Veille : Netasq décortique l’attaque sockstress / Outpost24

Stratégies Channel

Le 8 Septembre 2009, la société Outpost24 diffusait une suite d’outils basée sur le protocole TCP. Ce logiciel, appelé « sockstress » combine plusieurs attaques qui détournent l’usage du protocole dans le but de rendre inaccessible un serveur. Ce type d’attaque est communément appelé « déni de service ». Après nous en avoir alerté en juin, NETASQ va plus loin et  met à la disposition des acteurs IT et de ses partenaires un document en ligne présentant de manière synthétique l’attaque et le moyen de s’en protéger.

Par Netasq France

Le déni de service

Une attaque par déni de service (DoS) a pour objectif d’affecter la disponibilité d’un service réseau. Le succès d’une attaque de ce type se mesure par l’impossibilité d’accéder au service souhaité. Les cibles principales de ces attaques sont les sites publics et plus particulièrement les sites de ecommerce ou de paris en ligne. Pour ces derniers, une attaque de déni de service s’accompagne d’autres pratiques frauduleuses telles que le chantage.

Les DoS sont de 2 types principaux :
    . Déni de service par saturation de l’accès (attaque sur la bande passante)
    . Déni de service par saturation des ressources du serveur (processeur et/ou mémoire)

Les serveurs d’entreprise ont généralement beaucoup plus de ressources que les attaquants. La réussite d’un Dos passe donc souvent par l’utilisation de nombreuses sources d’attaque (on parle dans ce cas de déni de service distribué ou DDoS) ou par l’exploitation d’une faille logicielle qui permet de consommer toutes les ressources du serveur (DoS logiciel).
L’outil sockstress exploitent différents mécanismes du protocole TCP pour saturer les ressources mémoires de n’importe quel serveur TCP publiquement accessible.

Un peu de technique

Le protocole TCP est la pierre angulaire des communications Internet ou Interentreprises. Il permet un échange fiable des données et sert de support à de nombreux protocoles applicatifs : web, mail, ftp, messagerie instantanée, etc.

L’outil sockstress exploite une fonctionnalité du protocole TCP qui lui permet d’optimiser les échanges d’informations entre un client et un serveur. Ce mécanisme est appelé fenêtre TCP (TCP Window).
Une fois les présentations faites de manière fiable (TCP Handshake), le client et le serveur échangent des données (DATA) et des accusés de réception (ACK). Pour éviter de devoir attendre un accusé de réception après chaque envoi de donnée, le client et le serveur annoncent dans chaque paquet TCP la quantité de données qu’ils peuvent recevoir sans accusé de réception. Cette valeur est appelée « taille de la fenêtre TCP ».

Sockstress détourne l’usage de cette optimisation apportée par la mécanique de fenêtre TCP.

La suite est à lire ici : www.netasq.com/fr/veille/sockstress.php


Lire la biographie de l´auteur  Masquer la biographie de l´auteur