6.5. Les attaques par déni de services

Ce type d'attaque est la plus énervante qui soit. Elles ont pour but de saturer le réseau ou le système.

6.5.1. Le SYN flood

Cette technique consiste à saturer un serveur en envoyant une multitude de paquets TCP avec le flag SYN armé, cela aura pour but de créer une multitude de connexions demandant un grand nombre de ressources système.

La plupart des attaques par SYN-flood sont bien détectées par différents firewalls.

6.5.1.1. Comment s'en protéger ?

Exemple avec iptables limitant les demandes d'établissement de connexion TCP acceptées à une par seconde:

[root@nowhere /root]# iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT

Pour plus de details sur cette commande, je vous conseille de lire Utiliser iptables :Spécifications de filtrage.

6.5.2. L'UDP Flood

De la même manière que pour le SYN flooding, l'attaquant envoie un grand nombre de requêtes UDP sur une machine. Le trafic UDP étant prioritaire sur le trafic TCP, ce type d'attaque peut vite troubler et saturer le trafic transitant sur le réseau.

La plus célèbre attaque utilisant l'UDP-flooding est le Chargen Denial of Service Attack. Un pirate envoie une requête sur le port echo d'une machine A indiquant comme port source celui du port chargen d'une machine B. Le service chargen de la machine B renvoie un caractère sur le port echo de la machine A.

Ensuite le service echo de A renvoie ce caractère sur chargen. chargen le reçoit, en ajoute un autre et les renvoie sur le port echo de A qui les renvoient à son tour sur chargen ... et cela continue jusqu'à la saturation de la bande passante.

6.5.2.1. Comment s'en protéger ?

Il est conseillé de désactiver les services chargen et echo.

Si vous ne voulez pas désactiver chargen et echo, configurez votre firewall pour éviter le Chargen Denial of Service Attack en limitant le traffic UDP. Exemple avec iptables :

[root@nowhere /root]# iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT

6.5.3. La fragmentation de paquets

Plus connu sous le nom de Teardrop Attack, Bonk ou encore Boink, cette attaque utilise une faille propre à certaines piles TCP/IP. Cette vulnérabilité concerne la gestion de la fragmentation IP.

Ce problème apparaît lorsque la pile reçoit le deuxième fragment d'un paquet TCP contenant comme donnée le premier fragment. La pile TCP/IP peut s'avérer incapable de gérer cette exception et le reste du trafic.

Cette faille est très connue sur les piles de Windows 95 et 98.

6.5.4. Ping of death

Le principe est d'envoyer un paquet ICMP avec une quantité de données supérieure à la taille maximale d'un paquet IP . Encore une fois, la pile peut s'avérer incapable de gérer cette exception et le reste du trafic.

6.5.5. Attaque par réflexion : Smurfing

Cette attaque est basée sur le protocole ICMP. Lorsqu'on envoie un ping à un réseau en broadcast (par exemple 255.255.255.0), le paquet est envoyé à chacune des machines du réseau.

Un pirate envoie un ping en broadcast sur un réseau (A) avec une adresse IP source correspondant à celle de la machine cible (B). Le flux entre le port ping de la cible (B) et du réseau (A) sera multiplié par le nombre de machines sur le réseau (A).

Cela conduit à une saturation de la bande passante du réseau (A) et du système de traitement de paquets de (B).

6.5.5.1. Comment s'en protéger ?

Configurez votre firewall pour limiter le traffic ICMP. Exemple avec iptables :

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

Pour plus de détails sur cette commande, je vous conseille de lire Utiliser iptables :Spécifications de filtrage.

6.5.6. Dénis de services distribués

Plusieurs types d'attaques sont lancées en parallèle à partir de plusieurs sources.

6.5.7. Bombes e-mail

Le mail bombing consiste à envoyer de gros ou de nombreux fichiers à un utilisateur pour saturer sa boîte de réception de courrier électronique.

6.5.7.1. Comment s'en protéger ?

La plupart des logiciels de contrôle de contenu assure un filtrage du courrier pour détecter ce type d'attaque