Quand des services DDoS se camouflent en Stress Test en ligne légitimes

4

Quoi de mieux pour camoufler un service pirate dédié au DDoS qu’un déguisement en un service on ne peut plus légal de Stress Test ? Voila comment les cybercriminels procèdent actuellement sur le Deep Web.

Les attaques DDoS (déni de service distribué) sont en vogue et les services en ligne pirates se multiplient dans les milieux sombres de la Toile. Souvent très simples d’utilisation, ils permettent à des débutants qui souhaitent nuire de payer pour commander une attaque DDoS visant la cible de leur choix. Le tarif varie bien entendu selon le temps de l’attaque et de sa puissance.

Pour réaliser cela, des botnets de grosse envergure sont utilisés par les fournisseurs de service. Malgré des conditions d’utilisation mettant en avant des tests de charge “à titre éducatif uniquement”, on ne tombe pas dans le panneau : certains services n’ont rien de légitime.

On peut trouver d’innombrables exemples illustrant cela sur le Web, citons par exemple NetGuard, Net-SpoofBig Bang BooterCritical StresserWrath StresserApocalypse StresserTitanium Stresser ou encore Ragebooter-DDoS. On peut d’ailleurs retrouver leurs nombreuses campagnes de promotion directement sur des forums dédiés à la cybercriminalité :

Tous ces services montrent des promotions similaires, notamment en terme de prix, de service et de condition d’utilisation. Point important à souligner, aucun ne propose de garantie de remboursement !

Voici le type de services proposé et commercialisé par les cybercriminels :

1. UDP Flood

Attaque DoS visant à surcharger la cible d’une multitude de combinaisons de paquets UDP (sessionless/connectionless computer networking protocol). Cette attaque fonctionne bien pour viser des connexions particulières légères. Le flood UDP est amplifié par un script jusqu’à 20 Gbps, ce qui provoque facilement la mise hors ligne de la cible.

2. Chargen

Chargen est un autre type d’attaque basée sur le flood UDP, plus particulièrement en utilisant le port 8080 pour un résultat optimal. L’attaque est générée par le programme Chargen écrit en PHP, Perl et C et peut être amplifiée au delà de 20 Gbps. La cible est le service Chargen (port 19), d’où le nom dérive. Il peut être détourné afin d’envoyer des données d’une machine à une autre, et la force de l’attaque sur la bande passante est alors amplifiée par le nombre d’ordinateurs et peut perturber ou mettre hors service tout le segment du réseau affecté. Cette attaque peut facilement venir à bout d’un serveur Unix en causant une saturation rapide de la machine au niveau du traitement des paquets UDP.

3. UDPLag

Comparable au flood UDP mais cette attaque n’a pas pour but de mettre la cible hors service mais juste de la ralentir lourdement.

4. ESSYN Flood

Attaque SYN amplifiée qui exploite les handshakes TCP 3 en ne fournissant aucune réponse au messages de confirmation renvoyée par la cible. Cela entraîne une attente indéfinie du handshake.

5. Slowloris

Une attaque extrêmement efficace pour les serveurs Web utilisant Apache, Tomcat ou GoAhead. En gardant autant que possible de connexions ouvertes, et le plus longtemps possible, en envoyant des requêtes partielles, Slowloris bloque très rapidement l’accès au serveur cible aux autres personnes.

6. Rudy (R U Dead Yet)

En envoyant de petits paquets de 1 octet via des requêtes HTTP POST, cela force la connexion avec le serveur à rester ouverte indéfiniment. Rudy est difficile à détecter et à prévenir.

7. ARME

ARME est considérée comme une attaque visant la couche 4 du modèle OSI. L’attaque est puissante en raison de son comportement : elle occasionne le remplissage de toute la mémoire SWAP d’un serveur Apache et inonde éventuellement le disque dur de la machine. Cela impacte directement ​​le fonctionnement et les services du serveur qui seront rapidement stoppés.

8. Resolver

Il ne s’agit pas d’une attaque à proprement dite mais d’un outil populaire dans le monde du DDoS, qui existe sur le marché underground. Il permet de connaître l’adresse IP réelle d’un serveur protégé derrière le service CloudFlare, ainsi que l’adresse IP réelle d’un utilisateur de Skype pour ensuite le viser avec une attaque ciblée en contournant la protection.

4 Commentaires

  1. […] Comme dans les cas précédents, Mediapart a été victime d'une attaque DDOS ("Distributed Denial Of Service", littéralement "attaque par déni de service") . De quoi s'agit-il ? @si s'était déjà posé la question en 2009, lors d'une attaque similaire dirigée contre notre site : "Quelques milliers de machines envoient chacune, en très peu de temps, quelques milliers de requêtes à un serveur informatique, qui ne peut plus répondre à la masse de demandes", expliquait alors notre administrateur réseau Théo Varier. Cela voudrait-il dire qu'hier, des milliers d'internautes se sont levés comme un seul homme contre Edwy Plenel ? A priori non, les attaques DDOS peuvent reposer sur un réseau "de machines zombies" : "des ordinateurs de simples particuliers, contrôlés à distance et à leur insu par un logiciel pirate" détaillait Varier pour @si. La marque de hackers particulièrement doués ? Pas forcément, analysait notre webmaster de l'époque, Thomas Scotto : "Ce type d'attaque par déni de service est très efficace mais pas très fin : il s'agit simplement de bloquer un site de l'extérieur, sans y pénétrer et sans rien détruire." Autre solution : payer. Des services qui proposent de "tester" son serveur (Stress Test) contre les attaques DDOS pour quelques centaines d'euros, sont détournés et utilisés contre une cible. […]

  2. […] Comme dans les cas précédents, Mediapart a été victime d'une attaque DDOS ("Distributed Denial Of Service", littéralement "attaque par déni de service") . De quoi s'agit-il ? @si s'était déjà posé la question en 2009, lors d'une attaque similaire dirigée contre notre site : "Quelques milliers de machines envoient chacune, en très peu de temps, quelques milliers de requêtes à un serveur informatique, qui ne peut plus répondre à la masse de demandes", expliquait alors notre administrateur réseau Théo Varier. Cela voudrait-il dire qu'hier, des milliers d'internautes se sont levés comme un seul homme contre Edwy Plenel ? A priori non, les attaques DDOS peuvent reposer sur un réseau "de machines zombies" : "des ordinateurs de simples particuliers, contrôlés à distance et à leur insu par un logiciel pirate" détaillait Varier pour @si. La marque de hackers particulièrement doués ? Pas forcément, analysait notre webmaster de l'époque, Thomas Scotto : "Ce type d'attaque par déni de service est très efficace mais pas très fin : il s'agit simplement de bloquer un site de l'extérieur, sans y pénétrer et sans rien détruire." Autre solution : payer. Des services qui proposent de "tester" son serveur (Stress Test) contre les attaques DDOS pour quelques centaines d'euros, sont détournés et utilisés contre une cible. […]

  3. […] Quoi de mieux pour camoufler un service pirate dédié au DDoS qu’un déguisement en un service on ne peut plus légal de Stress Test ? Voila comment les cybercriminels procèdent actuellement sur le Deep Web.Les attaques DDoS (déni de service distribué) sont en vogue et les services en ligne pirates se multiplient dans les milieux sombres de la Toile. Souvent très simples d’utilisation, ils permettent à des débutants qui souhaitent nuire de payer pour commander une attaque DDoS visant la cible de leur choix. Le tarif varie bien entendu selon le temps de l’attaque et de sa puissance.  […]

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.