origines des menaces par déni de Service
dans les attaques par déni de service classiques, le pirate transmet plusieurs requêtes à la machine ou au service cible avec des adresses IP (Internet Protocol) de retour fictives. Lorsque le serveur tente d’authentifier ces adresses, il rencontre une vague de réponses de code d’erreur, déclenchant une chaîne récurrente de trafic SMTP qui peut rapidement saturer le serveur., De même, avec une attaque Schtroumpf, le pirate diffuserait des paquets vers plusieurs hôtes avec une adresse IP usurpée appartenant à ces machines cibles. Lorsque les machines hôtes destinataires répondent, elles s’inondent efficacement de trafic de paquets répondant.
dans une inondation SYN, un attaquant tire parti du processus TCP 3-Way Handshake (SYN, SYN-ACK, ACK) pour mettre un service hors ligne. Dans la prise de contact à 3 voies, le serveur A initierait un message de demande de synchronisation TCP au serveur B. lors de la réception de la demande, l’hôte B (La machine cible) envoie un paquet D’accusé de réception de synchronisation au serveur A., C’est à ce stade que l’attaque par déni de service se produit. Dans un échange légitime pour établir une connexion de socket TCP, l’étape suivante serait que l’hôte A envoie un message D’accusé de réception à l’hôte B, mais lorsque le pirate contrôlant l’hôte a empêche cela de se produire, la prise de contact ne peut pas être terminée. Le résultat est que l’hôte B a un port connecté qui n’est pas disponible pour les demandes supplémentaires. Lorsque l’attaquant envoie des requêtes répétées de cette nature, tous les ports disponibles sur l’hôte B peuvent rapidement se raccrocher et devenir indisponibles.,
menaces de déni de Service évolutives
Les inondations SYN, les attaques banana et d’autres types de hacks DoS conventionnels sont toujours utilisés aujourd’hui – et bien sûr, les attaques DDoS alimentées par botnet restent une menace constante. Mais les pirates malveillants ont ces dernières années élargi le nombre de machines et de services qu’ils ciblent, et élargi considérablement la surface de la menace. De plus en plus, les organisations sont ciblées pour des attaques de « dégradation de service” de moindre intensité qui infligent des ralentissements de service coûteux sans mettre les ressources complètement hors ligne., Cette méthode d’attaque est devenue de plus en plus courante à mesure que de plus en plus d’organisations s’appuient sur Amazon Web Services (AWS) et des offres cloud similaires pour alimenter leurs opérations web.
Lorsqu’un grand détaillant, un fournisseur de services financiers, une marque grand public ou une entreprise commerciale similaire héberge son site web sur AWS, Microsoft Azure ou un autre opérateur cloud, l’Accord sera régi par un accord de niveau de Service., En effet, l’opérateur cloud, pour un prix donné, promet de mettre à disposition les ressources de traitement, la bande passante et l’infrastructure de support nécessaires à ce site web pour prendre en charge X quantités de trafic web, où X serait mesuré en gigaoctets de données, nombre de transactions de détail, heures de disponibilité et mesures connexes. Si les charges de trafic dépassent les niveaux convenus, ce qui serait positif si le trafic est légitime, le propriétaire du site Web serait facturé à un taux plus élevé., Ce processus est souvent complètement automatisé, comme avec Amazon CloudWatch, qui dispose de fonctionnalités de mise à l’échelle automatique pour augmenter ou diminuer dynamiquement les ressources de traitement selon les besoins.
dénigrement coûteux du Service
Comme on pourrait l’imaginer, les mauvais acteurs peuvent s’injecter dans ces relations en dirigeant le trafic illégitime vers un site Web cible, et augmenter facilement le coût de faire des affaires pour une organisation cible. Les serveurs « zombies” qui envoient des rafales de trafic intermittentes sont fréquemment utilisés dans ce type d’attaque., Étant donné que les charges de trafic en question sont occasionnelles et ne proviennent pas évidemment d’une source malveillante, elles ressemblent beaucoup au trafic légitime, ce qui signifie qu’il peut être extrêmement difficile pour le personnel de cybersécurité de les découvrir et de les arrêter.
un autre ensemble d’outils utilisé dans ce type d’incident de déni de service ou de dégradation de service sont les applications dites « stresser” qui ont été conçues à l’origine pour aider les propriétaires de sites web à identifier les points faibles de leur infrastructure web., Faciles à obtenir et à utiliser, ces applications, y compris WebHive, peuvent être installées sur plusieurs instances cloud pour développer de formidables capacités DDoS. Coordonnés ensemble de cette manière, ces outils d’attaque peuvent mettre hors ligne de grands sites Web commerciaux pendant de longues périodes.
principaux points à retenir des attaques par déni de Service
Les attaques par déni de service ont changé au fil des ans, mais les dommages causés continuent d’augmenter., Une enquête de L’Institut Ponemon auprès de grandes entreprises de divers secteurs d’activité a révélé que l’entreprise Type subit quatre incidents de déni de service par an et que le coût total moyen par année pour traiter le DoS est d’environ 1,5 million de dollars. La mise en place d’une architecture de sécurité qui vous permet de détecter, de prévenir et de répondre aux attaques DoS est une étape critique dans tout programme de cybersécurité efficace.