Posted on

Attaques DDoS : Ce qu’elles sont et comment les DDoS

, Author

Mise à jour le 10/6/2020

Une attaque DDoS (Distributed Denial-of-Service) est très similaire à une attaque DoS (Denial-of-Service), à la seule différence que la même attaque est menée par de nombreuses personnes différentes (ou botnets) exactement au même moment. Par conséquent, le DDoS est une question d’échelle.

Après avoir sélectionné un service à cibler, suivez ces cinq étapes pour monter une attaque DoS :

  1. Lancer un outil DoS, comme LOIC.

  2. Spécifier l’adresse IP du serveur que vous voulez attaquer.

  3. Choisissez un port que vous savez ouvert et qui accepte les connexions entrantes.

  4. Sélectionnez TCP.

  5. Cliquez sur le bouton pour lancer l’attaque.

Pour monter une attaque DDoS, faites la même chose que pour une attaque DoS, mais avec l’outil HOIC. Voici comment réaliser une attaque DDoS :

  1. Trouver et choisir un service.

  2. Sélectionner un port ouvert.

  3. Lancer HOIC.

  4. Augmenter les Threads.

  5. Ciblez l’URL désirée.

  6. Augmentez la puissance à élevée.

  7. Sélectionnez votre Booster.

  8. Montez l’attaque.

Voyons d’abord une attaque DoS afin de mieux comprendre une attaque DDoS.

Qu’est-ce qu’une attaque par déni de service (DoS) ?

La DDoS est une cyberattaque conçue pour submerger un service en ligne, faire tomber leur système en panne, refusant ainsi le service aux clients, aux employés, etc. Pour réaliser une attaque DoS, tout ce que vous devez faire est :

  1. Trouver et choisir un service à cibler.

  2. Sélectionner un port ouvert.

  3. Surmonter le service.

Au fond, une attaque DoS est assez directe et simple à réaliser. La vraie question ici est de savoir si vous avez suffisamment d’échelle pour submerger votre système cible.

Voici une ventilation de chaque étape.

Trouver et choisir un service à cibler

La première étape pour monter un DoS est de trouver un service que vous pouvez cibler. Cela devrait être quelque chose avec des ports ouverts et des vulnérabilités, et qui acceptera les connexions entrantes.

Certains des services qui pourraient répondre à ces critères sont :

  • Serveurs web

  • Serveurs DNS

  • Serveurs de courrier électronique

  • Serveurs FTP

  • Serveurs Telnet

Ce qui rend ces services si faciles à cibler est qu’ils acceptent des connexions non authentifiées.

Sélectionner un port ouvert

Voir une liste des ports ouverts dans Windows en ouvrant la ligne de commande DOS, en entrant netstat et en appuyant sur Entrée. Pour afficher les ports avec lesquels un ordinateur communique, tapez netstat -an |find /i « established ».

Les paramètres des ports varient d’un programme à l’autre, mais l’idée générale est la même dans tous les cas. Lorsque vous essayez d’accéder à un port, vous saurez qu’il n’est pas accessible si le message « Connecting… » se suspend et que la fenêtre disparaît. S’il est accessible, vous obtiendrez une fenêtre vide ou verrez s’afficher un texte similaire à « 220 ESMTP parlé ici. »

Si vous préférez, voici trois outils que vous pouvez utiliser pour trouver les ports ouverts :

  1. Telnet

  2. CurrPorts

  3. TCPEye

Dépasser le service

Idéalement, vous choisiriez un service qui n’a pas de limite maximale au nombre de connexions qu’il autorise. La meilleure façon de savoir si un service n’a pas de limite supérieure est de lui envoyer quelques centaines de milliers de connexions, puis d’observer ce qui se passe.

Pour obtenir un effet optimal, vous devez envoyer des requêtes et des informations spécifiques. Par exemple, si vous ciblez un serveur web avec un moteur de recherche, ne vous contentez pas de demander une page web ou d’appuyer sur F5 un paquet de fois. Demandez une requête de recherche complexe qui va consommer une quantité importante de puissance pour la résoudre. Si faire cela juste une fois a un impact notable sur le backend, alors faire cela cent fois par seconde va probablement faire tomber le serveur.

Vous pouvez faire la même chose contre un serveur DNS. Vous pouvez le forcer à résoudre des requêtes DNS complexes qui ne sont pas mises en cache. Faites-le assez souvent et cela fera tomber le serveur.

Pour un service de messagerie, vous pouvez envoyer beaucoup de pièces jointes volumineuses, si vous pouvez obtenir un compte légitime sur son serveur. Si vous ne pouvez pas, il est assez facile de l’usurper.

Si vous ne pouvez pas cibler un service spécifique, vous pouvez simplement inonder un hôte de trafic, sauf que l’attaque pourrait ne pas être aussi élégante et nécessiterait certainement un peu plus de trafic.

Une fois que vous avez submergé le système, l’environnement est prêt pour une attaque.

Comment monter une attaque DoS

Une fois que vous avez effectué les processus d’empreinte, de scan et d’énumération du réseau, vous devriez avoir une bonne idée de ce qui se passe dans le réseau que vous ciblez. Voici un exemple d’un système particulier que vous aimeriez attaquer. Il s’agit de 192.168.1.16 (un contrôleur de domaine Windows 2008 et un serveur web).

Pour l’attaquer, suivez ces 5 étapes :

1. Lancez votre outil préféré pour attaquer les systèmes. J’aime le canon à ions à orbite basse (LOIC). C’est l’outil le plus facile à comprendre car ce qu’il fait est assez évident.

Les autres outils DoS qui peuvent être utilisés pour attaquer incluent XOIC, HULK, DDOSIM, R.U.D.Y., et Tor’s Hammer.

2. Spécifiez l’adresse IP du serveur que vous voulez attaquer, qui dans ce cas est 192.168.1.16. Verrouillez-la.

3. Choisissez un port que vous savez ouvert et qui accepte les connexions entrantes. Par exemple, choisissez le port 80 pour monter une attaque basée sur le web.

4. Sélectionnez TCP pour spécifier les ressources à immobiliser.

5. Cliquez sur le bouton pour monter l’attaque.

Vous verrez les données demandées augmenter rapidement.

Les augmentations de données peuvent éventuellement commencer à ralentir un peu, en partie parce que vous consommerez des ressources sur le client, et aussi parce que le serveur lui-même serait soit à court de ressources, soit commencerait à se défendre contre votre attaque.

Que faire lorsque l’hôte commence à se défendre

Certains hôtes peuvent être configurés pour rechercher des modèles, identifier les attaques et commencer à se défendre. Pour contrer leur défense, vous pouvez :

  1. Arrêter momentanément l’attaque (en cliquant sur le même bouton que vous avez cliqué pour monter l’attaque).

  2. Changer le port attaqué.

  3. Faire ralentir un peu l’attaque, ce qui ajoute de la confusion.

Dans notre exemple, vous allez changer le port du port 80 au port 88 (si vous examinez la capture d’écran sur le scanner de port avancé, vous verrez que le port 88 est également ouvert). Une fois que vous avez terminé de modifier les paramètres, vous pouvez reprendre l’attaque en cliquant à nouveau sur le bouton d’attaque.

Vous attaquez maintenant un port différent (ce qui revient à un service différent) d’une manière légèrement différente et à une vitesse différente. La vitesse n’est importante que si vous attaquez à partir d’un seul client.

Voilà à quoi ressemblerait une attaque lorsque vous faites ce genre de DoS à partir d’une seule machine.

Qu’est-ce qu’une attaque DDoS ? Attaquer plusieurs clients à la fois

Une attaque par déni de service distribué (DDoS) est réalisée dans le but de mettre hors service un site Web ou un service en l’inondant de plus d’informations ou de traitements que le site Web ne peut en gérer. C’est pratiquement la même chose qu’une attaque DoS, la différence étant qu’elle est effectuée par de nombreuses machines différentes en même temps.

Selon la situation, un client qui attaque de cette manière peut ou non affecter immédiatement les performances du serveur, mais une attaque DDoS ne doit pas s’arrêter à un seul client. Typiquement, vous monteriez cette attaque contre différents ports à différents moments, et vous essayeriez d’estimer si vos actions affectent les services. Mieux encore, cela permettra d’arrêter le serveur.

Si l’attaque produit l’effet désiré, vous pourriez la mettre à l’échelle en exécutant le LOIC sur une douzaine (voire des centaines) de machines en même temps. Une grande partie de cette action peut être scriptée, ce qui signifie que vous pouvez capturer le trafic et le rejouer en ligne de commande sur différentes cibles. Ou bien, vous pouvez le rejouer dans le cadre d’un script provenant de différents attaquants, qui peuvent être vos pairs, vos zombies, ou les deux. Souvent, des logiciels malveillants (botnets, explorés ci-dessous) sont utilisés pour lancer les attaques, car les logiciels malveillants peuvent être chronométrés pour se lancer exactement au même moment.

C’est à ce moment que la vitesse devient moins importante, car vous avez une centaine de clients différents qui attaquent en même temps. Vous pouvez ralentir les choses au niveau de chaque client individuel et être en mesure de monter une attaque assez efficace.

L’écran aurait la même apparence sur chaque machine individuelle si vous montiez l’attaque à partir de centaines ou de milliers de machines, que si vous le faisiez sur une seule machine.

Qu’est-ce qu’un botnet ?

Comme l’explique l’Internet Society :

« Un botnet est un ensemble d’ordinateurs d’utilisateurs connectés à Internet (bots) infectés par un logiciel malveillant (malware) qui permet aux ordinateurs d’être contrôlés à distance par un opérateur (bot herder) par le biais d’un serveur de commande et de contrôle (C&C) pour effectuer des tâches automatisées sur des appareils connectés à de nombreux ordinateurs, comme le vol d’informations ou le lancement d’attaques sur d’autres ordinateurs. Les logiciels malveillants de type botnet sont conçus pour donner à leurs opérateurs le contrôle de nombreux ordinateurs d’utilisateurs à la fois. Cela permet aux opérateurs de botnets d’utiliser les ressources de calcul et de bande passante sur de nombreux réseaux différents pour des activités malveillantes. »

Bien qu’ils soient d’une grande aide pour les pirates, les botnets sont plutôt un fléau pour une grande partie de la société en ligne. Les botnets :

  • peuvent se propager sur de grandes distances, et même fonctionner dans différents pays.

  • Restreignent l’ouverture, l’innovation et la portée mondiale d’Internet.

  • Impactent les droits fondamentaux des utilisateurs en bloquant la liberté d’expression et d’opinion, et en violant la vie privée.

Comment faire une attaque DDoS

Pour monter plus de 256 attaques DDoS simultanées qui feront tomber un système, une équipe de plusieurs utilisateurs peut utiliser High Orbit Ion Cannon (HOIC) en même temps, et vous pouvez employer le script complémentaire « booster ».

Pour faire une attaque DDoS, trouvez et choisissez un service, sélectionnez un port ouvert, et submergez le service en suivant ces étapes :

  1. Lancez HOIC.

  2. Augmentez les fils.

  3. Ciblez l’URL désirée.

  4. Augmentez la puissance à élevée.

  5. Sélectionnez votre Booster.

  6. Montez l’attaque.

Pourquoi les pirates illégaux effectuent-ils des attaques DoS et DDoS ?

Les attaques DoS et DDoS sont excessivement destructives et peuvent demander un certain travail pour être lancées, mais elles sont utilisées par les cybercriminels comme une arme à utiliser contre un concurrent, comme une forme d’extorsion ou comme un écran de fumée pour cacher l’extraction de données sensibles.

De plus, il arrive que des attaques soient montées pour une ou plusieurs de ces raisons :

  • Guerres de territoire sur Internet.

  • Une expression de colère ou une punition.

  • Pratique, ou juste pour voir si c’est possible.

  • Pour le « plaisir » de causer le chaos.

Les dommages causés par les attaques DDoS sont extrêmement importants. Cisco a rapporté des faits et des estimations qui ouvrent les yeux :

  • Le nombre d’attaques DDoS mondiales doublera, passant de 7,9 millions en 2018 à 15,4 millions en 2023.

  • La taille moyenne d’une attaque DDoS est de 1 Gbps, ce qui peut mettre une organisation complètement hors ligne.

Une enquête ITIC 2019 a révélé qu' »une seule heure de temps d’arrêt coûte désormais à 98% des entreprises au moins 100 000 dollars. Et 86 % des entreprises affirment que le coût d’une heure d’indisponibilité est de 300 000 $ ou plus.  » Trente-quatre pour cent d’entre elles affirment qu’il leur en coûte entre 1 et 5 millions de dollars pour être indisponibles pendant une heure.

Un exemple récent d’attaque DDoS est l’attaque d’Amazon Web Services en février 2020. Le géant de l’informatique en nuage a été ciblé et a envoyé jusqu’à un stupéfiant 2,3 téraoctets de données par seconde pendant trois jours d’affilée.

Si vous voulez parcourir les attaques mondiales qui se déroulent en temps réel (ou presque), consultez une carte des menaces de cyberattaques.

Comment protéger votre entreprise des attaques DoS et DDoS

Pour protéger votre entreprise des attaques DoS et DDoS, voici quelques recommandations :

  1. Installez un logiciel de sécurité et tenez-le à jour avec les derniers correctifs.

  2. Sécurisez tous les mots de passe.

  3. Utilisez les services anti-DDoS pour reconnaître les pics légitimes de trafic réseau, par rapport à une attaque.

  4. Ayez un fournisseur d’accès Internet de secours afin que votre fournisseur d’accès puisse réacheminer votre trafic.

  5. Utilisez des services qui dispersent le trafic d’attaque massive parmi un réseau de serveurs.

  6. Mettez à jour et configurez vos pare-feu et routeurs pour rejeter le trafic frauduleux.

  7. Intégrer le matériel frontal des applications pour filtrer et classer les paquets.

  8. Utiliser un système d’IA auto-apprenant qui achemine et analyse le trafic avant qu’il n’atteigne les ordinateurs de l’entreprise.

  9. Employez un pirate éthique pour chercher et trouver des endroits non protégés dans votre système.

C’est une tâche difficile de protéger votre entreprise contre les attaques DoS et DDoS, mais déterminer vos vulnérabilités, avoir un plan de défense et trouver des tactiques d’atténuation sont des éléments essentiels de la sécurité du réseau.

En savoir plus sur le piratage éthique

Le piratage éthique est un outil important et précieux utilisé par les professionnels de la sécurité informatique dans leur lutte contre les cyber brèches coûteuses et potentiellement dévastatrices. Il utilise des techniques de piratage pour obtenir des informations sur l’efficacité des logiciels et des politiques de sécurité afin de pouvoir décréter une meilleure protection des réseaux.

Les principes directeurs de base à suivre pour pirater légalement sont :

  • Ne jamais utiliser vos connaissances pour un gain personnel.

  • Ne le faites que lorsque vous en avez le droit.

  • N’utilisez pas de logiciels pirates dans vos attaques.

  • Ayez toujours de l’intégrité et soyez digne de confiance.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.