Les chercheurs de Proofpoint, société leader en cybersécurité et conformité, ont publié les dernières activités du groupe TA444, un acteur de la menace affilié à la Corée du Nord, lié notamment à d’autres activités publiques telles que APT38, Stardust Chollima et COPERNICIUM. Courant 2022, ce dernier a escroqué de nombreuse victimes récoltant l’équivalent de plus d’un milliard de dollars en cryptomonnaies.
Les chercheurs de Kaspersky Security Services ont partagé leurs prédictions concernant les cybermenaces auxquelles les grandes entreprises et les structures gouvernementales pourraient être confrontées cette année. Parmi ces menaces, on retrouve notamment les cybercriminels qui instrumentalisent les médias pour faire chanter des organisations, ceux faisant état de soi-disant fuites de données et les agents malveillants […]
Les attaques DoS ou DDoS signifie déni de service. Le but est d’inonder de requêtes un service internet afin de le mettre hors ligne. C’est un type de cyberattaque très fréquents dont les motivations sont diverses : extorsion, revanche, mettre le concurrence hors ligne, ….
Dans cet article, nous verrons comment fonctionnent les attaques DDoS, leurs motivations ainsi que des liens pour s’en protéger.
Qu’est-ce qu’une attaque DDoS
Les Attaques DoS ou DDoS (denial of service attack – en français Déni de Service) sont des attaques qui visent à paralyser un service et le rendre indisponible. Il s’agit de noyer le service sous une multitude de demande en continue afin que celui-ci ne puisse plus répondre normalement. Les motivations de ces attaques peuvent être multiples.
Définition :
DoS (denial of service attack) : c’est une attaque avec une seul source non distribué.
DDoS (distributed denial of service attack) : L’attaquant utilise un réseau d’ordinateur et objets internet sous son contrôle pour multiplier les sources et la force de l’attaque. Plusieurs différentes techniques sont possibles pour amplifier l’attaque.
Voici un schéma simplifié d’une attaque DoS distribuée (DDOS). Bien sûr, il existe plusieurs techniques différentes.
Pour y parvenir les attaquants utilisent des machines infectées qui font partie d’un botnet (réseau de machines infectées). L’attaquant peut utiliser un botnet ou plusieurs botnets selon les besoins.
Les types d’attaques DDoS
En clair donc, tout protocole utilisé (partage de fichiers par Torrent, partage de fichiers sur Windows) utilisent des protocoles applicatifs définies. Ils s’appuient, eux sur des protocoles de communications : TCP, UDP, ICMP, etc. Tous ces protocoles ont des fonctionnements très stricts, définis, certains sont décrits dans des spécifications (requests for comments (RFC)).
Pour bien comprendre le fonctionnement de ces attaques DoS, il faut connaître le fonctionnement de tous ces protocoles. Il existe de multiples sites qui expliquent en détail tout cela, notamment par exemple, les étapes d’un établissement de connexion TCP. Voici une image avec les étapes d’une ouverture de connexion TCP et la fermeture.
Voici maintenant quelques exemples d’attaques DDoS.
Il s’agit d’envoyer une multitude de connexions TCP avec un drapeau SYN. Le serveur va tenter de répondre par un SYN ACK, ce qui va donc provoquer de l’upload. De plus, l’adresse IP utilisée est souvent falsifié (Spoof Syn Flood). Le serveur ne pas recevoir de réponse au SYN ACK et va garder en mémoire la demande, la couche réseau du serveur va donc être vite saturé, si la configuration du serveur est petit et mal configuré, les ressources systèmes peuvent être vite saturées. Il peut même planter. Ainsi toute demande légitime risque de ne pas obtenir de réponse et donc l’établissement de la connexion sera impossible. Cela inclue aussi les tentatives de connexion distante au serveur par l’administrateur.
Le protocole UDP est un protocole réseau sans vérification d’erreur. De plus, il est un protocole sans négociation de connexion par rapport à TCP. De ce fait, il est plus pratique pour noyer la cible sous de multiples requêtes réseau. La plupart des attaques DoS par amplification utilise le protocole UDP.
Enfin il faut savoir que les protocoles applicatifs peuvent être utilisés sous la forme d’amplifications, ce qui fut la mode autour de 2009 avant que des mesures correctrices soient prises. La méthode consiste à envoyer des paquets falsifiées avec l’IP cible à des services (DNS, NTP, etc). Ces derniers vont répondre à la cible mais avec un nombre de paquets multipliées selon le facteur d’amplification du protocole applicatif. Par exemple, DNS pouvait amplifier de 28 à 50, si vous envoyez un seul paquet, 28 ou 50 seront envoyés à la cible. A partir de quelques machines, vous pouvez arriver à des attaques assez conséquentes.
Les attaquants cherchent alors des serveurs ou IoT vulnérables servant de réflecteurs.
Mars 2018, des serveurs WEB mal configurés utilisant memcached ont permis une attaque par amplification atteignant 1,7 Tbps. Il s’agit d’un nouveau record. Voici les listes des taux d’amplification selon les protocoles.
Les protocoles applicatifs ont été modifiées afin d’atténuer ce type d’attaque, les serveurs doivent être mis à jour avec les dernières versions pour palier à cela. Il reste bien entendu des milliers de service non à jour qui peuvent encore être utilisés.
Attaques L7 et HTTP Flood : le but est d’envoyer des requêtes à un serveur WEB. En clair de faire charger par des clients une ou des pages WEB spécifiques, de préférence, une page qui demande des ressources système. Le serveur croulera sous les demandes et ne pourra fournir les pages WEB aux clients légitimes. Vous trouverez des détails sur la page DoS : Attaque type Slowloris (http flood).
Exemple en vidéo d’une attaque SlowLoris et SYN :
Exemple d’une petite attaque DoS en UDP… On voit les paquets droppés sur le firewall :
Les sources des attaques par déni de service sont des diverses. Mais on peut distinguer deux types de sources :
Les équipements piratés utilisés de lancer des attaques depuis ces ordinateurs contrôlés. On parle de botnet.
Des sites WEB ou services WEB mal sécurisés et non à jour. Dans le paragraphe précédent, je parlais de l’amplification qui permet d’utiliser des services internet comme relai pour effectuer et amplifier une attaque DDoS. Il en existe d’autres.
Ordinateurs, sites WEB, IOT vulnérables
Le cas 1 numéro, vous le connaissez de manière générale. Votre ordinateur a été infecté par un logiciel malveillant, le pirate en a le contrôle et peut faire ce qu’il veut. Par exemple, lancer des campagnes de SPAM, ou DoS. Il s’agit donc de botnet et réseau de Zombies.
Par exemple, ci-dessous, on constate de multiples connexions HTTP vers un serveur WEB. Il s’agit d’une attaque HTTP pour saturer le serveur WEB.
Il existe la même chose avec les serveurs WEB mal sécurité. De nombreux hébergeurs proposent des solutions d’hébergement pas très chers. Ceci concourt à la démocratisation d’internet… malheureusement les personnes qui administrent ces sites WEB n’ont pas forcément les connaissances techniques. Des CMS comme WordPress ou Joomla étant très prisés, ils sont très visés.
Les services WEB piratés sont beaucoup plus intéressants que les ordinateurs car :
Ils sont disponibles 24/24, alors qu’un ordinateur peut être éteint par son propriétaire. Dans un botnet, si les cibles sont dans le monde entier.. avec le décalage horaires, certains ordinateurs peuvent être éteint au moment du pic d’activité de la cible.
Les services WEB ont des bandes passantes plus conséquentes et donc peuvent faire plus de ravages, surtout si elle sont dans le même Datacenter que la cible.
Le but est simple avoir de la chair à canon pour que les attaques DoS soient de plus en plus conséquentes.
Les services mal conçus
Il reste le cas des erreurs de conception de sites WEB. Comme les services qui peuvent servir d’amplification, WordPress propose une fonction de “pingback“. Lorsqu’un article d’un site pointe vers un autre, automatique, sur le second, un commentaire de type pingback est créé avec le lien du premier site. Pour se faire, le premier site contacte le second avec le lien et le commentaire pingback est créé.
Il est alors possible à partir d’ordinateur piraté de contacter de multiples sites avec le lien du site que l’on veut attaquer. Ces sites WordPress vont alors contacter le site cible. Cela permet de multiplier les IPs source de contact et de tenter de noyer le site WordPress cible. D’où l’intérêt de maintenir sont WordPress à jour et sécurité :
Ceci est bien sûr qu’un exemple, il en existe bien d’autres.
Il faut aussi savoir que les problèmes de conception peuvent aussi être chez la cible. Des fonctions utilisés par les programmes les serveurs (PHP, Serveur WEB, CMS etc) peuvent être vulnérables à des attaques DoS. En envoyant certains type de données, cela peut provoquer des pics d’utilisation des ressources et permettent de mettre le site hors lignes. Des fonctionnalités mal programmées peuvent aussi être la cible.. Par exemple, sur un serveur WEB : un moteur de recherche mal conçu et non protégé en ne bloquant pas sur le nombre de requêtes peut mettre un site WEB HS, sans savoir besoin d’avoir énormément d’ordinateurs piratés pour effectuer cette attaque. En clair, il s’agit de se d’exploiter des vulnérabilités applicatives pour mettre hors ligne un service.
L’exploitation de vulnérabilités
Historiquement, les attaques DoS exploitaient généralement les vulnérabilités de sécurité présentes dans la conception des réseaux, des logiciels et du matériel. Ces attaques sont devenues moins fréquentes car les attaques DDoS ont une plus grande capacité de perturbation et sont relativement faciles à créer compte tenu des outils disponibles. En réalité, la plupart des attaques DoS peuvent également être transformées en attaques DDoS.
Toutefois il arrive que les attaques DoS tirent partie de vulnérabilités. Par exemple, nous l’avons vu l’inondation SYN est une variante qui exploite une vulnérabilité dans la séquence de connexion TCP. Elle peuvent aussi tirer partie de la saturation de mémoire tampon d’une application qui n’a pas été corrigée.
Le cas des revanches et revenge. Cela peut aller de simple crétins sur la toile, qui font des menaces sur les réseaux sociaux, tchat. A des gamers qui ont un VPS et tentent d’attaquer d’autres gamers. A l’aide d’un VPS, il est alors possible de mettre hors ligne une connexion ADSL en la saturant. On peut aussi payer des services DoS (voir paragraphe suivant).
Si on est plus proche de la cours d’école, cela reste tout de même très agaçant pour les cibles.
Les revanches ou autre méthodes de rétorsions peuvent aussi être utilisées, si un contenu ne plait pas ou faire payer quelqu’un selon son activité sur toile. Par exemple, malekal.com a été quelques fois attaquées selon mes activités de malwares.
Les raisons de profits sont les plus courantes. On peut alors distinguer plusieurs manières de faire de l’argent avec les attaques DoS.
Proposer des services DoS. Il est possible de proposer des services DoS. En clair l’internaute s’inscrit sur le service et paye pour la bande passante. Plusieurs offres selon la bande passante sont proposées. Par exemple, le groupe Lizzard Squad connu pour avoir effectué des attaques contre Sony et Xbox proposaient ce type de service avec environ 150 000 à 200 000 bots dont des routeurs piratés. Exemple ci-dessous d’offres de services DoS. On nomme ces derniers des Stresser et Booter DDoS.
Les prix varient environ autour de 38$ pour une heure d’attaque par mois.
Le chantage est aussi une autre méthode pour monétiser. Il s’agit de contacter des cibles, en leur demandant de payer une somme (souvent par bitcoin).. si le service ne paye pas, une attaque DoS sera effectuée contre ce dernier. Exemple de contact reçu de chantage DoS. La date peut être importante. Imaginez par exemple, une attaque DoS sur le site de la SNCF le jours de la sortie des billets de Noël ou Été.
Des sociétés peuvent avoir aussi recours aux attaques DoS afin de paralyser un concurrent. La société fait appel à des groupe pour mettre hors ligne le site afin de ternir la réputation. Cela peut être très tentant si les sociétés vivent du net.
Les sites de jeux : les sites de jeux sont aussi très visés par les attaques. Certains sites de jeux et notamment MineCraft peuvent rapporter de l’argent aux administrateurs. Le but est donc de tuer la concurrence.
Diversion
Les attaques DoS peuvent aussi être utilisées comme diversion. Il s’agit d’occuper les équipes de maintenance des sites sur ces attaques afin à côté d’effectuer des pirates. Cela est de plus en plus utilisé.
Quelques exemples :
2011 : Sony subit une attaque DDoS utilisées comme diversion pour voler des comptes PlayStation Network, Qriocity et Sony Online Entertainment.
Les attaques peuvent aussi avoir pour source des actes Hacktivisme. Il s’agit d’attaque de rétorsion selon les activités étatiques. Les anonymous sont les plus connues pour ces pratiques, avec diverses opérations régulières.
Ces motivations d’attaques DDoS sont très régulières.
Cyber-guerre
Par Cyber-guerre, on parle d’attaque d’un État vers un autre.
En 2007, l’Estonie, un pays très connecté, subit une attaque DDoS massive contre les sites étatiques, banques, journaux etc. Cela fait suite à tentative de déplacement d’une statue de bronze de soldats russes de la seconde guerre mondiale. Cette statue commémore le sacrifice des combattants soviétiques qui ont chassé les nazis de Tallinn en septembre 1944. Pour les russophones vivant en Estonie, ce sont des héros. Pour la majorité des Estoniens, c’est un symbole de l’« occupation » communiste. L’Estonie a accusé le gouvernement Russe d’être derrière cette attaque.
Parfois le hacktivisme et Cyber-guerre se touchent… La Corée du nord est souvent montrée du doigt. Un site anti-nucléaire visée par une attaque. La Corée du nord montrait du doigt.
Pour monsieur tout le monde, dès lors que l’attaquant a une bande passante plus importantes que la votre, il n’y aura pas grand chose à faire.
Mais si vous hébergez un site WEB par exemple, vous pouvez utiliser les CDN et Web Application Firewall (WAF). Ainsi il existe des solutions de protection. Voici quelques sociétés de protection Anti-DDoS :
Le load balancing permet d’équilibrer les charges ce qui peut aider à répartir l’attaque DoS pour la mitiger. L’article suviant présente la solution de load balancing de CloudFlare :
Alors que le début de la cyber guerre entre la Russie et l'Ukraine fêtera ses un an le 14 janvier et dans un contexte où le conflit sur le terrain ne progresse plus vraiment, John Fokker, responsable des investigation cyber pour Trellix, anticipe une hausse des cyberattaques russes contre l’Ukraine en ce début 2023
La semaine dernière, Sam Curry, un chercheur en sécurité des applications Web, a partagé les détails de failles détectées dans certains modèles de voitures de plusieurs grands constructeurs automobiles, tels que BMW, Land Rover, Mercedes-Benz et Toyota.
Le cybercrime est un monde en constante évolution, mais une chose est certaine : il n’est plus l’apanage de spécialistes en technologie. L’émergence de hackers débutants démontre que les seuils technologiques de la cybercriminalité ont baissé, mais aussi qu’une nouvelle génération de hackers décomplexés est en train d’inonder Internet. Une technologie plus facile à appréhender […]
Les experts de Kaspersky ont découvert que le groupe APT BlueNoroff dispose désormais de nouvelles souches de malware sophistiquées pour déployer ses attaques. Tribune Kaspersky – BlueNoroff, acteur bien connu du paysage de la menace ciblant les crypto-monnaies des entités financières dans le monde entier, vise notamment les sociétés de capital-risque, les start-ups crypto et […]
Ces dernières années, la montée en flèche de la demande en bande passante et en débit induite par le télétravail et l'augmentation des investissements dans les initiatives numériques a contribué à augmenter la charge de travail des équipes IT et réseau. Elle est également accentuée par un paysage de l'Internet des objets (IoT) en pleine expansion avec des milliards d'appareils. Qu'il s'agisse du déploiement d'une infrastructure modernisée ou de l'accélération de la 5G, les équipes réseau se sont montrées très performantes en matière de connectivité plus rapide et à fort volume.
Dans les articles précédents, je détaillais les types d’attaques Dos comme le Syn Flood, UDP Flood ou les attaques DoS par amplification. Parmi les autres types, on trouve aussi le HTTP Flood, une attaque DoS Layer 7. Il s’agit d’attaquant visant les serveurs WEB par une saturation HTTP.
Dans ce tutoriel, je vous explique ce qu’est le HTTP Flood, les méthodes et comment les mitiger.
Qu’est-ce que le HTTP Flood
Le HTTP Flood est une attaque qui vise à inonder un serveur WEB. Pour saturer le serveur WEB, l’attaquant en envoie des requêtes sur une ou plusieurs pages. Si le serveur WEB sature, il ne pourra plus délivrer les pages aux visiteurs. C’est donc une forme d’attaque DOS par déni de service visant à paralyser un site internet.
L’attaque est plus efficace lorsqu’elle oblige le serveur ou l’application à allouer le maximum de ressources possibles en réponse à chaque demande. Ainsi, l’auteur de l’attaque cherchera généralement à inonder le serveur ou l’application de multiples requêtes qui nécessitent chacune un traitement aussi intensif que possible. Pour cela, l’attaquant peut avoir recours à des botnet (réseau de machines infectées).
Ci-dessous, le journal d’un serveur WEB avec une IP spécifique qui envoie plusieurs requêtes par secondes.
On utilise aussi le terme attaque DOS Layer 7 (ou L7), car le protocole HTTP est un protocole de la couche 7 du modèle OSI.
La principale difficulté lors d’une attaque est de différencier les requêtes HTTP légitimes, des requêtes HTTP malveillantes.
Les méthodes des attaques HTTP Flood sur un site WEB
Méthode GET, POST, HEAD
L’attaque peut jouer le type de méthode (GET, POST, HEAD).
Mais les attaques par inondation HTTP utilisant des requêtes POST ont tendance à être les plus efficaces en termes de ressources du point de vue de l’attaquant, car les requêtes POST peuvent inclure des paramètres qui déclenchent un traitement complexe côté serveur. D’autre part, les attaques basées sur les requêtes HTTP GET sont plus simples à créer et peuvent s’étendre plus efficacement dans un scénario de botnet.
Échapper aux limite de taux du serveur WEB
Ici c’est une attaque particulièrement inefficace, car elle est très simple à contrer et bloquer. Un serveur WEB peut très facilement détecter trop de requêtes en un court laps de temps et bloquer l’accès au site. On parle de taux de limite en anglais rate limit. Il est même possible de bloquer entièrement l’IP avec fail2ban. Bien entendu, cela peut fonctionner contre un site WEB mal préparé.
Ainsi une bonne attaque DoS L7 doit pouvoir fournir beaucoup d’IP et espacer les requêtes entre chaque IP pour que le serveur WEB ne la bloque. Par exemple :
IP1 IP2 IP3 IP4
Puis on boucle là dessus. Toutefois, il vaut mieux éviter de boucler dans un ordre particulier car on peut alors détecter automatiquement l’attaque à travers un modèle (pattern).
Ainsi pour une attaque DoS L7, il faut donc un botnet assez conséquent.
Cibler les pages WEB qui utilisent le plus de ressources
Ensuite, il faut viser les pages WEB qui demandent des ressources. Il est assez idiot d’attaquer la page d’index d’un site WEB comme on le voit souvent. Il vaut mieux par exemple viser le moteur de recherche du site puisque ce dernier effectue des interrogations SQL. Ainsi, si vous ne parvenez pas à faire tomber le site WEB, vous pouvez mettre hors de service la base de données. Le site va mal fonctionner.
Ce sont donc des emplacements du site à protéger en priorité car très vulnérables.
Contourner les caches
Certains sites internet ont de systèmes de cache. On peut en installer sur WordPress ou utiliser en amont Varnish ou encore des CDN. Jouer sur les paramètres URLs peuvent permettre de contourner les caches pour maximiser l’attaque DoS L7.
Comment mitiger les attaques HTTP flood
Pour les serveurs en Linux, vous pouvez utiliser des règles iptables spécifiques et fail2ban. Toutefois, si l’attaque est importante ou sophistiquées, cela ne fonctionnera pas. La meilleure solution reste l’utilisation d’un WAF comme Cloudflare, Sucuri, Imperva.
Les cybercriminels en raffolent : les attaques par écrémage (ou “skimming” ou “Magecart”) ont le vent en poupe ces dernières années pour dérober les données sensibles associées aux cartes de paiement de leurs victimes. A la clé, ce sont l’ensemble des entreprises de vente en ligne qui sont exposées. Afin de lutter contre ce nouveau risque, les acteurs du e-commerce ont tout intérêt à entamer sans attendre leur parcours de mise en conformité.
L’année 2022 n’a pas été de tout repos, et a même été particulièrement riche en émotions. Les entreprises et les gouvernements ont été confrontés à de nouveaux défis émanant de la cyber-guerre Russo-Ukrainienne, qui impliquaient pour la première fois des cyber opérations à grande échelle.
Les tensions géopolitiques en Europe et dans le monde ne cessent pas d’augmenter : Le conflit en Ukraine, les tensions turco-kurde, les tensions entre la Chine et Taiwan nous donnent un aperçu de ce qui nous attend les mois à venir... Cependant si les conflits semblaient s’arrêter sur le terrain, des risques plus cachées font surface et menacent l’entier système sociétale.
Une attaque par déni de service distribué ou DDoS est l’une des cyberattaques les plus dangereuses auxquelles les entreprises en ligne sont confrontées quotidiennement. L’amplification peut s’expliquer par des mots simples : augmentation, intensification, grossissement, etc. Cela permet des attaques DOS importantes.
Dans ce tutoriel, je vous explique ce que sont les attaques DoS par amplification.
Qu’est-ce qu’une attaque DoS par amplification
Une attaque par amplification DDoS est une cyberattaque volumétrique et par réflexion. Elle se produit lorsque les auteurs profitent des serveurs vulnérables pour submerger un réseau, un site web, une application, un service en ligne ou un serveur avec une quantité de trafic amplifiée. Cela conduit la victime à un état inaccessible (déni de service).
Pour cela, les attaques cherchent des réflecteurs. Ce sont des serveurs sur internet qui font tourner un service aux clients (DNS, NTP, SNMP, IoT, jeux, etc.). Un exemple de réflecteur peut être un serveur DNS mal configuré (ou laissé dans un état par défaut) ou un serveur DNS public configuré intentionnellement pour fournir une récursion ouverte aux clients de l’Internet. Dans tous les cas, un réflecteur n’a pas l’intention de faire partie de l’attaque DDoS.
Ces méthodes d’amplifications peuvent causer de sérieuses perturbations. Les attaquants, présumés chinois, de l’Operation Distributed Dragon installent des codes malveillants sur des serveurs compromis afin de terrasser leurs victimes. Certains de ces programmes sont détectés comme étant : Linux/Dnsamp
L’attaque DoS par amplification : comment ça marche ?
Des attaquants lancent une attaque DDoS en inondant un réflecteur de requêtes qui semblent être une demande de service légitime. Cependant, le trafic réseau contient une adresse IP source usurpée d’une victime, par exemple un serveur web. L’usurpation d’adresse IP est effectuée pour deux raisons. Premièrement, elle permet de dissimuler l’identité de l’attaquant. Deuxièmement, la réponse à une requête envoyée par un réflecteur à la victime est beaucoup plus importante que la requête originale.
Par exemple, dans le cas d’une attaque DDoS DNS amplifiée, une réponse à une requête contient de nombreuses adresses IP pour le domaine résolu. Cela rend la réponse asymétrique en termes de bande passante consommée. Par conséquent, un réflecteur amplifie l’attaque DDoS, consommant la bande passante de la victime beaucoup plus rapidement.
Ci-dessous un exemple de Flood UDP par un DNS Amplification. Les requêtes proviennent de 8.8.8.8, le serveur DNS de Google.
Quels sont les protocoles utilisés dans les attaques DoS par amplification
Certains protocoles sont privilégiés pour mener ce type de cyberattaque :
Domain Name System (DNS)
Network Time Protocol (NTP)
Character Generator Protocol (CharGEN)
Simple Service Discovery Protocol (SSDP)
Routing Information Protocol ver.1 (RIPv1)
Memcached
TP-240 VoIP (Mitel System)
En général, les protocoles réseaux utilisent UDP qui permet des attaques plus importantes que TCP. Cela vient du fait qu’UDP est un protocole de couche de transport sans connexion, ce qui signifie qu’aucune poignée de main n’est effectuée pour établir la communication. La réponse réfléchie et amplifiée par un réflecteur cible une victime qui doit la traiter d’une manière ou d’une autre.
Pour illustrer, voici une liste non-exhaustive de protocoles avec leurs taux respectifs d’amplification.
Protocole
Facteur d’amplification bande passante
DNS
28 à 54
NTP
556,9
SNMPv2
6,3
NetBIOS
3,8
SSDP
30,8
CharGEN
358,8
QOTD
140,3
TCP Middlebox
65
BitTorrent
3,8
Kad
16,3
Quake Network Protocole
63,9
Steam Protocol
5,5
Multicast DNS (mDNS)
2 à 10
RIPv1
131,24
Portmap (RPCbind)
7 à 28
Facteur d’amplification des attaques DOS par protocole
On voit que CharGEN, QOTD, DNS, RIPv1, NTP, SSDP ont des taux d’amplification des plus importants. Très souvent, les attaques sont du type DNS Amplification, SSDP ou NTP Amplification car les serveurs vulnérables sont plus courants sur internet. On appelle ces derniers des réflecteurs. Il est alors facile de trouver un réflecteur. Les failles dites “protocolaires”, qui touchent directement le protocole, ne sont pas aisées à colmater.
Essentiellement, la plupart de ces protocoles permettent des attaques DoS en UDP.
Comme pour les autres types d’attaques, il est possible d’effectuer une attaque DDOS dites attaques DOS distribuée. Pour cela, l’attaque va utiliser un ou plusieurs botnets.
Il ordonne à des milliers de bots d’envoyer des requêtes à un certain nombre de réflecteurs en parallèle. Cela augmente considérablement le trafic d’attaque et permet de dissimuler l’identité de l’attaquant. Pour augmenter le volume des attaques, les attaques DDoS simples, exploitant divers protocoles d’application tels que DNS, NTP, SNMPv2 et autres peuvent être combinées et menées simultanément.
Ces attaques DoS sont extrêmement dévastatrices car elles peuvent atteindre 1,7 Tbps (Tetra bytes packets par secondes).
Tanium, éditeur de l’unique solution de converged endpoint management (XEM) du marché, publie les résultats d’une enquête révélant que les attaques ciblant les employés sont principale cause d’incidents évitables de cybersécurité.
La cybersécurité ne se limite pas à se protéger de cyberattaques externes. Lorsqu’on pense à un cybercriminel, on imagine un personnage inquiétant, penché sur un clavier dans un lieu sombre et lointain. Or dans la réalité, les menaces les plus fréquentes pour une entreprise sont bien plus proches qu’on ne le pense. En effet, bien souvent les risques proviennent de l’intérieur, que ce soit de façon accidentelle ou intentionnelle. Mieux connaître ces menaces, c’est déjà les anticiper et mettre toutes les chances de son côté pour s’en prémunir.
Avec les modifications de ces dernières années, l’instabilité s’est créée dans les entreprises. Les pirates ont bien accueilli ce changement et ont profité des vulnérabilités et des failles de sécurité des entreprises. Dans cette tribune notre expert, revient sur les technologies à la rescousse du réseau des entreprises, telles que SASE et SD-WAN.
Trellix, le spécialiste de la cybersécurité et pionnier dans la détection et la réponse étendues (XDR), publie aujourd'hui son “Threat Report: Fall 2022” qui se penche sur les tendances en matière de cybersécurité et les méthodes d'attaque utilisées au troisième trimestre 2022.
Les attaques exploitant Microsoft SQL Server ont augmenté de 56 % en septembre 2022 par rapport à la même période l'année dernière. Les agents malveillants continuent à utiliser une attaque fréquemment mise en œuvre, employant le SQL Server de Microsoft pour tenter d'accéder aux infrastructures informatiques des entreprises. Les détails techniques de l'un de ces incidents ont été analysés et rapportés dans le nouveau rapport Managed Detection and Response de Kaspersky.
Les entreprises, organisations et structures publiques sont aujourd’hui toutes confrontées à la cybercriminalité. Dans ce contexte, les cyber attaques sont responsables de nombreux problèmes comme une perte de réputation, de CA, une rupture d’activité, etc. L’industrie du e-commerce ne fait pas exception.