Protection DDoS

Dans une inondation HTTP, l'attaquant exploite des requêtes HTTP GET ou POST apparemment légitimes pour attaquer un serveur Web ou une application. Ces attaques consomment généralement moins de bande passante que les autres mais se concentrent sur le déclenchement d'un traitement complexe côté serveur pour mettre à mal le site ou l'application cible. Les inondations HTTP peuvent parfois déclencher des réponses de serveurs Web qui peuvent en faire une attaque volumétrique par saturation du canal.

Slowloris fonctionne en ouvrant plusieurs connexions à un serveur web et en envoyant des requêtes HTTP, dont aucune n'est jamais terminée. Périodiquement, l'assaillant envoie des en-têtes HTTP successifs pour chaque requête, mais ne complète jamais réellement la requête. En fin de compte, le pool de connexions simultanées maximal du serveur cible est atteint et les connexions légitimes sont refusées.

Pendant la phase de reconnaissance, un assaillant va mapper les URL les plus coûteuses en ressources informatiques sur un site ou une application, aussi connues sous le nom d'URL lourde. Les URL lourdes incluent toutes les URL entraînant une plus grande charge du serveur sur demande. La requête HTTP initiale est relativement petite mais peut prendre beaucoup de temps pour s'achever ou produire des réponses de grande taille. Ces requêtes peuvent obliger le serveur à charger plusieurs fichiers volumineux ou à exécuter des requêtes de base de données gourmandes en ressources.

Un assaillant commence par envoyer une requête HTTP POST légitime à un serveur web, dans laquelle l'en-tête spécifie la taille exacte du corps du message qui va suivre. Cependant, ce corps de message est alors envoyé à un rythme extrêmement lent. Étant donné que le message est techniquement correct et complet, le serveur ciblé tente de suivre toutes les règles spécifiées. Si un assaillant lance suffisamment de ces attaques POST simultanément, elles consomment les ressources du serveur dans la mesure où les requêtes légitimes sont refusées.

Un attaquant essaie plusieurs combinaisons de nom d'utilisateur et de mot de passe, souvent en utilisant un dictionnaire de mots ou des mots de passe couramment utilisés pour accéder sans autorisation à une application ou à un site Web.

Une mesure d'atténuation courante consiste à verrouiller temporairement les comptes d'utilisateur en cas d'échec de plusieurs tentatives de connexion. Toutefois, cela peut entraîner un déni de service pour les comptes concernés.
 

Cette attaque profite d'une charge de travail asymétrique en demandant une connexion sécurisée, puis en la renégociant continuellement. Cela nécessite beaucoup de puissance processeur de la part du serveur et peut ralentir les connexions actuelles ou nouvelles, voire même l'arrêter.

Les attaquants envoient de nombreuses demandes de connexion TLS/SSL et le client qui ne ferme jamais la connexion. Une fois la limite de connexions simultanées atteinte, le point de terminaison TLS arrête le traitement du trafic, y compris les demandes légitimes.

Variante d'une attaque de renégociation SSL, l'attaque squeeze tente continuellement de renégocier le handshake de connexion, forçant le serveur à déchiffrer les requêtes « junk ».

La renégociation typique des attaques de renégociation de handshakes SSL multiplexes, qui peut être atténuée en désactivant la renégociation sur le serveur. Cependant, l'attaque SSL squeeze ouvre de nouvelles connexions TCP pour chaque requête, consommant éventuellement des E/S.

Les serveurs DNS s'appuient sur le protocole UDP pour la résolution des noms, qui (contrairement aux requêtes TCP) est sans connexion. Comme il n'est pas nécessaire de confirmer que les paquets UDP ont été reçus, l'usurpation d'identité est facile à réaliser.

Cette attaque de botnet chiffré tente de submerger les ressources du serveur, affectant finalement la capacité des serveurs DNS à diriger les requêtes légitimes. L'attaque peut consister en un trafic UDP valide provenant de sources multiples ou de données par paquets aléatoires. Cela permet à ce type d'attaque d'échapper aux techniques de protection DDoS de base comme le filtrage d'IP.
 

Une variante de l'inondation du DNS, un cybercriminel inonde le serveur DNS de requêtes pour des enregistrements invalides ou inexistants. Le serveur DNS utilise ensuite ses ressources à chercher quelque chose qui n'existe pas au lieu de servir des requêtes légitimes. Le résultat est que le cache sur le serveur DNS est rempli de mauvaises requêtes et les clients ne peuvent pas trouver les serveurs qu'ils recherchent.

L'amplification DNS est un type d'attaque par réflexion qui manipule les serveurs DNSvulnérablesface à Internet, ce qui les amène à inonder une ressource Internet avec un afflux de paquets UDP volumineux.

Un botnet contrôlé par le cybercriminel est scénarisé pour envoyer de petites requêtes DNS, mais spécialement formées, à tout résolveur DNS accessible au public. Cela suscite une réponse disproportionnée de la part du résolveur DNS. Les en-têtes de paquets comprennent également une adresse IP usurpée, l'adresse IP de la cible DDoS. Dès réception de la requête, les résolveurs DNS ouverts fournissent une réponse extrêmement large à la cible de l'attaque, ce qui consomme finalement la bande passante de la ressource Internet.
 

Chaque conversation client-serveur commence par un handshake tripartite standard. Le client envoieun paquetSYN, le serveur répond avecun SYN-ACKet la connexion TCP est établie avec un client final ACK. Dansun paquetd'inondationSYN,le client envoie un nombre massif de requêtes SYN, et ne répond jamais aux messages SYN-ACK du serveur.

Cela laisse le serveur avec des connexions ouvertes en attente des réponses du client. Chacune de ces connexions semi-ouvertes est suivie dans la table de connexion TCP, remplissant éventuellement la table et bloquant les tentatives de connexion supplémentaires, légitimes ou non.  
 

Une attaque par amplification est un type d'attaque par réflexion qui tire parti de la capacité d'envoyer de petits paquets usurpés à des services qui, dans le cadre de leur fonctionnement normal, répondront à la cible avec une réponse beaucoup plus importante.

Memcached est un système de mise en cache de base de données pour accélérer les sites Web et les réseaux. Les cybercriminels peuvent usurper des requêtes à un serveur memcached vulnérable face à Internet, qui inonde alors une cible de trafic, ce qui peut submerger leurs ressources. Bien que l'infrastructure de la cible soit surchargée, les nouvelles demandes ne peuvent être traitées et le trafic régulier ne peut accéder à la ressource Internet, ce qui entraîne un déni de service.

D'autres types d'attaques par amplification comprennent NTP, SSDP, SNMPv2, CharGEN, QOTD, etc.  
 

L'UDP est un protocole de communication standard sur les réseaux IP. Comme les paquets UDP sont sans état, ils nécessitent moins de vérification et de validation des erreurs que les paquets TCP. Une attaque par inondation UDP tente de surcharger un serveur de requêtes en saturant les tables de connexion sur chaque port de serveur accessible.

Remplir la table de connexion avec ces demandes empêche le traitement des demandes légitimes.
 

La fragmentation IP est un processus établi par la conception du protocole IP qui divise les paquets ou les datagrammes en fragments plus petits, afin qu'ils puissent passer par des liaisons réseau dont la limite maximale d'unité de transmission (MTU) est plus petite. Les dispositifs de sécurité hôtes ou à états recevant les fragments les réassemblent dans le datagramme original. L'en-tête IP des paquets ou des datagrammes indique au récepteur comment réassembler le datagramme.

Ces attaques se présentent sous diverses formes, mais toutes les variantes tentent d'utiliser la fragmentation pour submerger le serveur cible ou le nœud réseau.