Les attaques DDoS de type « low & slow » brisent les stéréotypes

Les attaques DDoS de type "low & slow" brisent les stéréotypes

Ceux qui pensent que les attaques DoS/DDoS destructrices sont celles qui utilisent la force brute et génèrent un volume massif de trafic ont tort. Les attaques DDoS de faible puissance et lentes ("Low & Slow" dans la terminologie Radware) qui visent la couche applicative sont également très dangereuses. Elles exploitent une tactique masquée et sont capables de provoquer des dégâts importants, même si l'auteur de l'attaque possède des ressources limitées. Détecter et prévenir de telles attaques n'est pas une mince affaire. Ronen Kening, expert chez Radware, a tenté de vulgariser les problèmes liés aux attaques de types "low & slow" que doivent résoudre les experts en protection contre les attaques DDoS.

Attaques de faible puissance (low-rate)

L'individu malintentionné vise à mettre sa cible hors ligne, mais sans faire beaucoup de bruit. Dans la majorité des cas, ce genre d'attaque consiste à maintenir les connexions sur le serveur ouvertes. L'effet désiré peut être obtenu à l'aide de méthodes très répandues comme l'envoi de requêtes HTTP incomplètes, de paquets de données de faible volume ou l'établissement de connexions persistantes. Les attaques de type low-rate alternent souvent avec des pics de trafic parasite et ce genre d'attaque est très difficile non seulement à bloquer, mais aussi à détecter.

Attaques lentes (slow-rate)

Le trafic généré lors de l'attaque qui vise à épuiser les ressources de la victime respecte les normes du protocole. Sa vitesse est modeste, mais ne dépasse pas les limites acceptées. Par conséquent, les solutions de protection considèrent ce trafic comme du trafic légitime. Seule une analyse comportementale peut mettre à jour la véritable nature de ce trafic : étudier le réseau pendant les périodes de fonctionnement normal et comparer les résultats aux chiffres obtenus pendant une attaque de type slow-rate.  

Outils

A la différence de nombreux types d'attaques par déni de service qui requièrent l'intervention concertée de plusieurs centaines de bots, une attaque Low & Slow contre la couche applicative est menée depuis un seul ordinateur et est fatale pour la victime. Les individus malintentionnés automatisent ces attaques à l'aide d'outils spéciaux et ils privilégient dans la majorité des cas R.U.D.Y ou Slowloris.

R.U.D.Y (R U Dead Yet?) génère des requêtes POST, puis, les remplit pendant longtemps, un octet à la fois, en alternant périodes d'activité et période d'inactivité. En conséquence, tous les flux de travail de la victime sont bloqués car ils sont occupés par le traitement interminable des fragments POST d'un octet.  

Le client HTTP Slowloris mérite bien son nom : il est lent et gourmand. Le client maintient des connexions ouvertes avec le serveur attaqué en envoyant des requêtes HTTP incomplètes. Ensuite, selon une fréquence déterminée, il commence à envoyer les en-têtes et le serveur épuise rapidement les limites de la pile applicative et ne répond plus aux utilisateurs. Pour mener à bien une attaque DDoS, Slowloris n'a besoin que de 200 requêtes envoyées selon une fréquence définie au cours d'une longue période.

Protection

Il est possible de détecter une attaque Low & Slow sur la couche applicative uniquement grâce aux données fournies par un système de surveillance en temps réel, principalement les rapports sur l'utilisation et la répartition des ressources. Dans le cadre de la surveillance en continu, l'outil de protection qui tient l'inventaire des ressources peut détecter aisément tout écart par rapport à la norme tel que de "simples" connexions prolongées ouvertes ou un processus non achevé dans la pile applicative qui aurait dû être terminé depuis longtemps déjà. 

Pour obtenir cette surveillance, il est possible d'intégrer les mécanismes de protection au serveur. Une autre option consiste à doter la solution de protection d'une fonctionnalité d'analyse du comportement des connexions ouvertes sur le serveur et d'émulation des ressources de la pile applicative sans connexion directe au serveur. Grâce à la technologie d'analyse adéquate du comportement, l'utilisation inadéquate du réseau par les ressources d'une application peut être mesurée avec précision. Une fois que l'activité suspecte a été détectée, il est possible de remonter à la source et d'adopter les mesures qui s'imposent.

Ronen Kening conclut en affirmant que les méthodes Low & Slow mettent fin à quelques uns des stéréotypes les plus répandus sur les attaques par DDoS. Malgré la simplicité relative des attaques Low & Slow et les ressources minimales requises pour les organiser, ce genre d'attaque se répand. Et la protection contre les types d'attaque décrits ci-dessus requiert une infrastructure de sécurité digne de ce nom et une équipe dédiée d'experts capables d'identifier la tactique dissimulée de l'attaque en temps réel.

Why Low & Slow DDoS Application Attacks are Difficult to Mitigate http://blog.radware.com/security/2013/06/why-low-slow-ddosattacks-are-difficult-to-mitigate/

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *