Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Stephen Gates, Corero Network Security : les attaques en DDoS demandent toujours moins de bandes passantes

février 2013 par Marc Jacob

Lors des Information Security Days à Luxembourg, Stephen Gates, Security Evangelist & Senior Expert de Corero Network Security a présenté sa classification des attaques de DDoS. Selon son analyse, les attaques par DDoS les plus fréquentes désormais sont les attaques applicatives qui demandent de moins en moins de ressources informatiques ce qui les rend de plus en plus difficile à parer.

Stephen Gates a recensé 5 types de DDoS plus deux qui ont un lien plus moins directes.

La première attaque, la plus classique, concerne les couches basses du réseau et réalise un envoi massif de requête avec un volume de paquets très importants. Ainsi, les serveurs sont très rapidement saturés. Elle demande l’utilisation massive de la bande passante et est ainsi très facile à repérer.

La seconde attaque appelée Reflective DDoS Attacks envoi une requête qui demande au serveur de renvoyer de très nombreux de paquets sur le serveur agresser. Cette attaque demande donc un peut moins de ressource pour la mener à bien.

La troisième attaque est l’OutBout DDoS Attacks : Elle fonctionne à partir d’un lien cliquable adresse à une première une victime qui offre la possibilité à l’attaquant d’installer un outil pour transformer la machine en vecteur d’attaque. Le provider de la victime ne peut pas s’en apercevoir, en particulier ceux qui ont des serveur en Cloud qui ne vérifie quasiment jamais le trafic sortant. Aux Etats-Unis certaines Universités ont été les victimes de ce type d’attaques.

Le quatrième peut être perpétrer à l’aide d’un simple Smartphone à partir d’une application téléchargeable gratuitement. Cette application appelée LOIC pour Low Orbit Ion Cannon a été développée par les Anonymous. elle permet de faire des attaques de DDoS sur les couches applicatives. Cette catégorie consomme beaucoup moins de bandes passantes. Aujourd’hui, elles sont utilisées dans 80% des cas de DDoS environ selon les statistique entre autre du KasperskyLabs, car elles sont beaucoup moins repérables.

Enfin le cinquième type d’attaque est le "Spécial Crafted Packt DDOS". Elle prend encore moins de bande passante car elle est spécialement conçu pour des applications spécifiques. Par exemple Appache Killer permettait avec un paquet de faire écrouler un serveur.

Les deux derniers types ne sont pas vraiment du DDoS, mais les fournisseurs de protection anti-DDoS dans le Cloud ne les repèrent pas : il s’agit des phases de reconnaissance avant attaque (qui scannent les ports en préparation de l’offensive) et les AET.

Le chalenge est de pouvoir parer tous ces types d’attaque, c’est la couverture que nous proposons, à la frontière de l’entreprise. Pour optimiser la protection contre les attaques volumétriques, nous pouvons donner tout un ensemble d’informations à l’opérateur de l’entreprise pour qu’il puisse également bloquer en amont les attaques volumétriques et protéger les autres clients utilisant le même routeur opérateur. Les utilisateurs peuvent aussi acheter des services en mode MSSP relativement chers et n’offrant pas une couverture aussi complète qu’un équipement dédié, sur site... Le Gartner recommande d’évaluer son fournisseur d’accès en particulier contre quoi il protège, en combien de temps il protège, d’évaluer les services dans le Cloud pour savoir contre quoi il protège et pour combien. Par contre, le Gartner conseille de déployer des équipements anti-DDoS sur le réseau. En effet, seules les solutions sur le réseau de l’entreprise peuvent parer l’ensemble des attaques.

Il a conclu son intervention par la citation d’un responsable d’un banque américaine : "si plusieurs gros clients d’un ISP sont attaqués en même temps, il est important d’avoir sa propre protection pour pouvoir attendre que la demande soit prise en compte. En fait on se trouverait dans une sorte de déni de servie sur le support de l’ISP."


Voir les articles précédents

    

Voir les articles suivants