web-dev-qa-db-fra.com

Les attaquants peuvent-ils obtenir quoi que ce soit avec les attaques DoS, sauf planter le service?

Une attaque DoS (abréviation de "denial of service") est une forme d'attaque utilisée sur les services Web qui vise à "planter" le service.

Y a-t-il un motif de cette forme d'attaque en plus de planter le service/site Web?

Par exemple, je pourrais penser au chantage/nuire à un concurrent/à des raisons politiques comme un motif direct d'attaque DoS. Mais y a-t-il d'autres motifs plus indirects? Serait-il possible d'obtenir des données du service avec une attaque DoS? Si c'est le cas, comment?

65
Martin Thoma

En général, une attaque par déni de service (distribué) ne vous fournira pas directement beaucoup d'informations. Cependant, il existe quelques scénarios où des informations pourraient être glanées à la suite d'un DoS. Voici quelques exemples, mais ce n'est pas du tout exhaustif:

  • Un équilibreur de charge peut divulguer des informations de sous-réseau interne ou divulguer des noms de machine internes dans des situations où les systèmes de sauvegarde sont hors ligne.
  • Un DoS qui arrête la base de données en premier peut faire en sorte qu'une application révèle le type de moteur de base de données, le nom d'utilisateur de connexion ou l'adresse IP interne via un message d'erreur.
  • Une API mal implémentée peut entraîner un scénario "fail-open" - Le fait de faire un serveur Single Sign On peut donner à un attaquant la possibilité de se connecter sans authentification ou avec des informations d'identification locales.
  • Dans les scénarios de menace persistante avancée, l'infrastructure de détection de DoS peut permettre à un attaquant de ne pas être détecté pendant les autres étapes de collecte d'informations.
  • De même, le fait de faire l'interface utilisateur d'un pare-feu peut entraver les efforts de réponse aux incidents de l'administration réseau.
  • Dans un cas extrême, DoS contre un service de révocation de clés pourrait permettre à un attaquant de continuer à utiliser des informations d'identification révoquées ou compromises.

D'autres motifs d'attaque par déni de service deviennent apparents si vous considérez les utilisateurs d'un système comme des cibles en plus du système lui-même: une attaque par déni de service contre un site Web qui vend des billets de concert peut permettre à un attaquant d'acheter des billets pour un événement qui aurait sinon vendu en quelques minutes. Un DoS contre un système de contrôle de version pourrait empêcher une société de développement de fournir des logiciels à temps. Un DoS contre un site de médias sociaux pourrait rendre la coordination des manifestations politiques plus difficile, voire impossible.

74
Motoma

En général, les attaques DoS sont uniquement conçues pour provoquer (comme leur nom l'indique) un déni de service, c'est-à-dire un compromis sur la disponibilité du service.

Autres formes de DoS, par ex. le déclenchement d'une déréférence de pointeur nul peut être utilisé pour compromettre l'intégrité en plantant un service sans qu'il ait le temps de fermer proprement les fichiers, ce qui entraîne une corruption des données (perte d'intégrité). Les bases de données sont une cible évidente pour ce genre de chose.

Les pare-feu et autres services de sécurité devraient échouer s'ils sont effectivement DoS'ed. Je ne suis au courant d'aucun cas où quelque chose comme ça échouerait. Cependant, je pouvais prévoir un scénario où un serveur derrière un équilibreur de charge tombe dans une attaque DoS, de sorte que l'équilibreur de charge passe à un système secondaire, qui est configuré de manière plus faible, révélant ainsi cette vulnérabilité en externe.

En dehors de la triade CIA, vous pourriez constater que les attaques DoS sont utilisées pour détourner l'attention et les ressources humaines d'une attaque plus subtile.

13
Polynomial

Oui, l'attaque DoS peut être utile à un attaquant.

(Soit dit en passant, ce n'est pas seulement une attaque contre les services Web. Elle peut être dirigée contre n'importe quel périphérique réseau).

Le but de DoSing un appareil dans de tels cas est de le faire réagir plus lentement ou plus tard qu'il ne le ferait normalement. Du haut de ma tête, je vois:

  • Empoisonnement du cache DNS (attaque de Kaminsky) - Cela dépend de la capacité de l'attaquant à fournir une réponse DNS plus tôt que le serveur DNS faisant autorité, ce qui pourrait être accompli par DoSing du serveur faisant autorité.
  • L'attaque par insertion quantique de la NSA repose sur une réponse plus rapide que le serveur légitime
  • L'usurpation d'adresse TCP/IP est également facilitée en ralentissant la réponse légitime
  • Les serveurs OCSP (état du certificat) sont si peu fiables et surchargés, que certains navigateurs Web ne les vérifient pas par défaut, ouvrant la voie à de fausses attaques de certificats

Sur une note différente, les serveurs DoSing clearnet (par exemple par un dos classique, ou tout simplement en coupant l'accès au réseau) pourraient être utilisés pour vérifier l'identité du service caché de Tor - par exemple il aurait pu être utilisé pour localiser le serveur de Silk Road.

Dans la même veine, les nazis pendant la Seconde Guerre mondiale ont utilisé une sorte de DoS (coupure de l'électricité dans les quartiers et les rues de la ville) pendant la résistance transimissions des radiostations pour connaître leur emplacement.

13
Edheldil

Une attaque DoS (abréviation de "denial of service") est une forme d'attaque utilisée sur les services Web qui vise à "planter" le service. *

Pas exactement. Comme son nom l'indique, l'objectif est de rendre le service indisponible pour les utilisateurs légitimes. La façon la plus courante de le faire pour un service Internet tel qu'un serveur Web est de saturer les connexions afin que personne d'autre ne puisse se connecter. Cela peut être fait par exemple via un SYN flood .

Edit: comme l'a commenté @RoryAlsop, un attaquant pourrait également essayer de planter le service afin de le rendre complètement hors ligne.

Serait-il possible d'obtenir des données du service avec une attaque DoS? Si c'est le cas, comment?

Non, il s'agit d'un type d'attaque complètement différent - qui pourrait cependant être mené en conjonction avec un DoS, ce dernier ayant pour objectif de saturer les ressources d'un appareil lié à la sécurité, par ex. un IDS, un pare-feu ou même un enregistreur.

5
dr_

Un résultat d'une attaque DoS qui, je crois, n'a pas été mentionné dans aucune des autres réponses, est la possibilité qu'une action particulière puisse entraîner le stockage de données, même s'il ne s'agit que d'octets. Par exemple, si la visite d'une URL particulière peut enregistrer quelque chose dans un fichier, le but de l'attaquant pourrait être de remplir le disque dur.

Cela pourrait créer des ravages pour effacer l'espace disque, en particulier si les données sont créées dans des fichiers séparés, avec des noms éventuellement aléatoires, ou si les données sont ajoutées à une base de données contenant des données légitimes.

4
user530873

Bien qu'un DoS ne puisse normalement pas être utilisé pour causer des dommages autres que simplement mettre le serveur hors ligne, dans certaines circonstances (le plus souvent en raison de systèmes mal configurés), ils peuvent entraîner de graves conséquences, telles que des fuites de données.

Un exemple célèbre est le fuite d'informations sur le site Web de la loi ACS . Le serveur mal configuré, lorsqu'il a été redémarré après la fin de l'attaque DoS, a en quelque sorte perdu ses paramètres d'origine et a permis à sa racine de répertoire d'être visible publiquement.

"Leur site est revenu en ligne [après l'attaque DDoS] - et sur leur page d'accueil se trouvait accidentellement un fichier de sauvegarde de l'ensemble du site Web (liste des répertoires par défaut, leur site était vide), y compris les e-mails et les mots de passe", a déclaré un chef du groupe attaquant. TorrentFreak. "L'e-mail contient des mots de passe de facturation et certaines informations selon lesquelles ACS: Law a des problèmes financiers."

Cela a ensuite entraîné de graves répercussions financières et sur la réputation de la loi ACS.

2
March Ho

Je pense à des gains non techniques pour l'attaquant:

  • Extraire l'argent de la rançon du service attaqué pour arrêter l'attaque DoS
  • Attirer l'attention du public pour une cause politique (le groupe anonyme a utilisé des attaques DoS dans le passé de cette façon)
  • Obtenir un avantage commercial en supprimant le site Web du concurrent (un attaquant peut proposer cela comme un service illégal)
2

La plupart des réponses ici mentionnent les effets secondaires des attaques DOS. Cependant, je pense qu'il y a aussi l'option inverse possible: que l'attaque DOS n'est pas la cause des effets secondaires, mais est plutôt elle-même un effet secondaire d'une autre attaque. Par exemple, une attaque DOS peut être un effet secondaire d'une force brute de botnet énumérant des adresses e-mail via un écran de mot de passe oublié, ralentissant le service ou même le plantant.

Le motif de cette forme d'attaque n'est pas de détruire le système, mais plutôt d'obtenir une liste des utilisateurs du service, où la méthode utilisée pour obtenir la liste des utilisateurs a pour effet secondaire de supprimer le système.

1
Nzall

Habituellement, mais pas nécessairement. Tout dépend de ce qui se passe ensuite lorsque le service prévu échoue en raison de l'attaque. Imaginez que l’effet de l’attaque soit de surcharger l’authentification de l’utilisateur pour un site et que l’échec ait pour effet d’autoriser le service au lieu de le refuser. Probablement pas le comportement prévu, facilement celui qui pourrait être manqué dans les tests normaux.

0
ddyer