Attaque par déni de service

Une des attaques les plus courantes consistait à envoyer un paquet ICMP de plus de 65 535 octets. Au-dessus de cette limite, les piles IP ne savaient pas gérer le paquet proprement, ce qui entraînait des erreurs de fragmentation UDP, ou encore les paquets TCP contenant des « flags » illégaux ou incompatibles.

Les piles actuelles résistent à ce type d’attaques. Néanmoins, les délais de traitement de ce genre de paquets restent plus longs que ceux nécessaires pour traiter les paquets légitimes. Ainsi, il devient commun voire trivial de générer une consommation excessive de processeur (CPU) par la simple émission de plusieurs centaines de milliers d’anomalies par seconde, ce qu’un outil tel que hping3 permet en une unique ligne de commande…

ex. : [root@localhost root]# hping3 -SARFU -L 0 -M 0 -p. 80 www.cible.com—flood

Avec l'arrivée du haut débit et l'augmentation de la puissance des ordinateurs personnels, le potentiel d'attaque a été décuplé, mettant en évidence la faiblesse des installations développées il y a plusieurs années. Cette augmentation permet à quasiment toutes les anomalies d’être à l’origine d’un déni de service, pourvu qu’elles soient générées à un rythme suffisamment important.

Par exemple :

• l’usage des champs « réservés » de l’en-tête TCP ;
• le positionnement d’un numéro de séquence d’accusé de réception dans un paquet SYN ;
• des paquets dont l’en-tête de couche 4 (TCP/UDP) est tronqué en dépit de checksums corrects.

Une attaque SYN Flood est une attaque visant à provoquer un déni de service en émettant un nombre important de demandes de synchronisation TCP incomplète avec un serveur.

Quand un système (client) tente d'établir une connexion TCP vers un système offrant un service (serveur), le client et le serveur échangent une séquence de messages.

Le système client commence par envoyer un message SYN au serveur. Le serveur reconnaît ensuite le message en envoyant un SYN-ACK message au client. Le client finit alors d’établir la connexion en répondant par un message ACK. La connexion entre le client et le serveur est alors ouverte, et le service de données spécifiques peut être échangé entre le client et le serveur. Voici une vue de ce flux de messages :

Client           Serveur
------           -------
 SYN  --------- →
   ← ---------  SYN-ACK
 ACK  --------- →

Le risque d'abus se pose à l'endroit où le système de serveur a envoyé un accusé de réception (SYN-ACK) au client, mais ne reçoit pas le message ACK. Le serveur construit dans sa mémoire système une structure de données décrivant toutes les connexions. Cette structure de données est de taille finie, et elle peut être débordée en créant intentionnellement trop de connexions partiellement ouvertes.

Créer des connexions semi-ouvertes s’accomplit facilement avec l'IP spoofing. Le système de l'agresseur envoie des messages SYN à la machine victime ; ceux-ci semblent être légitimes, mais font référence à un système client incapable de répondre au message SYN-ACK. Cela signifie que le message ACK final ne sera jamais envoyé au serveur victime.

Normalement il y a un délai d'attente associé à une connexion entrante, les semi-connexions ouvertes vont expirer et le serveur victime pourra gérer l’attaque. Toutefois, le système agresseur peut simplement continuer à envoyer des paquets IP falsifiés demandant de nouvelles connexions, plus rapides que le serveur victime.

Dans la plupart des cas, la victime aura des difficultés à accepter toute nouvelle connexion réseau entrante. Dans ces cas, l'attaque n'affecte pas les connexions entrantes, ni la possibilité d'établir des connexions réseau sortant. Toutefois, le système peut saturer la mémoire, ce qui provoque un crash rendant le système inopérant.

Ce déni de service exploite le mode non connecté du protocole UDP. Il crée une UDP Packet Storm (génération d’une grande quantité de paquets UDP) soit à destination d’une machine soit entre deux machines. Une telle attaque entre deux machines entraîne une congestion du réseau ainsi qu’une saturation des ressources des deux hôtes victimes. La congestion est plus importante du fait que le trafic UDP est prioritaire sur le trafic TCP. En effet, le protocole TCP possède un mécanisme de contrôle de congestion, dans le cas où l’acquittement d’un paquet arrive après un long délai, ce mécanisme adapte la fréquence d’émission des paquets TCP et le débit diminue. Le protocole UDP ne possède pas ce mécanisme. Au bout d’un certain temps, le trafic UDP occupe donc toute la bande passante, ne laissant qu’une infime partie au trafic TCP.

L’exemple le plus connu d’UDP Flooding est la « Chargen Denial of Service Attack ». La mise en pratique de cette attaque est simple, il suffit de faire communiquer le service chargen d’une machine avec le service echo d’une autre. Le premier génère des caractères, tandis que le second se contente de réémettre les données qu’il reçoit. Il suffit alors à l’attaquant d’envoyer des paquets UDP sur le port 19 (chargen) à une des victimes en usurpant l'adresse IP et le port source de l’autre. Dans ce cas, le port source est le port UDP 7 (echo). L’UDP Flooding entraîne une saturation de la bande passante entre les deux machines, il peut donc neutraliser complètement un réseau.

Les dénis de service de type Packet Fragment utilisent des faiblesses dans l'implémentation de certaines piles TCP/IP au niveau de la défragmentation IP (ré-assemblage des fragments IP).

Une attaque connue utilisant ce principe est Teardrop. L'offset de fragmentation du second fragment est inférieur à la taille du premier ainsi que l'offset plus la taille du second. Cela revient à dire que le deuxième fragment est contenu dans le premier (overlapping). Lors de la défragmentation, certains systèmes ne gèrent pas cette exception et cela entraîne un déni de service. Il existe des variantes de cette attaque : bonk, boink et newtear. Le déni de service Ping of Death exploite une mauvaise gestion de la défragmentation au niveau ICMP, en envoyant une quantité de données supérieure à la taille maximum d’un paquet IP. Ces différents dénis de services aboutissent à un crash de la machine cible.

Cette attaque utilise le protocole ICMP. Quand un ping (message ICMP ECHO) est envoyé à une adresse de broadcast, celui-ci est démultiplié et envoyé à chacune des machines du réseau. Le principe de l’attaque est de truquer les paquets ICMP ECHO REQUEST envoyés en mettant comme adresse IP source celle de la cible. L’attaquant envoie un flux continu de ping vers l’adresse de broadcast d’un réseau et toutes les machines répondent alors par un message ICMP ECHO REPLY en direction de la cible. Le flux est alors multiplié par le nombre d’hôtes composant le réseau. Dans ce cas tout le réseau cible subit le déni de service, car l’énorme quantité de trafic générée par cette attaque entraîne une congestion du réseau.

Lors d’une requête ARP, l’attaquant peut répondre en associant la route de sortie à une adresse MAC inexistante. De cette manière, les paquets envoyés sont alors perdus dans le réseau. Et le réseau perd son accès à internet.

Compte tenu des performances actuelles des serveurs et de la généralisation des techniques de répartition de charge et de haute disponibilité, il est quasiment impossible de provoquer un déni de service simple comme décrit dans les sections précédentes. Il est donc souvent nécessaire de trouver un moyen d’appliquer un effet multiplicateur à l’attaque initiale.

Le principe est d'utiliser plusieurs sources (daemons) pour l’attaque et des maîtres (masters) qui les contrôlent.

L’attaquant utilise des maîtres pour contrôler plus facilement les sources. En effet, il a besoin de se connecter (en TCP) aux maîtres pour configurer et préparer l’attaque. Les maîtres se contentent d’envoyer des commandes aux sources en UDP, ce qui permet de ne pas avoir à se connecter manuellement à chaque source. La source de l’attaque serait détectée plus facilement et sa mise en place beaucoup plus longue. Chaque daemon et master discutent en échangeant des messages spécifiques selon l’outil utilisé. Ces communications peuvent même être chiffrées et/ou authentifiées. Pour installer les daemons et les masters, l’attaquant peut utiliser des failles connues (buffer overflow sur des services RPC, FTP ou autres).

L’attaque en elle-même est un SYN Flooding, UDP Flooding ou autre Smurf Attack. Le résultat d’un déni de service est donc de rendre un réseau inaccessible.

L’inconvénient dans ce cas est la nécessité de travailler en deux temps :

1. Infecter les systèmes destinés à héberger les zombies.
2. Lancer les ordres.

À la deuxième étape le paquet de commande peut être bloqué par un outil de détection ou de filtrage. Par conséquent l’évolution consiste à automatiser le lancement des commandes dès la corruption des systèmes relais. Cette technique a été implémentée par CodeRed dont l’objectif était de faire connecter les serveurs corrompus au site Web de la maison blanche à une date précise.

Dans le même ordre d’idées les DDoS basées sur les canaux IRC comme canaux de communication. L’objectif est ici non plus d’établir une connexion directe entre le maître et les zombies, mais d’utiliser un serveur IRC (ou plutôt un canal) comme relais. Cette méthode, initiée en juillet et août 2001 par Knight et Kaiten, présente de nombreux avantages :

• Les commandes sont transmises d’une manière asynchrone via un flux « sortant », qu’il s’agisse du point de vue du maitre ou de l’agent. Il est donc plus probable que le zombie puisse obtenir ses ordres ;
• avec le support SSL il est impossible de détecter les commandes passées, et par conséquent d’identifier le canal IRC servant de relais. De la même manière le maître est quasi-indétectable ;
• l’attaquant dispose d’une plate-forme de relais (le canal IRC) distribuée.

Les attaques par déni de service sont souvent effectuées par des personnes peu expérimentées comme les lamers et les script kiddies. Elles sont aussi abondamment utilisées par des acteurs plus expérimentés, sous une forme délictueuse ou de défense (par exemple à l'encontre de sites eux-mêmes hostiles ou menant des activités réputées illégales ou illégitimes).

Un cas particulier d'attaque par déni de service est le Social Denial of Service (SDoS). C'est une sorte d'effet Slashdot dans lequel l'afflux de requêtes provient en partie de badauds venant observer les effets d'un déni de service annoncé[6]. Les acteurs sont alors une multitude d'internautes bien réels, agissant de façon simultanée et stimulée.

Depuis quelques années, l'attaque par déni de service distribuée est utilisée à des fins de chantage auprès d'entreprises dont l'activité commerciale repose sur la disponibilité de leur site web. Ces fraudes sont habituellement le fait d'organisations criminelles (mafieuses) et non de pirates isolés.

Il arrive fréquemment qu'une attaque par déni de service soit financée par une entreprise concurrente de l'entreprise ciblée dans le but de récupérer des parts de marché et de lui faire perdre de l'argent. Financer une attaque par déni de service distribuée contre un concurrent peut être rentable, notamment contre une entreprise qui n'a pas implémenté de mesure de mitigation. En 2015, 12% des entreprises ayant répondu à un sondage de Kaspersky pensent avoir été victimes d'une attaque par déni de service provenant de leur concurrence[7].

L'attaque par déni de service est également utilisée dans un but politique et antisystème, on parle alors d'hacktivisme. Des communautés partageant des valeurs communes à travers internet comme les Anonymous peuvent réunir beaucoup de personnes et s'organiser pour lancer des attaques contre les plus grosses compagnies. Ce fut le cas par exemple lors de l'attaque contre les sociétés Visa et Mastercard dans le cadre de la campagne Operation Payback orchestrée par les Anonymous.

Ce type d'attaque est également fréquemment rencontré sur les réseaux en ligne de jeux vidéo, comme Xbox Live (Microsoft) ou PlayStation Network (Sony). Les joueurs à l'origine de ces attaques peuvent agir par représailles ou tout simplement décider d'ennuyer des joueurs au hasard. Microsoft a publié un article détaillé à propos de ces attaques sur son site[8].

Le procédé suivi par les auteurs de ces attaques est simple et accessible à tous. Dans un premier temps, l'auteur utilise un logiciel comme Wireshark ou Cain & Abel qui lui permet de trouver les adresses IP des joueurs avec lesquels il est connecté. Ensuite, il utilise un outil sur son PC ou un service en ligne pour lancer l'attaque sur une adresse IP.

En France, l'attaque par déni de service est punie pénalement à l'article 323-2 du Code Pénal : « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende »[10].

Depuis novembre 2006, avec le vote du Police and Justice Act (PJA), les attaques par déni de service distribué sont un délit passible de dix ans de prison. Proposer des outils permettant de lancer des attaques DDoS est passible de deux ans de prison ferme[9]. En avril 2017, un jeune pirate monétisant des attaques DDos a été condamné à deux ans de prison ferme[11].

En 2008 la cour de Balakovo, la région de Saratov, a condamné trois pirates informatiques à huit ans de prison à la suite d'un chantage envers des sites de jeux en ligne. Les internautes demandaient plusieurs dizaines de milliers de dollars pour ne pas faire subir aux sites des attaques par déni de service distribué[9].

• Cyberattaque
• Vulnérabilité informatique
• Flood (Internet)
• DDoSecrets

• « Comprendre et anticiper les attaques DDoS », sur ssi.gouv.fr, ANSSI (Agence nationale de la sécurité des systèmes d’information). France, 2015 (consulté le 19 janvier 2023)
• « Protéger son organisation contre les attaques par déni de service - ITSAP.80.100 (Canada) », sur cyber.gc.ca, Centre canadien pour la cybersécurité, juillet 2022 (consulté le 19 janvier 2023)