DoS - Denial of Service

DoS - Denial of Service

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Encyclopédie
abc de la sécurité

Contre-mesure
Les 3 contre-mesures de base sont :
  1. Un antivirus
    Les antivirus
    Les antivirus en ligne

  2. Un anti-spywares (anti-trojans)
    Les anti-trojans
    Les anti-trojans en ligne

  3. Un pare-feu (firewall)
    Les pare-feux

Veuillez installer un kit complet
Les kits de sécurité

Safe Attitude
Safe-Computer EXploitation (Safe-CEX)

Au delà de la décontamination,
veuillez rechercher :
 
 
DoS - Denial of Service :
Attaque en dénie de service par saturation. Une attaque de type DoS (Denial of Service - Dénie de Service) est une activité consistant à empêcher quelqu'un d'utiliser un service.

  • Saturation d'un serveur
    Attaque faisant se crasher un système, en le faisant se suspendre ou en le surchargeant. Ce sont les serveurs qui sont le plus souvent l'objet de ces attaques et, plus rarement, le poste client.

  • Saturation d'un réseau
    Attaque submergeant un réseau d'un flot de trafic plus grand qu'il n'est capable de le traiter - la bande passante est alors saturée et le réseau devient indisponible.

Ces attaques sont conduites grâce à des outils parasites, de véritables armes, qu'il est bon, pour l'ensemble de la communauté des internautes, et donc pour nous mêmes, d'identifier et de supprimer. La difficulté vient du fait que l'outil utilisé est, chaque fois, nouveau, et qu'il est donc impossible d'anticiper l'attaque en décelant le parasite par surveillance avec les principes de "bases de signatures" (scanners d'analyse antivirus et anti-trojans).

Dans les heures qui suivent l'attaque et jusqu'à mise au point de la parade, un réseau ou un serveur peut s'écrouler. A partir du moment ou l'attaquant est trouvé, la diffusion de la contre mesure le rend obsolète. Les contre-mesures recherchent soit la signature même de l'attaquant soit une activité suspecte (un trafic, d'un type donné, supérieur aux statistiques habituelles par exemple). Un exemple détaillé de ce type d'attaque est ICMP-Flood.

Les attaques de type DoS (Denial of Service - Dénie de Service) sont nombreuses et d'autres seront inventées. En voici quelques unes:

  • Attaque "ARP"
    Des demandes ARP sont envoyées en permanence vers un serveur, routeur ou une station dans le même réseau. Lorsque l'équipement cible de l'attaque n'est plus en mesure de répondre au haut volume de requêtes reçues, il s'arrête de répondre et fait tomber le réseau.

  • Attaque "Ping"
    Un serveur, un routeur ou une station sont inondés de messages de type "ICMP Echo Requests".

  • Attaque "Ping de la Mort"
    Cette attaque génère des messages "ICMP Echo requests" de longueur supérieure à la taille maximum légale de ce type de messages (65.535 bytes). Ceci peut causer le crash ou la saturation et le plantage du host attaqué.

  • Attaque Smurf Attack
    Cette attaque diffuse à un rythme soutenu des ping (ICMP Echo Request) en utilisant l'adresse IP source d'une victime, et l'adresse IP de Broadcast du réseau de destination. Ce trafic, diffusé vers tous les hosts du réseau provoque la multiplication des réponses vers la victime et donc son asphyxie. La deuxième conséquence est le ralentissement général du réseau dû à cette charge de trafic.

  • Attaque Unreachable Host Attack
    Cette attaque envoie des messages ICMP "Host Unreachable" à une victime, provoquant la déconnexion des sessions et la paralysie de la victime, même si elles sont envoyées à faible cadence.

  • Attaque Land Attack
    Cette attaque essaie de rendre "fou" la victime en lui envoyant des paquets TCP comportant une adresse source IP et un numéro de port identiques à ceux de la victime. Le host attaqué pense alors qu'il parle à lui même ce qui généralement provoque un crash.

  • Attaque Teardrop Attack
    Des messages fragmentés sont délibérément construits pour que les fragments se chevauchent, puis sont envoyés à la victime. Cette dernière est de ce fait incapable de reconstruire les PDU et provoque un crash.

  • Attaque SYN Attack
    Cette attaque exploite les échanges de paquets utilisés lors de l'ouverture de sessions TCP. L'attaquant envoie un grand nombre de demandes d'ouvertures TCP (Flag SYN positionné) à la victime. Cette dernière acquitte les demandes en répondant par des messages TCP avec les flags SYN et ACK positionnés, puis attend indéfiniment l'acquittement qui n'est jamais renvoyé. Au bout d'un temps très court la victime est asphyxiée par le grand nombre de sessions ouvertes et en attente d'acquittement.

  • Attaque Evasive UDP Attack
    Un flux de paquets UDP de longueur variable et d'adresse source IP aléatoire est envoyé à une victime à haut débit provoquant son asphyxie.

Le problème est triple :
Si de tels outils sont découverts sur votre machine, cela signifie que quelqu'un s'est servi ou va se servir de votre machine pour relayer et lancer une attaque de type DoS ou qu'il s'en est servi dans le passé. Il y a donc :
  1. Votre machine est faillible. Une faille de sécurité est à trouver et à corriger. Celle qui lui a permi d'entrer.
  2. Votre machine est contaminée. Un parasite traîne sur votre machine qui est donc à décontaminer.
  3. Vous croyez être une victime ? Oui, peut-être, mais vous pouvez être recherché, juridiquement, pour complicité, à cause de votre laxisme à protéger votre machine.
Vous regarderez donc Réactions à avoir face à la découverte d'un parasite

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com


Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback

Historique
 
   
Rédigé en écoutant :
Music