Pourquoi une attaque (D) DoS ralentit-elle le CPU et plante-t-elle un serveur?

Un SYN flood ne consiste pas à épuiser le CPU, il s'agit d'épuiser la mémoire.

Une connexion TCP est établie via ce que l'on appelle une "prise de contact à trois voies". Traditionnellement, elle fonctionne comme suit:

1. Le client envoie un paquet SYN. Le serveur reçoit le paquet et alloue des ressources pour suivre la connexion.
2. Le serveur répond avec un SYN/ACK paquet.
3. Le client répond avec un paquet ACK, établissant la connexion.

Dans un déluge SYN, l'attaquant envoie un flux continu de paquets SYN, tout en ignorant le SYN/ACK réponses. Cela laisse au serveur un grand nombre de connexions à moitié ouvertes qui resteront en place pendant un certain temps; si l'attaquant peut envoyer des paquets assez rapidement, le serveur ne pourra pas répondre aux demandes authentiques. Un serveur mal écrit peut même manquer de mémoire et se bloquer.

La défense standard contre les inondations SYN est cookies SYN :

1. Le client envoie un paquet SYN.
2. Le serveur répond par un SYN/ACK paquet avec des valeurs soigneusement sélectionnées pour certains paramètres TCP qui lui permettent d'identifier le ACK répondant.
3. Le client répond avec un paquet ACK basé sur ces paramètres, établissant la connexion. Le serveur alloue maintenant des ressources pour suivre la connexion.

En retardant l'allocation des ressources jusqu'à ce que la connexion soit entièrement établie, il n'y a plus l'asymétrie d'effort qui rend l'attaque par inondation pratique.

Un DDoS ne plante généralement pas un serveur. Il le surcharge, le rendant inaccessible pour une utilisation normale. La "meilleure" façon d'y parvenir dépend de la fonction du serveur et de la façon dont il est configuré. Il existe de nombreuses façons de procéder, pour n'en nommer que quelques-unes:

• surcharger l'interface réseau avec du trafic afin qu'il soit rempli d'ordures et que le trafic légitime n'atteigne pas le serveur
• épuiser le pare-feu en créant un grand nombre de sessions, tant il ne peut pas suivre l'état de la session et n'acceptera pas de nouvelles sessions
• déclencher rapidement des requêtes (par exemple, des pages Web ouvertes sur un serveur Web) qui nécessitent beaucoup de ressources pour être générées (par exemple, des calculs complexes ou des recherches de base de données). Cela réduit la disponibilité du processus serveur et augmente la charge sur le processeur.
• remplir des disques, par exemple en créant de nombreuses entrées de journal ou en téléchargeant des données

Habituellement, les attaques DDoS sont ce qu'on appelle des attaques de couche 4. Ceux-ci utilisent souvent des inondations SYN et visent à épuiser toute la bande passante disponible. Tout comme vous ne pouvez pas télécharger des films à une vitesse illimitée depuis votre ordinateur personnel, un serveur ne peut pas accepter les demandes entrantes et envoyer des réponses sortantes à un taux illimité. Bien sûr, un serveur peut avoir plus de bande passante que vous, mais les plus grandes attaques DDoS utilisent des centaines de gigabits par seconde!

Il y a ensuite ce qu'on appelle les attaques de couche 7. Il s'agit souvent d'attaques non distribuées visant certaines ressources comme le processeur ou l'espace disque. Alors qu'une attaque de couche 4 est universelle, une attaque de couche 7 doit viser une faiblesse spécifique de la victime. Habituellement, quelque chose de très gourmand en ressources (qui n'est pas mis en cache) comme la recherche en texte intégral est utilisé comme cible. Comme vous le dites, une prise de contact SYN-ACK ne consomme pas beaucoup de ressources, ce qui serait un mauvais choix pour une attaque de niveau 7.

Donc, en conclusion:

• Une attaque de couche 4 peut utiliser des paquets SYN, mais vise la bande passante et non l'utilisation du processeur.
• Une attaque de couche 7 pourrait viser l'utilisation du processeur, mais n'utiliserait pas les paquets SYN.