Une attaque DoS (abréviation de "denial of service") est une forme d'attaque utilisée sur les services Web qui vise à "planter" le service.
Y a-t-il un motif de cette forme d'attaque en plus de planter le service/site Web?
Par exemple, je pourrais penser au chantage/nuire à un concurrent/à des raisons politiques comme un motif direct d'attaque DoS. Mais y a-t-il d'autres motifs plus indirects? Serait-il possible d'obtenir des données du service avec une attaque DoS? Si c'est le cas, comment?
En général, une attaque par déni de service (distribué) ne vous fournira pas directement beaucoup d'informations. Cependant, il existe quelques scénarios où des informations pourraient être glanées à la suite d'un DoS. Voici quelques exemples, mais ce n'est pas du tout exhaustif:
D'autres motifs d'attaque par déni de service deviennent apparents si vous considérez les utilisateurs d'un système comme des cibles en plus du système lui-même: une attaque par déni de service contre un site Web qui vend des billets de concert peut permettre à un attaquant d'acheter des billets pour un événement qui aurait sinon vendu en quelques minutes. Un DoS contre un système de contrôle de version pourrait empêcher une société de développement de fournir des logiciels à temps. Un DoS contre un site de médias sociaux pourrait rendre la coordination des manifestations politiques plus difficile, voire impossible.
En général, les attaques DoS sont uniquement conçues pour provoquer (comme leur nom l'indique) un déni de service, c'est-à-dire un compromis sur la disponibilité du service.
Autres formes de DoS, par ex. le déclenchement d'une déréférence de pointeur nul peut être utilisé pour compromettre l'intégrité en plantant un service sans qu'il ait le temps de fermer proprement les fichiers, ce qui entraîne une corruption des données (perte d'intégrité). Les bases de données sont une cible évidente pour ce genre de chose.
Les pare-feu et autres services de sécurité devraient échouer s'ils sont effectivement DoS'ed. Je ne suis au courant d'aucun cas où quelque chose comme ça échouerait. Cependant, je pouvais prévoir un scénario où un serveur derrière un équilibreur de charge tombe dans une attaque DoS, de sorte que l'équilibreur de charge passe à un système secondaire, qui est configuré de manière plus faible, révélant ainsi cette vulnérabilité en externe.
En dehors de la triade CIA, vous pourriez constater que les attaques DoS sont utilisées pour détourner l'attention et les ressources humaines d'une attaque plus subtile.
Oui, l'attaque DoS peut être utile à un attaquant.
(Soit dit en passant, ce n'est pas seulement une attaque contre les services Web. Elle peut être dirigée contre n'importe quel périphérique réseau).
Le but de DoSing un appareil dans de tels cas est de le faire réagir plus lentement ou plus tard qu'il ne le ferait normalement. Du haut de ma tête, je vois:
Sur une note différente, les serveurs DoSing clearnet (par exemple par un dos classique, ou tout simplement en coupant l'accès au réseau) pourraient être utilisés pour vérifier l'identité du service caché de Tor - par exemple il aurait pu être utilisé pour localiser le serveur de Silk Road.
Dans la même veine, les nazis pendant la Seconde Guerre mondiale ont utilisé une sorte de DoS (coupure de l'électricité dans les quartiers et les rues de la ville) pendant la résistance transimissions des radiostations pour connaître leur emplacement.
Une attaque DoS (abréviation de "denial of service") est une forme d'attaque utilisée sur les services Web qui vise à "planter" le service. *
Pas exactement. Comme son nom l'indique, l'objectif est de rendre le service indisponible pour les utilisateurs légitimes. La façon la plus courante de le faire pour un service Internet tel qu'un serveur Web est de saturer les connexions afin que personne d'autre ne puisse se connecter. Cela peut être fait par exemple via un SYN flood .
Edit: comme l'a commenté @RoryAlsop, un attaquant pourrait également essayer de planter le service afin de le rendre complètement hors ligne.
Serait-il possible d'obtenir des données du service avec une attaque DoS? Si c'est le cas, comment?
Non, il s'agit d'un type d'attaque complètement différent - qui pourrait cependant être mené en conjonction avec un DoS, ce dernier ayant pour objectif de saturer les ressources d'un appareil lié à la sécurité, par ex. un IDS, un pare-feu ou même un enregistreur.
Un résultat d'une attaque DoS qui, je crois, n'a pas été mentionné dans aucune des autres réponses, est la possibilité qu'une action particulière puisse entraîner le stockage de données, même s'il ne s'agit que d'octets. Par exemple, si la visite d'une URL particulière peut enregistrer quelque chose dans un fichier, le but de l'attaquant pourrait être de remplir le disque dur.
Cela pourrait créer des ravages pour effacer l'espace disque, en particulier si les données sont créées dans des fichiers séparés, avec des noms éventuellement aléatoires, ou si les données sont ajoutées à une base de données contenant des données légitimes.
Bien qu'un DoS ne puisse normalement pas être utilisé pour causer des dommages autres que simplement mettre le serveur hors ligne, dans certaines circonstances (le plus souvent en raison de systèmes mal configurés), ils peuvent entraîner de graves conséquences, telles que des fuites de données.
Un exemple célèbre est le fuite d'informations sur le site Web de la loi ACS . Le serveur mal configuré, lorsqu'il a été redémarré après la fin de l'attaque DoS, a en quelque sorte perdu ses paramètres d'origine et a permis à sa racine de répertoire d'être visible publiquement.
"Leur site est revenu en ligne [après l'attaque DDoS] - et sur leur page d'accueil se trouvait accidentellement un fichier de sauvegarde de l'ensemble du site Web (liste des répertoires par défaut, leur site était vide), y compris les e-mails et les mots de passe", a déclaré un chef du groupe attaquant. TorrentFreak. "L'e-mail contient des mots de passe de facturation et certaines informations selon lesquelles ACS: Law a des problèmes financiers."
Cela a ensuite entraîné de graves répercussions financières et sur la réputation de la loi ACS.
Je pense à des gains non techniques pour l'attaquant:
La plupart des réponses ici mentionnent les effets secondaires des attaques DOS. Cependant, je pense qu'il y a aussi l'option inverse possible: que l'attaque DOS n'est pas la cause des effets secondaires, mais est plutôt elle-même un effet secondaire d'une autre attaque. Par exemple, une attaque DOS peut être un effet secondaire d'une force brute de botnet énumérant des adresses e-mail via un écran de mot de passe oublié, ralentissant le service ou même le plantant.
Le motif de cette forme d'attaque n'est pas de détruire le système, mais plutôt d'obtenir une liste des utilisateurs du service, où la méthode utilisée pour obtenir la liste des utilisateurs a pour effet secondaire de supprimer le système.
Habituellement, mais pas nécessairement. Tout dépend de ce qui se passe ensuite lorsque le service prévu échoue en raison de l'attaque. Imaginez que l’effet de l’attaque soit de surcharger l’authentification de l’utilisateur pour un site et que l’échec ait pour effet d’autoriser le service au lieu de le refuser. Probablement pas le comportement prévu, facilement celui qui pourrait être manqué dans les tests normaux.