Qu’est-ce qu’un stresseur IP?
un stresseur IP est un outil conçu pour tester la robustesse d’un réseau ou d’un serveur. L’administrateur peut exécuter un test de stress afin de déterminer si les ressources existantes (bande passante, CPU, etc.) sont suffisantes pour supporter une charge supplémentaire.
tester son propre réseau ou serveur est une utilisation légitime d’un stresseur. L’exécuter contre le réseau ou le serveur de quelqu’un d’autre, entraînant un déni de service pour ses utilisateurs légitimes, est illégal dans la plupart des pays.
que sont les services de démarrage?,
Les Booters, également connus sous le nom de booter services, sont des services d’attaque DDoS (distributed-Denial-of-Service) à la demande offerts par des criminels entreprenants afin de faire tomber des sites Web et des réseaux. En d’autres termes, les booters sont l’utilisation illégitime des stresseurs IP.
les stresseurs IP illégaux masquent souvent l’identité du serveur attaquant en utilisant des serveurs proxy. Le proxy redirige la connexion de l’attaquant tout en masquant l’adresse IP de l’attaquant.
Les Booters sont facilement emballés en tant que SaaS (Software-as-a-Service), souvent avec un support par e-mail et des tutoriels YouTube., Les Packages peuvent offrir un service unique, plusieurs attaques dans une période définie, ou même un accès « à vie”. Un forfait de base d’un mois peut coûter aussi peu que 19,99$. Les options de paiement peuvent inclure les cartes de crédit, Skrill, PayPal ou Bitcoin (bien que PayPal annule les comptes si une intention malveillante peut être prouvée).
en quoi les booters IP sont-ils différents des botnets?
un botnet est un réseau d’ordinateurs dont les propriétaires ignorent que leurs ordinateurs ont été infectés par des logiciels malveillants et sont utilisés dans des attaques Internet. Les Booters sont des services DDoS à la location.,
Les Booters utilisaient traditionnellement les botnets pour lancer des attaques, mais à mesure qu’ils deviennent plus sophistiqués, ils se vantent de serveurs plus puissants pour, comme le disent certains services de démarrage, « vous aider à lancer votre attaque”.
quelles sont les motivations derrière les attaques par déni de service?
Les motivations derrière les attaques par déni de service sont nombreuses: dérapages* étoffant leurs compétences en piratage, rivalités commerciales, conflits idéologiques, terrorisme parrainé par le gouvernement ou extorsion. PayPal et les cartes de crédit sont les méthodes de paiement préférées pour les attaques d’extorsion., Bitcoin est également utilisé parce qu’il offre la possibilité de déguiser l’identité. Un inconvénient de Bitcoin, du point de vue des attaquants, est que moins de gens utilisent des bitcoins par rapport à d’autres formes de paiement.
*Script kiddie, ou skiddie, est un terme péjoratif pour les Vandales Internet relativement peu qualifiés qui utilisent des scripts ou des programmes écrits par d’autres afin de lancer des attaques sur des réseaux ou des sites Web. Ils s’attaquent à des vulnérabilités de sécurité relativement connues et faciles à exploiter, souvent sans tenir compte des conséquences.
que sont les attaques d’amplification et de réflexion?,
Les attaques de réflexion et d’amplification utilisent le trafic légitime afin de submerger le réseau ou le serveur ciblé.
lorsqu’un attaquant falsifie l’adresse IP de la victime et envoie un message à un tiers tout en se faisant passer pour la victime, on parle d’usurpation D’adresse IP. Le tiers n’a aucun moyen de distinguer l’adresse IP de la victime de celle de l’attaquant. Il répond directement à la victime. L’adresse IP de l’attaquant est cachée à la fois à la victime et au serveur tiers. Ce processus est appelé la réflexion.,
cela s’apparente à ce que l’attaquant commande des pizzas chez la victime tout en prétendant être la victime. Maintenant, la victime finit par devoir de l’argent à la pizzeria pour une pizza qu’ils n’ont pas commandée.
l’amplification du trafic se produit lorsque l’attaquant force le serveur tiers à renvoyer des réponses à la victime avec autant de données que possible. Le rapport entre les tailles de réponse et de demande est connu sous le nom de facteur d’amplification. Plus cette amplification est grande, plus la perturbation potentielle pour la victime est grande., Le serveur tiers est également perturbé en raison du volume de requêtes usurpées qu’il doit traiter. L’Amplification NTP est un exemple d’une telle attaque.
les types d’attaques de démarrage les plus efficaces utilisent à la fois l’amplification et la réflexion. Tout d’abord, l’attaquant simule l’adresse de la cible et envoie un message à un tiers. Lorsque le tiers répond, le message va à l’adresse falsifiée de la cible. La réponse est beaucoup plus grande que le message d’origine, amplifiant ainsi la taille de l’attaque.,
le rôle d’un seul bot dans une telle attaque s’apparente à celui d’un adolescent malveillant appelant un restaurant et commandant le menu entier, puis demandant un rappel confirmant chaque élément du menu. Sauf que le numéro de rappel est celui de la victime, ce qui fait que la victime ciblée reçoit un appel du restaurant avec un flot d’informations qu’elle n’a pas demandées.
quelles sont les catégories d’attaques par déni de service?
Les Attaques de la couche Application s’attaquent aux applications web et utilisent souvent les plus sophistiquées., Ces attaques exploitent une faiblesse de la pile de protocoles de couche 7 en établissant d’abord une connexion avec la cible, puis en épuisant les ressources du serveur en monopolisant les processus et les transactions. Ces sont difficiles à identifier et à atténuer. Un exemple courant est une attaque par inondation HTTP.
Les attaques basées sur les protocoles se concentrent sur l’exploitation d’une faiblesse dans les couches 3 ou 4 de la pile de protocoles. De telles attaques consomment toute la capacité de traitement de la victime ou d’autres ressources critiques (un pare-feu, par exemple), entraînant une interruption de service. SYN Flood et Ping of Death en sont quelques exemples.,
Les Attaques volumétriques envoient des volumes élevés de trafic dans le but de saturer la bande passante d’une victime. Les attaques volumétriques sont faciles à générer en utilisant des techniques d’amplification simples, ce sont donc les formes d’attaque les plus courantes. UDP Flood, TCP Flood, NTP Amplification et DNS Amplification sont quelques exemples.
quelles sont les attaques par déni de service courantes?,
L’objectif des attaques DoS ou DDoS est de consommer suffisamment de ressources serveur ou réseau pour que le système ne réponde plus aux requêtes légitimes:
- SYN Flood: une succession de requêtes SYN est dirigée vers le système de la cible pour tenter de le submerger. Cette attaque exploite les faiblesses de la séquence de connexion TCP, connue sous le nom de poignée de main à trois voies.
- http Flood: type d’attaque dans lequel des requêtes HTTP GET ou POST sont utilisées pour attaquer le serveur web.,
- inondation UDP: type d’attaque dans laquelle les ports aléatoires de la cible sont submergés par des paquets IP contenant des datagrammes UDP.
- Ping De La Mort: Les Attaques impliquent l’envoi délibéré de paquets IP plus grands que ceux autorisés par le protocole IP. La fragmentation TCP/IP traite les gros paquets en les décomposant en paquets IP plus petits. Si les paquets, une fois mis ensemble, sont plus grands que les 65 536 octets permis, les serveurs hérités plantent souvent. Cela a été largement corrigé dans les systèmes plus récents. Ping flood est l’incarnation actuelle de cette attaque.,
- attaques du protocole ICMP: les attaques sur le protocole ICMP tirent parti du fait que chaque requête nécessite un traitement par le serveur avant qu’une réponse ne soit renvoyée. Smurf attack, ICMP flood et ping flood en profitent en inondant le serveur de requêtes ICMP sans attendre la réponse.
- Slowloris: inventée par Robert ‘RSnake’ Hansen, cette attaque tente de garder plusieurs connexions au serveur Web cible ouvertes, et aussi longtemps que possible. Finalement, les tentatives de connexion supplémentaires des clients seront refusées.,
- DNS Flood: L’attaquant inonde les serveurs DNS d’un domaine particulier dans le but de perturber la résolution DNS de ce domaine
- Teardrop Attack: attaque qui consiste à envoyer des paquets fragmentés au périphérique ciblé. Un bogue dans le protocole TCP/IP empêche le serveur de réassembler de tels paquets, provoquant le chevauchement des paquets. L’appareil ciblé se bloque.
- amplification DNS: cette attaque basée sur la réflexion transforme les requêtes légitimes vers les serveurs DNS (domain name system) en requêtes beaucoup plus importantes, consommant ainsi les ressources du serveur.,
- Amplification NTP: attaque DDoS volumétrique basée sur la réflexion dans laquelle un attaquant exploite une fonctionnalité de serveur NTP (Network Time Protocol) afin de submerger un réseau ou un serveur ciblé avec une quantité amplifiée de trafic UDP.
- réflexion SNMP: L’attaquant Forge l’adresse IP de la victime et envoie plusieurs requêtes SNMP (Simple Network Management Protocol) aux périphériques. Le volume des réponses peut accabler la victime.,
- SSDP: une attaque SSDP (simple Service Discovery Protocol) est une attaque DDoS basée sur la réflexion qui exploite les protocoles réseau Universal Plug And Play (UPnP) afin d’envoyer une quantité amplifiée de trafic à une victime ciblée.
- attaque Schtroumpf: cette attaque utilise un programme malveillant appelé Schtroumpf. Un grand nombre de paquets ICMP (Internet Control Message Protocol) avec l’adresse IP usurpée de la victime sont diffusés sur un réseau informatique à l’aide d’une adresse de diffusion IP.
- attaque Fraggle: une attaque similaire à Schtroumpf, sauf qu’elle utilise UDP plutôt QU’ICMP.,
Que Faut-il faire en cas d’attaque d’extorsion DDoS?
- Le centre de données et le FAI doivent être immédiatement informés
- Le Paiement D’une rançon ne doit jamais être une option – Un paiement entraîne souvent une escalade des demandes de rançon
- Les organismes d’application de la loi doivent être informés
- le trafic réseau doit être surveillé
- ,
- Les pare-feu doivent être installés sur le serveur
- Les correctifs de sécurité doivent être à jour
- Les logiciels Antivirus doivent être exécutés dans les délais
- Les journaux système doivent être surveillés régulièrement
- les serveurs de messagerie inconnus ne doivent pas être autorisés à distribuer le trafic SMTP
pourquoi les services
La personne qui achète ces services criminels utilise un site web frontend pour le paiement, et les instructions relatives à l’attaque. Très souvent, il n’y a pas de connexion identifiable avec le backend initiant l’attaque réelle., Par conséquent, l’intention criminelle peut être difficile à prouver. Suivre la piste de paiement est un moyen de traquer les entités criminelles.