Quest-ce que le déni de service ?

Le déni de service ou DoS est un terme utilisé pour décrire une attaque numérique sur une machine ou un réseau destinée à la rendre inutilisable. Dans de nombreux cas, cela signifie inonder le destinataire avec tellement de demandes ou tellement de trafic que cela provoque un dysfonctionnement. Parfois, cela peut également signifier envoyer une plus petite quantité d'informations spécifiques et dommageables pour déclencher un crash, par exemple.

Pour expliquer le processus plus en détail – une machine connectée à un réseau peut gérer ( c'est-à-dire envoyer et recevoir ) une certaine quantité de trafic et continuer à fonctionner. La quantité de trafic dépend de plusieurs facteurs, tels que la taille des demandes effectuées et les informations transférées. Ainsi que la qualité et la solidité de la connectivité réseau.

Lorsque trop de demandes sont faites, le réseau aura du mal à suivre. Dans certains cas, les demandes seront abandonnées ou resteront sans réponse. Si l'excès est trop élevé, le réseau ou la machine réceptrice peuvent subir des problèmes, pouvant aller jusqu'à des erreurs et des arrêts.

Types d'attaques

Il existe de nombreux types d'attaques DoS, avec des objectifs et des méthodologies d'attaque différents. Certains des plus populaires incluent:

Inondation SYN

Une inondation SYN ( prononcez "sin" ) est une attaque où l'attaquant envoie des demandes de connexion rapides et répétées sans les finaliser. Cela oblige le côté récepteur à utiliser ses ressources pour ouvrir et maintenir de nouvelles connexions, en attendant qu'elles se résolvent. Cela n'arrive pas. Cela consomme des ressources et ralentit ou rend le système affecté complètement inutilisable.

Pensez-y comme si vous répondiez à des DM - si un vendeur reçoit une centaine de demandes concernant une voiture qu'il souhaite vendre. Ils doivent consacrer du temps et des efforts pour répondre à tous. Si 99 d'entre eux laissent le vendeur lire, le seul véritable acheteur pourrait ne pas obtenir de réponse ou l'obtenir beaucoup trop tard.

L'attaque SYN flood tire son nom du paquet utilisé dans l'attaque. SYN est le nom du paquet utilisé pour établir une connexion via le protocole de contrôle de transmission ou TCP qui est à la base de la plupart du trafic Internet.

Attaque par débordement de tampon

Un dépassement de mémoire tampon se produit lorsqu'un programme qui utilise la mémoire dont dispose un système dépasse son allocation de mémoire. Donc, s'il est inondé de tant d'informations, la mémoire allouée n'est pas suffisante pour les gérer. Par conséquent, il écrase également les emplacements de mémoire adjacents.

Il existe différents types d'attaques par débordement de tampon. Par exemple, envoyer un tout petit peu d'informations pour inciter le système à créer un petit tampon avant de l'inonder d'un plus grand nombre d'informations. Ou ceux qui envoient un type d'entrée malformé. Toute forme de celui-ci peut provoquer des erreurs, des arrêts et des résultats incorrects quel que soit le programme concerné.

Ping de la mort

L'attaque PoD au nom relativement humoristique envoie un ping malformé ou malveillant à un ordinateur afin de le faire mal fonctionner. Les paquets de ping normaux sont d'environ 56 à 84 octets au maximum. Cependant, ce n'est pas la limitation. Ils peuvent être aussi grands que 65k octets.

Certains systèmes et machines ne sont pas conçus pour être en mesure de traiter ce type de paquets, ce qui conduit à ce que l'on appelle un dépassement de mémoire tampon qui provoque généralement le plantage du système. Il peut également être utilisé comme un outil afin d'injecter du code malveillant, dans certains cas où un arrêt n'est pas le but.

Attaques DoS distribuées

Les attaques DDoS sont une forme plus avancée d'attaque DoS - elles comprennent plusieurs systèmes qui fonctionnent ensemble pour exécuter une attaque DoS coordonnée sur une cible unique. Au lieu d'une attaque 1 contre 1, il s'agit d'une situation plusieurs contre 1.

De manière générale, les attaques DDoS ont plus de chances de réussir car elles peuvent générer plus de trafic, sont plus difficiles à éviter et à prévenir, et peuvent facilement être déguisées en trafic « normal ». Les attaques DDoS peuvent même être effectuées par proxy. Supposons qu'un tiers parvienne à infecter la machine d'un utilisateur "innocent" avec un logiciel malveillant. Dans ce cas, ils peuvent utiliser la machine de cet utilisateur pour contribuer à leur attaque.

Défense contre les attaques (D)DoS

Les attaques DoS et DDoS sont des méthodes relativement simples. Ils ne nécessitent pas un degré exceptionnellement élevé de connaissances ou de compétences techniques de la part de l'attaquant. En cas de succès, ils peuvent avoir un impact massif sur des sites et des systèmes importants. Cependant, même les sites Web du gouvernement se sont retrouvés supprimés de cette façon.

Il existe plusieurs façons de se défendre contre les attaques DoS. La plupart d'entre eux fonctionnent à peu près de la même manière et nécessitent une surveillance du trafic entrant. Les attaques SYN peuvent être bloquées en bloquant le traitement d'une combinaison spécifique de paquets qui ne se produit pas dans cette combinaison dans le trafic normal. Une fois identifié comme DoS ou DDoS, le blackholing est utilisé pour protéger un système. Malheureusement, tout le trafic entrant ( y compris les demandes authentiques ) est détourné et rejeté pour préserver l'intégrité du système.

Vous pouvez configurer des routeurs et des pare-feu pour filtrer les protocoles connus et les adresses IP problématiques utilisées lors d'attaques précédentes. Ils n'aideront pas contre des attaques plus sophistiquées et bien distribuées. Mais sont toujours des outils essentiels pour arrêter les attaques simples.

Bien qu'il ne s'agisse pas techniquement d'une défense, s'assurer qu'il y a suffisamment de bande passante disponible et de périphériques réseau redondants dans le système peut également être efficace pour empêcher les attaques DoS de réussir. Ils comptent sur la surcharge du réseau. Un réseau plus fort est plus difficile à surcharger. Une autoroute à 8 voies nécessite plus de voitures à bloquer qu'une autoroute à 2 voies, quelque chose comme ça.

Une bonne partie des attaques DoS peut être évitée en appliquant des correctifs aux logiciels, y compris vos systèmes d'exploitation. La plupart des problèmes exploités sont des bogues dans le logiciel que les développeurs corrigent ou au moins proposent des atténuations. Cependant, certains types d'attaques, comme DDoS, ne peuvent pas être corrigés par des correctifs.

Conclusion

En effet, tout réseau se défendant avec succès contre les attaques DoS et DDoS le fera en combinant un ensemble de différentes mesures préventives et contre-mesures qui fonctionnent bien ensemble. À mesure que les attaques et les attaquants évoluent et deviennent plus sophistiqués, les mécanismes de défense évoluent également.

Une installation, une configuration et une maintenance correctes peuvent relativement bien protéger un système. Mais même le meilleur système supprimera probablement du trafic légitime et laissera passer quelques requêtes illégitimes, car il n'existe pas de solution parfaite.