28/05/01
4
attaques de déni de service toutes les 10 minutes
Depuis leur vulgarisation
auprès du grand public en février 2000, suite à une vague
d'assauts essuyée par plusieurs grands sites (Yahoo, Ebay,
eTrade, etc.), les attaques par déni de service (ou Denial
of Service) n'ont cessé de faire parler d'elles. Dans
ce contexte, l'Université
de Californie, San Diego publie une étude, présentée
comme la première du genre, qui tente de faire le point
sur le sujet...
Les chiffres publiés sont éloquents. Sur
trois semaines d'investigations, les analystes américains
observent près de 13 000 attaques sur environ
5 000 serveurs cible de toute taille. En une semaine,
ils relèvent plus de 150 adresses IP victimes de telles
tentatives... chaque heure. Et personne n'échappe
à la vague. Parmi les 2 000 organisations
touchées, figurent à la fois de grands acteurs
du e-commerce comme Amazon ou Hotmail, des fournisseurs
de services en ligne, ou encore de simples utilisateurs
du réseau
"La plupart des attaques n'ont pas été
relayées par les médias", ajoutent en cur David Moore,
Geoffrey Voelker et Stefan Savage, responsables de cette
étude de l'université de San Diego.
Une
technique qui a fait ses preuves
En s'appuyant
sur un dossier publié récemment par le FBI, le document
de l'Université de Californie, titré Inferring
Internet Denial-of-Service Activity, distingue deux
grandes catégories d'attaques par déni de service. Qualifiée
de "logic", la première exploite les failles
existantes dans certains logiciels pour dégrader les performances
des systèmes cibles. D'après les analystes de l'université,
"la plupart d'entre elles pourraient être évitées
simplement par une mise à jour des applications serveur,
ou encore par un filtrage de certaines séquences de paquets
de données".
Plus connue, la seconde (qualifiée de flooding - ou inondation),
sature la mémoire vive ou les ressources réseau de la
victime en lui envoyant un très grand nombre de requêtes
simultanées. Objectif : générer une montée en charge ingérable
par l'architecture pour la rendre finalement inutilisable.
Parallèlement, deux techniques sont utilisées pour
renforcer la force des assauts, expliquent les analystes.
D'une part, l'utilisation d'ordinateurs distants afin
de multiplier les points d'attaques. Pour ce faire, les
pirates commencent par y implanter de petits programmes
à la barbe de leurs utilisateurs. Ces applications
leur permettant ensuite d'utiliser les ressources mémoire
de ces victimes pour coordonner une ou plusieurs actions
précises - de telles opérations impliquent
parfois des centaines, voire des milliers de machines.
Et d'autre part, le "spoof" d'adresse IP : un procédé
utilisé pour tromper la cible en lui faisant croire
que les paquets de données transférés depuis une
machine particulière proviennent en fait de plusieurs
terminaux. Une technique aussi utilisée pour masquer
une adresse IP.
2 % des attaques durent
plus de 5 heures
"La durée
de la plupart des attaques reste relativement courte",
notent les analystes. Selon eux, 50 % ne dépassent pas
plus de 10 minutes, 80 % 30 minutes et 90 % 1 heure.
Une tendance qui n'empêche pas certaines tentatives
de s'étendre sur plusieurs heures, 2 % dépassant
les 5 heures.
Côté victimes, les connexions privées figureraient parmi
les plus prisées des pirates. Celles-ci représenteraient
entre 7 et 9 % des attaques en ce qui concerne les accès
par modem et entre 4 et 5 % pour le haut débit. Quant
aux serveurs Web et aux infrastructures réseau, ils arriveraient
loin derrière avec respectivement 1 à 3 % côté
routeurs et 2 à 3 % côté serveurs de
domaine.
Parmi les 10 domaines les plus visés par le déni de service,
.com et .net occupent la tête de la liste publiée
par l'université (avec 15 % des attaques relevées).
Ils sont suivis juste derrière par .ro (Roumanie)
et .br (Brésil), avec respectivement 13 % et 6 % des tentatives.
"Ce qui est une surprise au regard de la relative pauvreté
de l'infrastructure informatique de ces pays", commentent
les responsables de l'étude. Enfin, viendraient .org (organismes
non-gouvernementaux), .edu (universités), .ca (Canada),
.de (Allemagne) et .uk (Grande-Bretagne), chacun ne dépassant
pas 5 % des attaques. Seule consolation : la France
ne figure pas dans ce drôle de Top 10.
|