Scribd
Importer
66 vues6 pages

Comprendre les attaques DDoS et DoS

Transféré par

barodinsambieni4
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
66 vues6 pages

Comprendre les attaques DDoS et DoS

Transféré par

barodinsambieni4
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

1.

Introduction aux attaques DoS et DDoS


a. Définitions et objectifs
 DoS (Denial of Service) : Attaque provenant d'une seule
source, qui submerge une cible pour rendre ses services
inaccessibles.
 DDoS (Distributed Denial of Service) : Variante de
DoS utilisant plusieurs sources d’attaques pour amplifier
les effets, rendant la défense plus difficile.
b. Objectifs de l’attaque
 Perturbation des services : Rendre un site web, un
serveur ou un réseau indisponible.
 Perte de revenus et d’image : Affecter la réputation de
l'entreprise et causer des pertes financières.
 Attaque de diversion : Masquer une autre attaque,
comme une tentative de vol de données.

2. Principaux types d'attaques DoS/DDoS


a. Attaques par saturation de bande passante
Ces attaques envoient un volume massif de trafic vers la cible
pour épuiser la bande passante.
 UDP Flood :
o Description : L'attaquant envoie une grande

quantité de paquets UDP à des ports aléatoires de la


cible.
o Effet : La cible doit vérifier chaque paquet,

surchargeant ses ressources.


o Commandes d’attaque : Utiliser hping3 ou LOIC.
bash
hping3 --udp -p [port_cible] -i u1000 [IP_cible]

ICMP Flood (Ping Flood) :


 Description : Envoi de requêtes ICMP (echo requests)
pour saturer la connexion.
 Effet : La surcharge des réponses ICMP ralentit ou
bloque le réseau cible.
 Commandes d’attaque : Utiliser ping ou hping3.
bash
ping -f [IP_cible]

. Attaques basées sur des protocoles réseau


Ces attaques exploitent les faiblesses des protocoles réseau
pour épuiser les ressources de la cible.
 SYN Flood :
o Description : Envoi de requêtes SYN sans finaliser

la connexion (sans envoi d’ACK).


o Effet : Épuise les ressources de la table de

connexions de la cible.
o Commandes d’attaque : Utiliser hping3 ou nping.

bash
hping3 -S -p [port_cible] --flood [IP_cible]

 Ping of Death :
o Description : Envoi de paquets ICMP plus grands

que le maximum permis (65,535 octets), causant des


crashs.
o Effet : Peut causer un redémarrage ou un plantage

de la machine cible.
o Commandes d’attaque : Utiliser des outils
personnalisés ou des versions modifiées de ping.
 Smurf Attack :
o Description : Envoi de paquets ICMP à une adresse

de diffusion (broadcast) en usurpant l'IP de la cible.


o Effet : Amplifie le trafic en créant un grand nombre

de réponses dirigées vers la victime.


o Commandes d’attaque : Utiliser hping3 avec des

paquets ICMP en mode broadcast.


c. Attaques par amplification
Ces attaques exploitent des services ouverts qui répondent
avec plus de données que ce qui est demandé (effet de
réflexion).
 DNS Amplification :
o Description : Envoi de requêtes DNS à des serveurs

en utilisant l’IP de la cible comme source.


o Effet : Les réponses volumineuses sont renvoyées à

la cible, saturant la bande passante.


o Commandes d’attaque : Utiliser dig ou des scripts

spécifiques pour automatiser les requêtes DNS.


 NTP Amplification :
o Description : Envoi de requêtes "monlist" à des

serveurs NTP vulnérables en usurpant l'IP de la


cible.
o Effet : Amplification du trafic renvoyé à la cible.

o Commandes d’attaque : Utiliser ntpdc ou hping3 pour

interroger des serveurs NTP vulnérables.


 Memcached Amplification :
o Description : Utilisation des serveurs Memcached

non sécurisés pour amplifier les paquets envoyés à


la cible.
o Effet : Saturation extrême de la bande passante en
utilisant des réponses Memcached massives.
o Outils : Scripts spécifiques pour générer des
requêtes vers Memcached.

3. Attaques par épuisement de ressources


applicatives
Ces attaques ciblent des applications web, bases de données,
ou des serveurs applicatifs pour épuiser leurs ressources.
 HTTP Flood :
o Description : Envoi massif de requêtes HTTP pour

surcharger un serveur web.


o Effet : Saturation du serveur, empêchant les

utilisateurs légitimes de se connecter.


o Outils : Slowloris, LOIC, HOIC.

bash
Copier le code
slowloris [IP_cible] -p [port] -t 1000

 Slowloris :
o Description : Envoi de requêtes HTTP partielles qui

ne se terminent jamais, forçant le serveur à


maintenir des connexions ouvertes.
o Effet : Épuisement des connexions disponibles sur

le serveur cible.
o Commandes d’attaque : Utiliser le script slowloris.

 RUDY (R-U-Dead-Yet) :
o Description : Envoi de requêtes HTTP POST lentes

pour garder la connexion active sans achever le


transfert de données.
o Effet : Saturation des ressources du serveur avec des
connexions lentes.
o Outil : Script RUDY.

4. Mécanismes de défense contre les


attaques DoS/DDoS
a. Filtres de trafic et pare-feux
 Pare-feu de couche 3 et 4 : Peut filtrer le trafic en
fonction de l’adresse IP, du port ou des protocoles.
 Systèmes de détection des intrusions (IDS) : Surveille
les paquets pour identifier les motifs d’attaque.
 Exemple : Configurer un pare-feu pour bloquer les
adresses IP suspectes.
b. Limitation du débit et rate limiting
 Throttling : Limite le nombre de connexions par IP,
réduisant l’impact d’un flood.
 Rate limiting : Contrôle le nombre de requêtes autorisées
par minute sur une application.
 Exemple : Configurer un serveur web pour limiter le
nombre de requêtes HTTP par seconde.
c. Utilisation de Content Delivery Networks (CDN)
 Avantages des CDN : Distribuent le contenu sur
plusieurs serveurs, réduisant l’impact d’une attaque
DDoS.
 Protection intégrée : Les CDN offrent souvent une
protection DDoS intégrée.
 Exemple : Utiliser des services comme Cloudflare pour
absorber et filtrer le trafic malveillant.
d. Détection et filtrage d’amplification
 Détection de l’amplification : Surveiller les requêtes
vers les services NTP, DNS, Memcached pour détecter
les attaques.
 Filtrage au niveau réseau : Configurer des ACL
(Access Control Lists) pour limiter les sources de
requêtes réfléchies.
 Exemple : Bloquer les paquets ICMP de taille excessive
et les requêtes DNS amplifiées.

5. Solutions avancées de défense DDoS


 Scrubbing centers : Centres de filtrage qui analysent et
nettoient le trafic avant qu’il n’atteigne le réseau cible.
 Systèmes basés sur l’IA : Détectent les anomalies en
analysant le comportement du trafic.
 Reverse proxies : Cachent l’adresse IP réelle du serveur,
rendant les attaques plus difficiles.
 Outils anti-DDoS spécialisés : Arbor Networks, Akamai
Kona, Radware, etc., qui offrent des solutions de
détection et de mitigation DDoS.

Les attaques DoS et DDoS représentent une menace constante


pour les systèmes et les réseaux, et chaque type d'attaque
exploite une faiblesse spécifique. En comprenant les
mécanismes de ces attaques, les outils et commandes utilisés,
et les techniques de défense appropriées, il est possible de
mettre en œuvre des mesures pour minimiser les risques et
protéger efficacement les systèmes contre les

Vous aimerez peut-être aussi