Qu'est-ce qu'une attaque par déni de service (DoS) ?
Une attaque par déni de service (DoS) est une attaque ciblée qui inonde délibérément un réseau de fausses requêtes dans le but de perturber les activités de l'entreprise. Lors d'une attaque DoS, les utilisateurs sont incapables d'effectuer des tâches courantes et nécessaires, comme accéder à la messagerie électronique, à des sites web, à des comptes en ligne ou à d'autres ressources gérées par un ordinateur ou un réseau compromis. Si la plupart des attaques DoS n'entraînent pas de perte de données et sont généralement résolues sans versement de rançon, elles coûtent du temps, de l'argent et d'autres ressources à l'entreprise pour le rétablissement des activités stratégiques.
Déroulement d'une attaque DoS
Une attaque DoS consiste le plus souvent à inonder l'hôte ou le réseau ciblé de demandes de services illégitimes. Elle se caractérise par l'utilisation d'une fausse adresse IP qui empêche le serveur d'authentifier l'utilisateur. Le traitement de cette vague de fausses requêtes submerge le serveur, provoquant son ralentissement et parfois même son plantage, et empêche les utilisateurs légitimes d'y accéder. Pour qu'une attaque de ce type soit fructueuse, le cyberattaquant doit disposer de plus de bande passante que sa cible.
Types d'attaques DoS
Il existe deux types principaux d'attaques DoS : celles qui font planter les services web et celles qui les inondent. Ces deux catégories sont à leur tour subdivisées en plusieurs sous-ensembles, qui varient selon les méthodes utilisées par le cyberadversaire, l'équipement ciblé et la méthode d'évaluation de l'attaque.
Débordement de mémoire tampon (buffer overflow)
Le débordement ou dépassement de mémoire tampon est la forme la plus fréquente d'attaque DoS. Dans ce type d'exploit, le cyberadversaire dirige vers une adresse IP plus de trafic que le système n'est à même de traiter. La machine ciblée consomme alors toutes les mémoires tampons disponibles ou la totalité des régions de la mémoire de stockage qui conservent temporairement les données pendant leur transfert au sein du réseau. Un débordement de mémoire tampon se produit lorsque le volume de données dépasse la bande passante disponible, notamment l'espace disque, la mémoire ou le processeur, ce qui provoque un ralentissement des performances et le plantage du système.
Attaques par inondation (flood attacks)
Les attaques par inondation consistent à envoyer au système un volume de trafic impossible à gérer par le serveur, ce qui provoque son ralentissement et parfois son arrêt. Les attaques par inondation les plus fréquentes sont les suivantes :
Les attaques par inondation ICMP, communément appelées attaques smurf ou ping, exploitent des terminaux réseau mal configurés. Dans ces attaques, les cyberadversaires déploient des paquets frauduleux, ou fausses adresses IP, qui envoient une commande ping à chaque terminal connecté au réseau ciblé sans attendre de réponse. La gestion par le réseau de cette augmentation du trafic provoque un ralentissement, voire l'arrêt, du système.
Une attaque par inondation SYN consiste à envoyer une demande de connexion à un serveur, sans jamais établir cette connexion avec l'hôte. Ces demandes continuent d'inonder le système jusqu'à ce que tous les ports ouverts soient saturés, ce qui empêche les utilisateurs légitimes d'accéder au serveur.