Par Netasq France
Le déni de service
Une attaque par déni de service (DoS) a pour objectif d’affecter la disponibilité d’un service réseau. Le succès d’une attaque de ce type se mesure par l’impossibilité d’accéder au service souhaité. Les cibles principales de ces attaques sont les sites publics et plus particulièrement les sites de ecommerce ou de paris en ligne. Pour ces derniers, une attaque de déni de service s’accompagne d’autres pratiques frauduleuses telles que le chantage.
Les DoS sont de 2 types principaux :
. Déni de service par saturation de l’accès (attaque sur la bande passante)
. Déni de service par saturation des ressources du serveur (processeur et/ou mémoire)
Les serveurs d’entreprise ont généralement beaucoup plus de ressources que les attaquants. La réussite d’un Dos passe donc souvent par l’utilisation de nombreuses sources d’attaque (on parle dans ce cas de déni de service distribué ou DDoS) ou par l’exploitation d’une faille logicielle qui permet de consommer toutes les ressources du serveur (DoS logiciel).
L’outil sockstress exploitent différents mécanismes du protocole TCP pour saturer les ressources mémoires de n’importe quel serveur TCP publiquement accessible.
Un peu de technique
Le protocole TCP est la pierre angulaire des communications Internet ou Interentreprises. Il permet un échange fiable des données et sert de support à de nombreux protocoles applicatifs : web, mail, ftp, messagerie instantanée, etc.
L’outil sockstress exploite une fonctionnalité du protocole TCP qui lui permet d’optimiser les échanges d’informations entre un client et un serveur. Ce mécanisme est appelé fenêtre TCP (TCP Window).
Une fois les présentations faites de manière fiable (TCP Handshake), le client et le serveur échangent des données (DATA) et des accusés de réception (ACK). Pour éviter de devoir attendre un accusé de réception après chaque envoi de donnée, le client et le serveur annoncent dans chaque paquet TCP la quantité de données qu’ils peuvent recevoir sans accusé de réception. Cette valeur est appelée « taille de la fenêtre TCP ».
Sockstress détourne l’usage de cette optimisation apportée par la mécanique de fenêtre TCP.
La suite est à lire ici : www.netasq.com/fr/veille/sockstress.php
