Attaque par déni de service - Définition

Programmes disponibles sur Internet

• Ping ’O Death : il s’agit de saturer un routeur ou un serveur en envoyant un nombre important de requêtes ”ICMP REQUEST” dont les datagrammes dépassent la taille maximum autorisée. Des patches existent afin de se prémunir de ce type d’agression sous les systèmes MacOs, Windows NT/9x, Sun Solaris, Linux et Novell Netware.

• Land - Blat : il s’agit d’envoyer un paquet forgé (spoofé) contenant le flag SYN sur un port donné (comme 113 ou 139 par exemple) et de définir la source comme étant l’adresse de la station cible. Il existe un certains nombre de patches pour ce ”bug” pour les systèmes UNIX et Windows.

• Jolt : spécialement destinée aux systèmes Microsoft (NT, 9x et 2000), cette attaque permet de saturer le processeur de la station qui la subie. La fragmentation IP provoque, lorsque l’on envoie un grand nombre de fragments de paquets identiques (150/sec), une saturation totale du processeur durant toute la durée de l’attaque. Des pré-patches existent déjà pour tenter de contrer ce type d’attaque.

• TearDrop - SynDrop : problème découvert dans l’ancien noyau du système Linux dans la partie concernant la fragmentation des paquets IP. Il s’agit d’un problème de reconstruction du paquet. Lorsque le système reconstitue le paquet, il exécute une boucle qui va permettre de stocker dans un nouveau ”buffer” tous les paquets déjà reçus. Il y a effectivement un contrôle de la taille du paquet mais uniquement si ce dernier est trop grand. S’il est trop petit cela peut provoquer un problème au niveau du noyau et planter le système (problème d’alignement des paquets). Ce problème a également été observé sur les systèmes Windows (NT/9x) et des patches sont dès à présent disponibles.

• Ident Attack : ce problème dans le daemon identd permet aisément de déstabiliser une machine UNIX qui l’utilise. Un grand nombre de requêtes d’autorisation entraine une instabilité totale de la machine. Pour éviter cela, il faut installer une version plus récente du daemon identd ou alors utiliser le daemon pidentd-2.8a4 (ou ultérieur).

• Bonk - Boink : même problème que le TearDrop mais légèrement modifié afin de ne pas être affecté par les patches fournis pour le TearDrop. Il existe de nouveaux patches mieux construits qui permettent également d’éviter ce nouveau type d’attaque.

• Smurf : ce programme utilise la technique de l’”ICMP Flood” et l’amplifie de manière à créer un véritable désastre sur la (ou les) machines visées. En fait, il utilise la technique du ”Broadcast Ping” afin que le nombre de paquets ICMP envoyés à la station grandisse de manière exponentielle causant alors un crash presque inévitable. Il est difficile de se protéger de ce type d’attaque, il n’existe aucun patch mais des règles de filtrage correctes permettent de limiter son effet.

• WinNuke : il s’agit encore d’un programme permettant de ”crasher” les systèmes Windows NT/95 par l’envoie de données de type ”OOB” (Out Of Band) lors d’une connexion avec un client Windows. NetBIOS semble être le service le plus vulnérable à ce type d’attaque. Apparemment, Windows ne sait pas comment réagir à la réception de ce type de paquet et il ”panique” . . . De nombreux patches existent contre ce type d’attaque et les versions postérieures de Windows (à partir de Windows 98/2000) sont dès à présent protégées.

• SlowLoris : Un script en Perl ciblant les serveurs web.