background preloader

Déni de service

Facebook Twitter

Attaques contre le DNS et limitation de trafic. L'actualité fait en ce moment la part belle aux attaques par déni de service utilisant le DNS. On observe des rapports, de longues discussions sur des listes comme NANOG ou dns-operations, mais aussi via des canaux plus discrets. Une technique est souvent discutée : la limitation de trafic, technique qui était pourtant généralement ignorée autrefois. D'abord, un point très important : il n'y a pas un type d'attaque avec des caractéristiques bien définies. Il y a des tas de sortes d'attaques en ce moment, visant des cibles très différentes, et avec des outils bien distincts.

Il ne faut donc pas essayer de trouver le coupable, ni de mettre au point une technique qui fera face efficacement à toutes les attaques. Quelles sont les attaques par déni de service possibles via le DNS ? (Pour des raisons évidentes, je ne parle que de celles qui sont publiques et connues.) Le méchant peut en vouloir à un serveur DNS donné, serveur récursif ou bien faisant autorité.

Attaque par déni de service. Un article de Wikipédia, l'encyclopédie libre. Une attaque par déni de service (denial of service attack, d'où l'abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser.

Il peut s'agir de : l’inondation d’un réseau afin d'empêcher son fonctionnement ;la perturbation des connexions entre deux machines, empêchant l'accès à un service particulier ;l'obstruction d'accès à un service à une personne en particulier. L'attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Les attaques en déni de service se sont modifiées au cours du temps (voir historique). Tout d'abord, les premières n'étaient perpétrées que par un seul « attaquant » ; rapidement, des attaques plus évoluées sont apparues, impliquant une multitude de « soldats », aussi appelés « zombies ».

Par exemple : SYN flood. Un article de Wikipédia, l'encyclopédie libre. Principe[modifier | modifier le code] Lors de l'initialisation d'une connexion TCP entre un client et un serveur, un échange de messages a lieu. Le principe est celui du three-way handshake, qui, dans le cas d'une connexion normale sans volonté de nuire, se déroule en trois étapes : le client demande une connexion en envoyant un message SYN (pour synchronize) au serveur ;le serveur accepte en envoyant un message SYN-ACK (synchronize-acknowledgment) vers le client ;le client répond à son tour avec un message ACK (acknowledgment) ; la connexion est alors établie. Schéma d'une connexion normale entre un client et le serveur. Un client malveillant peut supprimer la dernière étape et ne pas répondre avec le message ACK. Après l'étape 2, la connexion est semi-ouverte et consomme un certain nombre de ressources du côté du serveur (mémoire, temps processeur, etc.).

Schéma du SYN flood. Historique[modifier | modifier le code] Attaque par déni de service. Attaque en déni de service : les preuves à fournir.