Quand des services DDoS se camouflent en Stress Test en ligne légitimes

4
187

Quoi de mieux pour camoufler un service pirate dédié au DDoS qu’un déguisement en un service on ne peut plus légal de Stress Test ? Voila comment les cybercriminels procèdent actuellement sur le Deep Web.

Les attaques DDoS (déni de service distribué) sont en vogue et les services en ligne pirates se multiplient dans les milieux sombres de la Toile. Souvent très simples d’utilisation, ils permettent à des débutants qui souhaitent nuire de payer pour commander une attaque DDoS visant la cible de leur choix. Le tarif varie bien entendu selon le temps de l’attaque et de sa puissance.

Pour réaliser cela, des botnets de grosse envergure sont utilisés par les fournisseurs de service. Malgré des conditions d’utilisation mettant en avant des tests de charge “à titre éducatif uniquement”, on ne tombe pas dans le panneau : certains services n’ont rien de légitime.

On peut trouver d’innombrables exemples illustrant cela sur le Web, citons par exemple NetGuard, Net-SpoofBig Bang BooterCritical StresserWrath StresserApocalypse StresserTitanium Stresser ou encore Ragebooter-DDoS. On peut d’ailleurs retrouver leurs nombreuses campagnes de promotion directement sur des forums dédiés à la cybercriminalité :

Tous ces services montrent des promotions similaires, notamment en terme de prix, de service et de condition d’utilisation. Point important à souligner, aucun ne propose de garantie de remboursement !

Voici le type de services proposé et commercialisé par les cybercriminels :

1. UDP Flood

Attaque DoS visant à surcharger la cible d’une multitude de combinaisons de paquets UDP (sessionless/connectionless computer networking protocol). Cette attaque fonctionne bien pour viser des connexions particulières légères. Le flood UDP est amplifié par un script jusqu’à 20 Gbps, ce qui provoque facilement la mise hors ligne de la cible.

2. Chargen

Chargen est un autre type d’attaque basée sur le flood UDP, plus particulièrement en utilisant le port 8080 pour un résultat optimal. L’attaque est générée par le programme Chargen écrit en PHP, Perl et C et peut être amplifiée au delà de 20 Gbps. La cible est le service Chargen (port 19), d’où le nom dérive. Il peut être détourné afin d’envoyer des données d’une machine à une autre, et la force de l’attaque sur la bande passante est alors amplifiée par le nombre d’ordinateurs et peut perturber ou mettre hors service tout le segment du réseau affecté. Cette attaque peut facilement venir à bout d’un serveur Unix en causant une saturation rapide de la machine au niveau du traitement des paquets UDP.

3. UDPLag

Comparable au flood UDP mais cette attaque n’a pas pour but de mettre la cible hors service mais juste de la ralentir lourdement.

4. ESSYN Flood

Attaque SYN amplifiée qui exploite les handshakes TCP 3 en ne fournissant aucune réponse au messages de confirmation renvoyée par la cible. Cela entraîne une attente indéfinie du handshake.

5. Slowloris

Une attaque extrêmement efficace pour les serveurs Web utilisant Apache, Tomcat ou GoAhead. En gardant autant que possible de connexions ouvertes, et le plus longtemps possible, en envoyant des requêtes partielles, Slowloris bloque très rapidement l’accès au serveur cible aux autres personnes.

6. Rudy (R U Dead Yet)

En envoyant de petits paquets de 1 octet via des requêtes HTTP POST, cela force la connexion avec le serveur à rester ouverte indéfiniment. Rudy est difficile à détecter et à prévenir.

7. ARME

ARME est considérée comme une attaque visant la couche 4 du modèle OSI. L’attaque est puissante en raison de son comportement : elle occasionne le remplissage de toute la mémoire SWAP d’un serveur Apache et inonde éventuellement le disque dur de la machine. Cela impacte directement ​​le fonctionnement et les services du serveur qui seront rapidement stoppés.

8. Resolver

Il ne s’agit pas d’une attaque à proprement dite mais d’un outil populaire dans le monde du DDoS, qui existe sur le marché underground. Il permet de connaître l’adresse IP réelle d’un serveur protégé derrière le service CloudFlare, ainsi que l’adresse IP réelle d’un utilisateur de Skype pour ensuite le viser avec une attaque ciblée en contournant la protection.

Les commentaires sont fermés.