Ces dernières années, les attaques en déni de service (DDoS) sont devenues l'un des moyens les plus aisés pour rendre inaccessible l'accès à un site Internet. Les réseaux de machines zombies réparties sur la surface du globe sont l'arme de prédilection de ces attaquants d'un nouveau genre.
Les cibles d'attaques sont diverses et variées. Auparavant il s'agissait principalement de casinos en ligne, de journaux en ligne ou encore de sites gouvernementaux ou encore de groupes de lutte contre le spam.
Depuis quelques temps, se sont les sites indexant les fichiers (films, musique, logiciels) disponibles sur les réseau de partage en Peer-to-Peer (P2P) qui doivent encaisser ces assauts d'un nouveau type.
En septembre 2008 [1] le tracker Norvégien Norbits a été la cible d'attaques en DDoS. L'attaque lui a été finalement fatale car son hébergeur, agacé de voir l'ensemble de ses activités impactées à chaque incident, a finalement décidé d'arrêter de l'héberger [2]. Ces attaques seraient dues à des groupes de personnes spécialisées de la scène warez agacées par le succès du P2P
Plus récemment, c'est le tracker isoHunt qui a fait les frais d'une attaque en déni de service de niveau applicatif.
Celle-ci [3] aurait visé les fonctions de flux RSS du site : Un envoi massif de requêtes HTTP vers le flux RSS a eu pour effet de rentre totalement indisponible celui-ci pour l’ensemble des utilisateurs du site.
A contrario des attaques en DDoS par inondation basées sur la consommation de l’ensemble de la bande passante, les attaques de niveau applicatif visent les ressources du serveur web. En fonction des caractéristiques de l’attaque, il est parfois plus simple de se protéger de celle-ci sans faire appel aux services de son hébergeur.
Dans le cas d’isoHunt, les requêtes vers le flux RSS provenaient d’adresses IP localisées en Amérique du sud mais l’identification donnée quant à la langue du navigateur était le russe... Cette anomalie a permis aux administrateur de mettre en place les filtres adaptés pour rejeter les requêtes anomales tout en laissant celles conformes se dérouler normalement.
[1] ZDNet, Zero Security, Norwegian BitTorrent tracker under DDoS attack, September 18, 2008
[2] TorrentFreak, DDoS Attacks Force Norbits to go Offline, October 8, 2008
[3] Slyck, isoHunt Recovers From DDoS Attack, January 12, 2008
PS: Si vous lisez cette note depuis votre réseau bureautique, il y a de grandes chances que les 2 dernières soient interdites par votre système de filtrage d’URLs... A consulter depuis votre domicile ou via un accès Internet non filtré.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens