Présentation
Auteur(s)
-
Olivier PAUL : Docteur ès sciences - Maître de Conférence à l’Institut National des Télécommunications
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleINTRODUCTION
Par attaque de dénis de service, on entend toute attaque qui permet d’utiliser ou de réserver sur un équipement réseau une quantité de ressources (mémoire, temps, CPU, bande passante...) telle que l’accès de clients légitimes aux services fournis par l’équipement soit devient impossible, soit se produit dans des conditions tellement dégradées qu’elles ne peuvent satisfaire le client. Plusieurs causes peuvent aboutir à cette conséquence et la mise au point de méthodes permettant d’identifier ces causes est encore un sujet de recherche ouvert.
On peut distinguer, parmi les types d’attaque existants, les attaques directes, formes les plus simples où l’attaquant émet des requêtes vers la victime. Dans les attaques distribuées, l’attaquant utilise des ordinateurs esclaves qu’il contrôle à distance. Enfin, l’utilisation de déflecteurs permet à l’attaquant d’ajouter un degré d’indirection.
Comme les attaques de dénis constituent un risque majeur pour tout équipement connecté sur Internet, il est important d’implémenter des techniques de prévention, détection, traçage et suppression des attaques dans le réseau. Les approches par filtrage permettent de limiter la capacité des attaquants à effectuer des usurpations d’adresses. Ces techniques peuvent être complétées par des techniques de redirection et de traçage des attaques afin d’en limiter leur impact et de trouver leurs sources. Enfin, de nouvelles techniques font l’objet de recherches et d’innovation.
La sélection d’une technique de prévention dépend notamment des contraintes techniques provenant du réseau existant, du type de client et du type d’attaque que l’on souhaite prévenir.
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
VERSIONS
- Version archivée 2 de avr. 2012 par Olivier PAUL
DOI (Digital Object Identifier)
Présentation
Prévention des attaques de dénis de serviceArticle inclus dans l'offre
"Technologies logicielles Architectures des systèmes"
(237 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
1. Problématique
Parmi les problèmes de sécurité informatique, la problématique des attaques de dénis de service s’est fortement développée au cours des dix dernières années. En particulier un sondage parmi un groupe important de professionnels de la sécurité informatique rapporte que 27 % aurait été victime de ce type d’attaques.
1.1 Différents types d’attaques de dénis de service
Peut‐on assimiler toute situation où l’accès légitime de clients à des services devient impossible à des dénis de service ? La réponse est bien évidemment non. Plusieurs causes peuvent aboutir à cette conséquence et la seule distinction pouvant être réalisée porte sur la volonté de nuisance de la personne provoquant la saturation. Certaines de ces causes, comme certains types de pannes physiques, sont relativement faciles à distinguer d’attaques de dénis de service ; d’autres causes, comme les phénomènes subits de popularité d’un service (flash crowds ), sont beaucoup plus difficiles à distinguer. La mise au point de méthodes permettant de distinguer les causes de saturation d’un service est encore aujourd’hui un sujet de recherche ouvert.
Afin de classer les attaques existantes nous distinguerons les attaques en fonction du degré d’indirection qui existe entre l’attaquant et la victime.
HAUT DE PAGE
Les attaques directes sont les formes les plus simples d’attaques de dénis de service. Dans les attaques directes, l’attaquant émet des requêtes vers la victime aussi vite qu’il le peut. En fonction du type de requête, le débit d’émission n’est pas forcément très important. Ainsi si chaque requête réserve un grand nombre de ressources chez la victime, le nombre de requêtes suffisant peut rester relativement modeste. Ainsi il a été montré ...
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
Problématique
Article inclus dans l'offre
"Technologies logicielles Architectures des systèmes"
(237 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
BIBLIOGRAPHIE
-
(1) - MOORE (D.), VOELKER (G.), SAVAGE (S.) - Inferring Internet Denial of Service Activity, - 2001 USENIX Security Symposium, août 2001.
-
(2) - GIBSON (S.) - The Strange Tale of the Distributed Denial of Service Attacks Against GRC.COM. - Disponible sur grc.com/dos/ grcdos.htm, juil. 2001.
-
(3) - PAXSON (V.) - An Analysis of Using Reflectors for distributed Denial of Service Attacks. - Computer Communication Review, juil. 2001.
-
(4) - HOULE (K.), WEAVER (G.) - Trends in Denial of Service Attack Technology. - CERT Coordination Center, oct. 2001.
-
(5) - FERGUSON (P.), SENIE (D.) - * - RFC 2827, Network Ingress Filtering, Defeating Denial of Service Attacks which employ IP address spoofing, mai 2000.
-
(6) - Cisco Systems - * - Unicast Reverse Path Forwarding (2000).
-
...
Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Technologies logicielles Architectures des systèmes"
(237 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.