion distante au serveur par l’administrateur.
  • UDP Flood : UDP est un autre protocole de communique que TCP. UDP est prioritaire sur TCP, de ce fait, si la sature de la couche réseau est réussie, aucun communication TCP ne sera possible. Le serveur ne répondra vraiment plus. Ces types d’attaques sont détaillées sur la page : Attaque DDoS : UDP Flood.

Il est ensuite possible d’effectuer des attaques sur les protocoles applicatifs.

  • HTTP Flood : le but est d’envoyer des requêtes à un serveur WEB. En clair de faire charger par des clients une ou des pages WEB spécifiques, de préférence, une page qui demande des ressources système. Le serveur croulera sous les demandes et ne pourra fournir les pages WEB aux clients légitimes. Vous trouverez des détails sur la page DoS : Attaque type Slowloris (http flood).

Exemple en vidéo d’une attaque SlowLoris et SYN :

Exemple d’une petite attaque DoS en UDP… On voit les paquets droppés sur le firewall :

DoS Amplication

Enfin il faut savoir que les protocoles applicatifs peuvent être utilisés sous la forme d’amplifications, ce qui fut la mode autour de 2009 avant que des mesures correctrices soient prises.
La méthode consiste à envoyer des paquets falsifiées avec l’IP cible à des services (DNS, NTP, etc)… Ces derniers vont répondre à la cible mais avec un nombre de paquets multipliées selon le facteur d’amplification du protocole applicatif.
Par exemple, DNS pouvait amplifier de 28 à 50, si vous envoyez un seul paquet, 28 ou 50 seront envoyés à la cible.
A partir de quelques machines, vous pouvez arriver à des attaques assez conséquentes.

Mars 2018, des serveurs WEB mal configurés utilisant memcached ont permis une attaque par amplification atteignant 1,7 Tbps.
Il s’agit d’un nouveau record.
Voici les listes des taux d’amplification selon les protocoles.

Les attaques DDoS par amplification

Les protocoles applicatifs ont été modifiées afin d’atténuer ce type d’attaque, les serveurs doivent être mis à jour avec les dernières versions pour palier à cela.
Il reste bien entendu des milliers de service non à jour qui peuvent encore être utilisés.

OVH dans cet article donne des statistiques sur la réparation des types d’attaques :

Les sources des attaques

Les sources des attaques sont des diverses, mais on peut distinguer deux types de sources :

  1. Les ordinateurs/serveurs piratés qui permet à des pirates d’avoir le contrôle et de lancer des attaques depuis ces ordinateurs contrôlés.
  2. Des sites WEB ou services WEB mal sécurisés/non à jour… dans le paragraphe précédent, je parlais de l’amplification qui permet d’utiliser des services internet comme relai pour effectuer et amplifier une attaque DDoS. Il en existe d’autres.

Ordinateurs, sites WEB, IOT vulnérables

Le cas 1 numéro, vous le connaissez de manière générale.
Votre ordinateur a été infecté par un logiciel malveillant, le pirate en a le contrôle et peut faire ce qu’il veut, lancer des campagnes de SPAM, ou DoS.
Il s’agit donc de botnet/réseau de Zombies.
Par exemple, ci-dessous, on constate de multiples connexions HTTP vers un serveur WEB.
Il s’agit d’une attaque HTTP pour saturer le serveur WEB.

DoS_Kbot

Il existe la même chose avec les serveurs WEB mal sécurité.
De nombreux hébergeurs proposent des solutions d’hébergement pas très chers.
Ceci concourt à la démocratisation d’internet… malheureusement les personnes qui administrent ces  sites WEB n’ont pas forcément les connaissances techniques.
Des CMS comme WordPress ou Joomla étant très prisés, ils sont très visés.

L’injection de JavaScripts sur des sites WEB piratés ont été utilisés aussi pour mener des attaques DoS, exemple JavaScript DDoS L7 (HTTP Flood)

Ces deux mondes peuvent se rejoindre.
Ces sites peuvent servir pour infecter des internautes, les ordinateurs des webmasters peuvent alors être visés afin de pirater leurs sites WEB par la suite.
=> Intrusions sur sites internet par vols d’identifiants FTP et PSW.Win32.Tepfer – vol FTP et injection/hack de sites

Exemple ci-dessous, d’un formulaire qui permet d’effectuer des attaques DoS UDP.

UDP Flood - site piraté

Dernièrement, ce sont les Internet des objets (IoT) et sécurité.
Suivre le lien pour obtenir plus d’informations sur les IoT et la sécurité.

Les services WEB piratés sont beaucoup plus intéressants que les ordinateurs car :

  • Ils sont disponibles 24/24, alors qu’un ordinateur peut être éteint par son propriétaire. Dans un botnet, si les cibles sont dans le monde entier.. avec le décalage horaires, certains ordinateurs peuvent être éteint au moment du pic d’activité de la cible.
  • Les services WEB ont des bandes passantes plus conséquentes et donc peuvent faire plus de ravages, surtout si elle sont dans le même datacenter que la cible.

Le but est simple avoir de la chair à canon pour que les attaques DoS soient de plus en plus conséquentes.

Les services mal conçus

Il reste le cas des erreurs de conception de sites WEB.
Comme les services qui peuvent servir d’amplification, WordPress propose une fonction de « pingback ».
Lorsqu’un article d’un site pointe vers un autre, automatique, sur le second, un commentaire de type pingback est créé avec le lien du premier site.
Pour se faire, le premier site contacte le second avec le lien et le commentaire pingback est créé.

Il est alors possible à partir d’ordinateur piraté de contacter de multiples sites WordPress avec le lien du site que l’on veut attaquer.
Ces sites WordPress vont alors contacter le site cible.
Cela permet de multiplier les IPs source de contact et de tenter de noyer le site WordPress cible.
D’où l’intérêt de maintenir sont WordPress à jour et sécurité : Sécuriser WordPress.

wordpress_pingback_dos

Ceci est bien sûr qu’un exemple, il en existe bien d’autres.

Il faut aussi savoir que les problèmes de conception peuvent aussi être chez la cible.
Des fonctions utilisés par les programmes les serveurs (PHP, Serveur WEB, CMS etc) peuvent être vulnérables à des attaques DoS.
En envoyant certains type de données, cela peut provoquer des pics d’utilisation des ressources et permettent de mettre le site hors lignes.
Des fonctionnalités mal programmées peuvent aussi être la cible.. Par exemple, sur un serveur WEB : un moteur de recherche mal conçu et non protégé en ne bloquant pas sur le nombre de requêtes peut mettre un site WEB HS, sans savoir besoin d’avoir énormément d’ordinateurs piratés pour effectuer cette attaque.
En clair, il s’agit de se d’exploiter des vulnérabilités applicatives pour mettre hors ligne un service.

Les motivations des attaques DDoS

Les motivations sont multiples.
Voici quelques motivations qui explique le pourquoi des attaques DoS.
En 2015, Kaspersky publiait une étude sur les sources des attaques DDoS.

ddos-attaques-motives

Revanches

Le cas des revanches/revenge.
Cela peut aller de simple crétins sur la toile, qui font des menaces sur les réseaux sociaux, tchat.
A des gamers qui ont un VPS et tentent d’attaquer d’autres gamers.
A l’aide d’un VPS, il est alors possible de mettre hors ligne une connexion ADSL en la saturant.
On peut aussi payer des services DoS (voir paragraphe suivant).

Si on est plus proche de la cours d’école, cela reste tout de même très agaçant pour les cibles.

Les revanches ou autre méthodes de rétorsions peuvent aussi être utilisées, si un contenu ne plait pas ou faire payer quelqu’un selon son activité sur toile.
Par exemple, malekal.com a été quelques fois attaquées selon mes activités de malwares.

Quelques autres exemples :

DOS_HTTP_MRTG

dos_attaque

DoS5

 

Monaitaire

Les raisons de profits sont les plus courantes.
On peut alors distinguer plusieurs manières de faire de l’argent avec les attaques DoS.

Proposer des services DoS. Il est possible de proposer des services DoS. En clair l’internaute s’inscrit sur le service et paye pour la bande passante.
Plusieurs offres selon la bande passante sont proposées.
Par exemple, le groupe Lizzard Squad connu pour avoir effectué des attaques contre Sony et Xbox proposaient ce type de service avec environ 150 000 à 200 000 bots dont des routeurs piratés.
Exemple ci-dessous d’offres de services DoS.

ddos_stresser_service

ddos_stresser_service_2

ddos_stresser_service_3

Les prix varient environ autour de 38$ pour une heure d’attaque par mois.

Le chantage est aussi une autre méthode pour monétiser.
Il s’agit de contacter des cibles, en leur demandant de payer une somme (souvent par bitcoin).. si le service ne paye pas, une attaque DoS sera effectuée contre ce dernier.
Exemple de contact reçu de chantage DoS.
La date peut être importante.
Imaginez par exemple, une attaque DoS sur le site de la SNCF le jours de la sortie des billets de Noel ou Ete.

blackmail-email chantage_attaque_dos

Des sociétés peuvent avoir aussi recours aux attaques DoS afin de paralyser un concurrent.
La société fait appel à des groupe pour mettre hors ligne le site afin de ternir la réputation.
Cela peut être très tentant si les sociétés vivent du net.

Les sites de jeux : les sites de jeux sont aussi très visés par les attaques. Certains sites de jeux et notamment MineCraft peuvent rapporter de l’argent aux administrateurs.
Le but est donc de tuer la concurrence.

Diversion

Les attaques DoS peuvent aussi être utilisées comme diversion.
Il s’agit d’occuper les équipes de maintenance des sites sur ces attaques afin à côté d’effectuer des pirates.
Cela est de plus en plus utilisé.

Quelques exemples :

Hacktivisme

Les attaques peuvent aussi avoir pour source des actes Hacktivisme.
Il s’agit d’attaque de rétorsion selon les activités étatiques.
Les anonymous sont les plus connues pour ces pratiques, avec diverses opérations régulières.

Par exemple, en Octobre 2012, Anonymous dit avoir mis hors ligne plusieurs étatiques Phillipins

Wikipedia propose une liste : Chronologie des événements impliquant Anonymous

Ces motivations d’attaques DDoS sont très régulières.

Cyber-guerre

Par Cyber-guerre, on parle d’attaque d’un Etat vers un autre.

En 2007, l’Estonie, un pays très connecté, subit une attaque DoS massive contre les sites étatiques, banques, journaux etc.
Cela fait suite à tentative de déplacement d’une statue de bronze de soldats russes de la seconde guerre mondiale. Cette statue commémore le sacrifice des combattants soviétiques qui ont chassé les nazis de Tallinn en septembre 1944. Pour les russophones vivant en Estonie, ce sont des héros. Pour la majorité des Estoniens, c’est un symbole de l’« occupation » communiste.
L’Estonie a accusé le gouvernement Russe d’être derrière cette attaque.

Juin 2013, la Corée du Sud subit une attaque DDoS… Celle-ci accuse la Corée du Nord : South Korea hit by disk wiping attack blamed on ‘DarkSeoul’ gang

Aout 2013, la Chine cible d’une attaque DDoS… L’Internet Chinois est coupé pendant 4 : China’s Internet hit by DDoS attack; sites down for hours

Décembre 2015 : La Turquie perturbée par des attaques DDoS, cela fait suite à un avion russe abattu par les turcs sur leur sol.

Parfois le hacktivisme et Cyber-guerre se touchent… La Corée du nord est souvent montrée du doigt.
Un site anti-nucléaire visée par une attaque. La Corée du nord montrait du doigt.

La Corée du Nord « bizarrement » privée d’internet après une attaque contre Sony.
=> Une attaque DDoS prive la Corée du Nord d’Internet pendant dix heures.

Cartographie des attaques DDoS

Il existe beaucoup de services qui cartographie les attaques DDoS.

Protection contre les attaques DDoS

Pour monsieur tout le monde, dès lors que l’attaquant a une bande passante plus importantes que la votre, il n’y aura pas grand chose à faire.

Si vous êtes sur un hébergeur WEB, il existe des solutions de protection.
Voici quelques sociétés de protection Anti-DDoS :

(Visité 434 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet