Mal au DOS : le retour d'attaque

Continuons le jeu

Ressource

L'attaquant cible alors une ressource particulière comme un routeur par exemple. L'exemple bateau est l'attaque qu'a subi Microsoft en 2001 qui a rendu indisponible tout Microsoft. Comment ? Tous les  serveurs DNS de Microsoft se trouvaient sur le même segment réseau sur un même routeur (cela ne s'invente pas). Bien sûr depuis Microsoft a dispersé ses serveurs de part le monde...

 

Infrastructure

L'attaquant attaque les routeurs s'échangeant les routes d'accès. En fait, les différents protocoles d'échange peuvent avoir aussi des faiblesses, pas seulement dans l'implémentation du protocole, mais aussi de ces caractéristiques de design. Le but du jeu va alors être de remplir les tables de routage, ou de changer constamment les informations de routage pour rendre instable l'infrastructure.

 

Inondation pure et dure

L'attaque DOS/DDOS « basique », du genre le mien est plus grand que le tien (vous aviez compris, on parle ici du réseau). Pas besoin de mal former le paquet, d'étudier une vulnérabilité. Non, c'est du dur, on attaque simplement la bande passante

de l'attaqué. C'est simple, et cela marche presque tout le temps, si l'on  a bien sûr à sa disposition un réseau botnet conséquent. Seule une protection en amont (backbone de l'opérateur) pourra sauver la victime. Et encore, dans la plupart des cas, on établira la technique du trou noir, ce qui aura pour effet de rendre indisponible les adresses de l'attaqué...

 

Vous allez me dire, il faut être une sacré bête en informatique pour réaliser ce type d'attaque. Pas si sûr, il existe une pléthore d'outils intégrés pour créer son botnet et réaliser un ou plusieurs types d'attaque. Comme nous ne sommes pas un manuel de cracking (enfin je crois) nous ne donnerons pas les adresse correspondantes aux outils (un peu de travail personnel), les plus connus donc : trinoo, tribe Flood Network, Stacheldraht, shaft, mstream, trinity, phatbot, agobot... A dessein, je vous cite les vieux outils, non mais...

 

Comme d'habitude on a ici affaire à une course à l'armement entre les gentils et les méchants (je ne vous dis pas qui est qui). Dès qu'une défense est mise  en place, l'attaque n'a de cesse de casser cette défense, et y parvient généralement. Par exemple, les techniques de filtrage d'entreés/sorties sont mises à mal par des techniques de spoofing fine (spoofing sur un sous masque). Bien sûr, les défenses à base de signatures sont quasi obsolètes dès l'installation, et ce n'est pas le fait de la généralisation du chiffrement des réseaux qui va changer ce fait. Il ne faut jamais sous estimé son adversaire. Mais si vous êtes bien organisé, il y a des petits trucs, une attaque ne s'improvise pas, si vous pouvez consulter vos logs régulièrement, vous trouverez sûrement la méthode qui va être utilisée. Une méthode préconisée par Boyd, est de prendre un défense conventionnelle, et certains actes non conventionnels (par exemple, lors d'une attaque augmenter le temps de login sur vos serveurs, en effet, l'attaquant va tester périodiquement la « réussite » de son attaque). Il y a parfois des solutions simples à mettre en œuvre.

Nicolas Jacquey
Philippe Maltere

_