Attaque DDoS : UDP Flood

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86574
Inscription : 10 sept. 2005 13:57
Contact :

Attaque DDoS : UDP Flood

Message par Malekal_morte » 08 sept. 2015 12:24

L'attaque DoS par UDP dites "UDP Flooding" est une des attaques les plus communes.

Le protocole UDP offre plusieurs avantages pour les attaques ; contrairement au protocole TCP, aucune séquence de négociation est nécessaire. Les en-têtes du protocole UDP étant plus petite, il est très pratique pour envoyer une petite quantité de données rapidement, de ce fait, il est privilégié pour les attaques pour saturer la couche réseau du serveur. D'autre part, si les paquets sont envoyés sur un port ouvert, la machine répondra généralement via le protocole ICMP. Il est possible de jouer sur la source de l'IP envoyée pour que la machine victime réponde à divers autres machines pour la "noyer" ( rappel: "to flood" signifie "inonder" )

Voici un envoi de paquets UDP/TCP depuis une connexion ADSL :

Image

En TCP, on arrive à 2000 drop/s pour 2200 drops/s en UDP soit ↗ +10% en UDP.

Image

Une attaque sur un même réseau, exemple intra-OVH, là ça monte beaucoup haut.

Image

Avec le protocole ICMP, on arrive à peu près à un volume identique à celui d'UDP.

Le protocole UDP est très utilisé par les jeux en ligne, la VO-IP, DNS, ... ce qui explique qu'ils sont souvent visés par ce types d'attaques tandis que les serveurs WEB sont plutôt visés par des DoS plus classiques.


Botnets et DDoS Amplification

Ces attaques plus ou moins efficaces possèdent plusieurs variantes. Par le passé, les attaquants utilisaient des réseaux de machines zombies (botnets) pour saturer le serveur cible. Ces attaques sont les plus simples à mettre en œuvre. Aujourd'hui, il existe un véritable marché du DDoS, le cout horaire d'une attaque de ce type sur le blackmarket est vraiment à la portée de tous.

Image

Exemple d'une interface d'attaque DoS UDP déposée après le piratage du serveur WEB.

Image

Les serveurs offrent plusieurs avantages:
  • Le débit est supérieur à celui de connexions ADSL d'abonnés.
  • Les serveurs sont connectés en permanence tandis que les ordinateurs infectés peuvent être éteints
Si l'attaquant possède des ordinateurs infectés en Asie et qu'il faut attaquer aux USA, il faut attendre que les machines asiatiques soient allumées à cause du décalage horaire. Une attaque de nuit engendre moins de perturbations car le traffic est moins important. C'est que qui explique que les attaquants préfèrent de loin les serveurs compromis aux zombies ( ordinateurs infectés )

C'est à partir de 2009 que les attaques par amplifications ont été médiatisées. Le but de l'attaque est d'envoyer aux machines de petits paquets et/ou datagrammes afin qu'elles soient contraintes de répondre avec plus d'informations qu'elles n'en ont reçues. Pour imager, c'est comme parler dans un tunnel, la voix résonne et elle est amplifiée.

Pour illustrer, voici une liste non-exhaustive de protocoles avec leurs taux respectifs d'amplification.

Image

Les failles dites "protocolaires", qui touchent directement le protocole, ne sont pas aisées à colmater. Dernière en date, le patch du protocole BitTorrent pour contrer les attaques DoS.

Ces méthodes d'amplifications peuvent causer de sérieuses perturbations. Les attaquants, présumés chinois, de l'Operation Distributed Dragon installent des codes malveillants sur des serveurs compromis afin de terrasser leurs victimes. Certains de ces programmes sont détectés comme étant : Linux/Dnsamp

SHA256: 26fcbdc7ebe2750b4008d8c67186a9da03d34b994662bd93e49d7c572aadbae0
Nom du fichier : Huang8888
Ratio de détection : 30 / 56
Date d'analyse : 2015-09-07 15:54:05 UTC (il y a 17 heures, 14 minutes)

Antivirus Résultat Mise à jour
ALYac Trojan.Linux.Flood 20150907
AVG Generic11_c.CMC 20150907
Ad-Aware Linux.DDOS.Flood.J 20150907
AhnLab-V3 Linux/Ddosagent 20150907
Antiy-AVL Trojan[DDoS]/Linux.DnsAmp 20150907
Arcabit Linux.DDOS.Flood.J 20150905
Avast ELF:MrBlack-Z [Trj] 20150907
BitDefender Linux.DDOS.Flood.J 20150907
CAT-QuickHeal Linux.Trojan635 20150907
Comodo UnclassifiedMalware 20150907
DrWeb Linux.Mrblack 20150907
ESET-NOD32 Linux/Dnsamp.C 20150907
Emsisoft Linux.DDOS.Flood.J (B) 20150907
F-Secure Linux.DDOS.Flood.J 20150907
GData Linux.DDOS.Flood.J 20150907
Ikarus Trojan.Linux.DDoS 20150907
Jiangmin TrojanDDoS.Linux.cj 20150906
K7AntiVirus Trojan ( 0001140e1 ) 20150907
K7GW Trojan ( 0001140e1 ) 20150907
Kaspersky HEUR:Trojan-DDoS.Linux.DnsAmp.a 20150907
MicroWorld-eScan Linux.DDOS.Flood.J 20150907
NANO-Antivirus Trojan.DnsAmp.drzyii 20150907
Qihoo-360 virus.elf.ddos.b 20150907
Sophos Linux/DDoS-BE 20150907
TrendMicro ELF_DNSAMP.O 20150907
TrendMicro-HouseCall ELF_DNSAMP.O 20150907
VBA32 Linux.DDOS.Flood.A 20150907
ViRobot Trojan.Linux.S.Agent.561108[h] 20150907
Zillya Downloader.OpenConnection.JS.108318 20150905
nProtect Linux.DDOS.Flood.J 20150907


SHA256: 1dd26b70be395384a33540df6de908b707b2f32e929e65f3f4003600dce78d3f
Nom du fichier : DDos123
Ratio de détection : 13 / 56
Date d'analyse : 2015-09-08 06:35:06 UTC (il y a 2 heures, 33 minutes)

Antivirus Résultat Mise à jour
AVG Linux/Generic_c.VM 20150908
Avast ELF:MrBlack-H [Cryp] 20150908
CAT-QuickHeal Linux.DnsAmp.A6d7 20150908
ESET-NOD32 Linux/Dnsamp.A 20150908
Fortinet PossibleThreat.P0 20150908
GData Linux.Trojan.Agent.EF0UO3 20150908
Ikarus Trojan-DDoS.Linux.DnsAmp 20150908
Jiangmin TrojanDDoS.Linux.bq 20150907
Kaspersky Trojan-DDoS.Linux.DnsAmp.a 20150908
Qihoo-360 Trojan.Generic 20150908
Rising NORMAL:Trojan.Linux.DnsAmp.e!1616206[F1] 20150906
Sophos Mal/Generic-S 20150908
Zillya Trojan.Dnsamp.Linux.5 20150908



Se protéger des attaques DDos UDP

La première contre mesure consiste à bêtement bloquer l'usage du protocole UDP. Sur Linux, vous pouvez bien sûr le faire avec iptables ensuite il suffit d'adapter à vos besoins, notamment pour en autoriser la sortie des requêtes DNS car sinon vous ne pourrez plus accéder à la résolution des noms de domaines ;)

iptables -A INPUT -i interface -m state --state ESTABLISHED,RELATED -s ip_serveurdn --protocol udp --source-port 53 -j ACCEPT

iptables -A OUTPUT -o interface -m state --state NEW,ESTABLISHED,RELATED -d ip_serveurdns --protocol udp --destination-port 53 -j ACCEPT

Les protections DoS d'OVH offrent un pare-feu ( firewall ) qui permet d'établir des règles. Si vous êtes chez OVH, vous pouvez donc filtrer le traffic UDP venant de l'internet en amont de votre serveur. Attention toutefois, le firewall réseau ne bloque pas le traffic entre machines OVH ( intra-ovh )

Dans le cas, où le serveur abrite des applications utilisant le protocole UDP, ça se complique.
Vous pouvez commencer par limiter le nombre de connexions en UDP, par exemple :

iptables -N udp-flood
iptables -A OUTPUT -p udp -j udp-flood
iptables -A udp-flood -p udp -m limit --limit 50/s -j RETURN
iptables -A udp-flood -j LOG --log-level 4 --log-prefix 'UDP-flood attempt: '
iptables -A udp-flood -j DROP


Il faudra ensuite adapter au cas par cas en fonction des applications.

Dans le cas d'une attaque, il faudra filtrer les datagrammes légitimes et ceux de l'attaque.
Cette manipulation demande une certaine connaissance réseau et une certaine préparation.

Dans le cas d'une attaque massive et c'est en général le cas, si le nombre de paquets est supérieur à ce que netfilter est capable de gérer, alors c'est l'inondation et la noyade. À ce moment là, il faut se tourner vers l'hébergeur qui pourra peut-être et sous certaines conditions vous venir en aide. Ceci étant, souvent celui-ci effectuera un blocage du serveur et c'est justement là tout le problème des attaques DoS =)

Lien connexes :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités