Le blog de la CT2C

Qu'est-ce qu'une attaque DDOS?

Par Régis Millet , publié le 24 Octobre 2016

Vendredi 21 Octobre, de nombreux sites sont - comme on dit - tombés, à savoir devenus inaccessibles. Pourquoi ? Comment ? Tâchons d'expliquer tout ça avec des mots simples.


Commençons par la phrase technique qui résume tout : attaque DDOS massive sur les services de DynDNS aux Etats Unis.

Et tâchons d'expliquer cela avec des mots compréhensibles par tous.

Attaque DDOS


Il s'agit d'une attaque pirate classique visant à saturer un serveur en lui envoyant plein de requêtes.

Dit encore plus simplement, c'est comme si des millions d'internautes essayaient en même temps d'accéder au site d'une boulangerie d'un quartier. Le site n'étant pas fait pour recevoir autant de visiteurs, il va vite saturer et carrément refuser les nouveaux utilisateurs.

C'est exactement ce qui se passe dans une attaque DDOS, à un niveau bien plus élevé et technique.

DNS et DynDNS


Les DNS sont des serveurs très particuliers chargés de faire correspondre une adresse IP à une URL.

Là aussi, simplifions cette notion. Lorsque vous visitez un site Web via son url (par exemple ct2c.fr), votre navigateur sait exactement où s'orienter (vers quel serveur) grâce à une information de localisation. Cette localisation, nommée adresse IP (de la forme 162.125.1.32) est associée à un nom de domaine, comme ct2c.fr, de sorte que vous n'ayez pas à renseigner 162.125.1.32 dans votre navigateur mais que vous pouvez utiliser à la place ct2c.fr.

Votre navigateur connaît cette correspondance "adresse IP <-> nom de domaine" grâce aux serveurs DNS (Domain Name Server) qui font transiter et propagent ces informations à travers Internet.

DynDNS est un service Américain proposant, pour faire simple, ce type de serveur. L'attaque DDOS de vendredi visait précisément ce service. Ainsi tous les sites Webs dont les correspondances "nom de domaine <-> adresses IPs" sont gérés par DynDNS n'étaient tout bonnement plus accessibles.

En effet, si DynDNS est chargé d'envoyer ces informations de correspondance et de les propager à travers Internet. Et qu'une attaque, comme un DDOS, empêche quiconque d'accéder à DynDNS en saturant les accès. Alors la propagation de ces informations de correspondance ne peut se faire. Cela impacte de fait de nombreux sites et ajoute des effets de bords. En effet, DynDNS s'occupe aussi de propager des informations d'autres serveurs DNS. Comme ils ne peuvent plus être accédés, ils ne peuvent plus non plus assurer cette propagation.

C'est comme si vous avez un beau tricot. Coupez un nœud à un endroit de ce tricot, en plein milieu, et votre tricot va se creuser, s'effiler, se détacher autour du nœud coupé. Et les nœuds les plus proches du nœud coupé risquent également de s'étioler car fragilisés. En outre avec un gros trou en plein milieu, votre tricot risque de ne plus être aussi joli.

Pour effectuer cette saturation, les pirates auraient majoritairement utilisé les petits appareils connectés (autres que pc et mobiles) qui sont bien moins protégés (pas d'anti-virus, pas de filtrages d'accès) et donc plus simples à pirater.

Quel intérêt d'une telle attaque ?


Ils sont nombreux et dépendent fortement des motivations des attaquants.

Appât du gain ? C'est comme une prise d’otage, les attaques continueront tant que le site n'aura pas payé une rançon.

Renommée ? Assurément, faire tomber la moitié des plus gros sites du monde fera connaître ces pirates dans leur milieu.

Vengeance / paralysie de certains sites ? Parfois certaines cibles sont trop sécurisées pour être attaquées directement. Alors souvent les pirates cherchent des cibles plus fragiles. Cibler des nœud de réseau comme des DNS ou des routeurs est une pratique courante pour faire tomber, par ricochet, les véritables cibles de l'attaque.

Exploitation d'une vulnérabilité ? Lorsqu'une vulnérabilité est découverte, il n'est pas rare qu'elle soit rapidement exploitée, pour la tester, en voir l'impact, trouver des failles encore plus fortes, prendre la main sur un système, etc.

Ce sont quelques raisons parmi d'autres. Il est difficile de connaître exactement la motivation d'une telle attaque. Toujours est-il qu'elle est réussie et qu'elle paralyse bon nombre de sites.


Que faire face à une telle attaque ?


Individuellement les solutions sont restreintes. Si vous possédez un site qui n'est plus accessible, il est probablement hébergé sur un service qui est impacté par cette attaque et qui ne parvient plus à faire correspondre votre nom de domaine à l'adresse IP du serveur hébergeant votre site (peut-être parce qu'il utilise justement DynDNS). Votre site sera également touché s'il utilise un service tiers impacté par ce problème et nécessaire à son bon fonctionnement (comme AWS cloudfront/S3, l'api de Twitter, le module de paiement de paypal, etc.).

Vous pouvez, si vous en avez la possibilité, héberger temporairement votre site ailleurs, sur un service encore en ligne (moyennant le transfert de toutes les données et fichiers de votre site du coup). Evidemment cela peut être plus long que d'attendre que le service se rétablisse.

Et pour les cibles de l'attaque, comme DynDNS, une telle attaque DDOS est difficile à parer. Il s'agit, par exemple, de trouver ce qui caractérise les requêtes envoyées pour effectuer ce DDOS et de les couper grâce à un firewall. L'exercice n'est pas forcément évident, ni même possible.

OVH explique par exemple leur solution : https://www.ovh.com/fr/anti-ddos/analyse.xml - si vous souhaitez en savoir plus sur comment vous prémunir d'une attaque DDOS.

Sachant qu'aucune solution n'est parfaite. On ne peut prendre aucune solution comme parole d'évangile, il n'existe pas de réseau infaillible.


Index -- --

  • Aucun commentaire - Soyez le premier !

Insérez votre commentaire
  1. Min: 50 caractères, Max: 800. Actuellement: 0 caractères

  2. ne pas remplir