Infos

Les attaques DDoS de type « low & slow » brisent les stéréotypes

Les attaques DDoS de type "low & slow" brisent les stéréotypes

Ceux qui pensent que les attaques DoS/DDoS destructrices sont celles qui utilisent la force brute et génèrent un volume massif de trafic ont tort. Les attaques DDoS de faible puissance et lentes ("Low & Slow" dans la terminologie Radware) qui visent la couche applicative sont également très dangereuses. Elles exploitent une tactique masquée et sont capables de provoquer des dégâts importants, même si l'auteur de l'attaque possède des ressources limitées. Détecter et prévenir de telles attaques n'est pas une mince affaire. Ronen Kening, expert chez Radware, a tenté de vulgariser les problèmes liés aux attaques de types "low & slow" que doivent résoudre les experts en protection contre les attaques DDoS.

Attaques de faible puissance (low-rate)

L'individu malintentionné vise à mettre sa cible hors ligne, mais sans faire beaucoup de bruit. Dans la majorité des cas, ce genre d'attaque consiste à maintenir les connexions sur le serveur ouvertes. L'effet désiré peut être obtenu à l'aide de méthodes très répandues comme l'envoi de requêtes HTTP incomplètes, de paquets de données de faible volume ou l'établissement de connexions persistantes. Les attaques de type low-rate alternent souvent avec des pics de trafic parasite et ce genre d'attaque est très difficile non seulement à bloquer, mais aussi à détecter.

Attaques lentes (slow-rate)

Le trafic généré lors de l'attaque qui vise à épuiser les ressources de la victime respecte les normes du protocole. Sa vitesse est modeste, mais ne dépasse pas les limites acceptées. Par conséquent, les solutions de protection considèrent ce trafic comme du trafic légitime. Seule une analyse comportementale peut mettre à jour la véritable nature de ce trafic : étudier le réseau pendant les périodes de fonctionnement normal et comparer les résultats aux chiffres obtenus pendant une attaque de type slow-rate.  

Outils

A la différence de nombreux types d'attaques par déni de service qui requièrent l'intervention concertée de plusieurs centaines de bots, une attaque Low & Slow contre la couche applicative est menée depuis un seul ordinateur et est fatale pour la victime. Les individus malintentionnés automatisent ces attaques à l'aide d'outils spéciaux et ils privilégient dans la majorité des cas R.U.D.Y ou Slowloris.

R.U.D.Y (R U Dead Yet?) génère des requêtes POST, puis, les remplit pendant longtemps, un octet à la fois, en alternant périodes d'activité et période d'inactivité. En conséquence, tous les flux de travail de la victime sont bloqués car ils sont occupés par le traitement interminable des fragments POST d'un octet.  

Le client HTTP Slowloris mérite bien son nom : il est lent et gourmand. Le client maintient des connexions ouvertes avec le serveur attaqué en envoyant des requêtes HTTP incomplètes. Ensuite, selon une fréquence déterminée, il commence à envoyer les en-têtes et le serveur épuise rapidement les limites de la pile applicative et ne répond plus aux utilisateurs. Pour mener à bien une attaque DDoS, Slowloris n'a besoin que de 200 requêtes envoyées selon une fréquence définie au cours d'une longue période.

Protection

Il est possible de détecter une attaque Low & Slow sur la couche applicative uniquement grâce aux données fournies par un système de surveillance en temps réel, principalement les rapports sur l'utilisation et la répartition des ressources. Dans le cadre de la surveillance en continu, l'outil de protection qui tient l'inventaire des ressources peut détecter aisément tout écart par rapport à la norme tel que de "simples" connexions prolongées ouvertes ou un processus non achevé dans la pile applicative qui aurait dû être terminé depuis longtemps déjà. 

Pour obtenir cette surveillance, il est possible d'intégrer les mécanismes de protection au serveur. Une autre option consiste à doter la solution de protection d'une fonctionnalité d'analyse du comportement des connexions ouvertes sur le serveur et d'émulation des ressources de la pile applicative sans connexion directe au serveur. Grâce à la technologie d'analyse adéquate du comportement, l'utilisation inadéquate du réseau par les ressources d'une application peut être mesurée avec précision. Une fois que l'activité suspecte a été détectée, il est possible de remonter à la source et d'adopter les mesures qui s'imposent.

Ronen Kening conclut en affirmant que les méthodes Low & Slow mettent fin à quelques uns des stéréotypes les plus répandus sur les attaques par DDoS. Malgré la simplicité relative des attaques Low & Slow et les ressources minimales requises pour les organiser, ce genre d'attaque se répand. Et la protection contre les types d'attaque décrits ci-dessus requiert une infrastructure de sécurité digne de ce nom et une équipe dédiée d'experts capables d'identifier la tactique dissimulée de l'attaque en temps réel.

Why Low & Slow DDoS Application Attacks are Difficult to Mitigate http://blog.radware.com/security/2013/06/why-low-slow-ddosattacks-are-difficult-to-mitigate/

Les attaques DDoS de type « low & slow » brisent les stéréotypes

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception