Protection des réseaux - Prévenir les attaques DoS

Objectifs d'apprentissage

• Comprendre les mécanismes des attaques DoS (Déni de Service) et leurs impacts sur les réseaux.
• Identifier les différentes formes d'attaques DoS et leurs méthodes d'exécution.
• Maîtriser les outils et techniques de détection et de prévention contre ces attaques.
• Appliquer des solutions pratiques pour sécuriser un réseau contre les attaques DoS.
• Développer un script basique pour détecter et contrer les attaques DoS en temps réel.

Public cible

Ce cours s'adresse aux administrateurs réseau, aux professionnels de la cybersécurité, aux étudiants en informatique et à toute personne souhaitant approfondir ses connaissances sur la protection des réseaux contre les attaques DoS. Une compréhension de base des réseaux et de la sécurité informatique est recommandée.

Introduction

Les attaques par Déni de Service (DoS) représentent l'une des menaces les plus courantes et dévastatrices pour les réseaux informatiques. Elles visent à rendre un service ou une ressource indisponible en submergeant le système de requêtes malveillantes. Ce cours explore en détail les différentes formes d'attaques DoS, leurs origines, leurs conséquences et les méthodes pour s'en protéger.

Une vulnérabilité connue : le Déni de Service

Le Déni de Service exploite les faiblesses des protocoles réseau ou des applications pour saturer les ressources (bande passante, CPU, mémoire). Ces attaques peuvent cibler des serveurs web, des infrastructures cloud ou même des équipements réseau comme les routeurs et les firewalls.

D'où proviennent les attaques et pourquoi ?

Les attaques DoS peuvent être lancées par des hackers individuels, des groupes organisés ou même des États. Les motivations varient : sabotage concurrentiel, activisme, extorsion ou simple vandalisme. Certaines attaques sont automatisées via des botnets, rendant leur traçabilité complexe.

Que sont les attaques DoS ? Les conséquences

Une attaque DoS perturbe le fonctionnement normal d'un service en le rendant inaccessible aux utilisateurs légitimes. Les conséquences incluent des pertes financières, une atteinte à la réputation, et des interruptions critiques pour les services essentiels (santé, banques, etc.).

Historique & Les différentes attaques DoS

Les premières attaques DoS remontent aux années 1990 avec des méthodes simples comme les floods SYN. Aujourd'hui, elles ont évolué vers des techniques sophistiquées comme les attaques DDoS (Distributed DoS), utilisant des milliers d'appareils compromis.

Les attaques par surcharge

Elles visent à saturer la bande passante ou les ressources système (ex : requêtes HTTP massives, floods UDP). Des outils comme LOIC (Low Orbit Ion Cannon) permettent de générer facilement ce type d'attaque.

Les attaques par failles

Certaines attaques exploitent des vulnérabilités logicielles pour planter un service (ex : buffer overflow, failles Zero-Day). Contrairement aux floods, elles nécessitent moins de trafic mais sont tout aussi destructrices.

Les attaques distribuées (DDoS) et par usurpation

Les DDoS utilisent des réseaux de machines zombies (botnets) pour amplifier l'attaque. L'usurpation d'adresse IP (IP spoofing) masque l'origine réelle des attaquants, compliquant la mitigation.

Les outils d'attaques et les moyens de se prémunir

Des outils comme Slowloris, HOIC ou Mirai sont couramment utilisés. Pour s'en protéger, il faut combiner plusieurs stratégies : limitation du débit (rate limiting), filtrage des paquets, et analyse comportementale.

Les modes de détection et les mises à jour systèmes

La détection repose sur l'analyse du trafic (anomalies de volume, motifs suspects). Les mises à jour régulières des systèmes et pare-feux permettent de corriger les vulnérabilités exploitées.

Les sondes IDS/IPS et les firewalls

Les systèmes de détection/prévention d'intrusion (IDS/IPS) analysent le trafic en temps réel pour bloquer les attaques. Les firewalls modernes intègrent des fonctionnalités anti-DoS (ex : SYN cookies).

Comment améliorer la détection et la prévention

L'utilisation du machine learning pour identifier les patterns malveillants, la redondance des serveurs, et la collaboration avec les FAI pour filtrer le trafic à la source sont des approches efficaces.

Une combinaison de protections

Aucune solution unique ne suffit. Il faut adopter une approche multicouche : filtrage réseau, équilibrage de charge, et plans de réponse aux incidents.

Un script pour détecter et contrer les attaques DoS

Un script basé sur Tshark (version CLI de Wireshark) peut surveiller le trafic et bloquer les IPs suspectes. Exemple de fonctionnalités : détection de floods SYN, seuils de paquets/seconde, et automatisation des contre-mesures.

Mode opératoire

Le script analyse les en-têtes IP, identifie les sources de trafic anormal, et active des règles iptables pour bloquer les attaquants. Des logs détaillés permettent une analyse post-attaque.