Les chevaux de Troie sont souvent utilisés pour lancer des attaques par déni de service (DDoS) contre des systèmes ciblés, mais qu’est-ce qu’une attaque DDoS et comment sont-elles exécutées?
Au niveau le plus élémentaire, une attaque par déni de service distribué (DDoS) submerge le système cible de données, de sorte que la réponse du système cible est soit ralentie, soit totalement arrêtée. Afin de créer le volume de trafic nécessaire, un réseau d’ordinateurs zombies ou bot est le plus souvent utilisé.
DDoS, Zombies et Botnets
Les zombies ou réseaux de zombies sont des ordinateurs qui ont été compromis par des attaquants, généralement via l'utilisation de chevaux de Troie, permettant ainsi le contrôle à distance de ces systèmes compromis. Ensemble, ces systèmes sont manipulés pour créer le flux de trafic élevé nécessaire à la création d'une attaque DDoS.
L'utilisation de ces réseaux de zombies est souvent mise aux enchères et échangées entre attaquants. Ainsi, un système compromis peut être sous le contrôle de plusieurs criminels, chacun poursuivant un but différent. Certains attaquants peuvent utiliser le botnet comme relais de courrier indésirable, d'autres pour servir de site de téléchargement de code malveillant, certains pour héberger des escroqueries par phishing et d'autres pour les attaques DDoS susmentionnées.
Comment une attaque DDoS se produit
Plusieurs techniques peuvent être utilisées pour faciliter une attaque par déni de service distribué. Les deux requêtes les plus courantes sont les requêtes HTTP GET et SYN Floods. L'un des exemples les plus notoires d'attaque HTTP GET provient du ver MyDoom, qui cible le site Web SCO.com. L'attaque GET fonctionne comme son nom l'indique: elle envoie une demande pour une page spécifique (généralement la page d'accueil) au serveur cible. Dans le cas du ver MyDoom, 64 demandes ont été envoyées chaque seconde de chaque système infecté. Selon des estimations, des dizaines de milliers d'ordinateurs seraient infectés par MyDoom, l'attaque a rapidement submergé SCO.com, la mettant hors ligne pendant plusieurs jours.
Un SYN Flood est fondamentalement une poignée de main avortée. Les communications Internet utilisent une poignée de main à trois voies. Le client initiateur commence par un SYN, le serveur répond par un SYN-ACK et le client est alors censé répondre par un ACK. En utilisant des adresses IP usurpées, un attaquant envoie le SYN, ce qui entraîne l'envoi du SYN-ACK vers une adresse non-demandeuse (et souvent non-existante). Le serveur attend alors la réponse de l'accusé de réception sans résultat. Lorsqu'un grand nombre de ces paquets SYN abandonnés sont envoyés à une cible, les ressources du serveur sont épuisées et le serveur succombe à la DDoS SYN Flood.
Plusieurs autres types d'attaques DDoS peuvent également être lancés, notamment les attaques par fragments UDP, les inondations ICMP et le ping de la mort.
