Qu'est-ce qu'une attaque low-and-slow ?

Une attaque low-and-slow est un type d'attaque par déni de service (DoS) conçu pour échapper à la détection en envoyant du trafic applicatif ou plus fréquemment des requêtes HTTP qui semblent légitimes, mais à un volume est très lent. Également connues sous le nom d'attaques slow-rate, les attaques de type low-and-slow nécessitent peu de bande passante et peuvent être lancées à partir d'un seul ordinateur ou avec un botnet. Le trafic d'une attaque de ce type est difficile à détecter car il semble s'agir d'un trafic de modèle OSI de couche 7 (la couche applicative) légitime et son taux d'envoi ne déclenche pas d'alertes de sécurité volumétriques.

Les attaques par force brute peuvent également utiliser une méthodologie low-and-slow, tentant d'obtenir un accès non autorisé à un compte ou à un système en devinant une combinaison de nom d'utilisateur et de mot de passe à un rythme relativement lent pour éviter la détection ou le déclenchement d'un verrouillage. Les attaquants exploitent de vastes réseaux d'hôtes infectés ou compromis pour mener de telles attaques, allant généralement de plusieurs milliers à plusieurs millions de bots.

Qu'est-ce qu'une attaque DoS ou DDoS ?

Les attaques par déni de service et les attaques par déni de service distribué (DDoS) ciblent des serveurs, des sites Web, des applications ou des réseaux en les inondant de trafic malveillant. En envoyant du trafic ou des requêtes qui épuisent les ressources de traitement, de bande passante ou de mémoire d'un serveur, les attaques par déni de service ralentissent ou font planter le terminal, le rendant indisponible pour le trafic valide et les utilisateurs légitimes. Une attaque DoS utilise un seul terminal pour générer du trafic. Une attaque DDoS génère du trafic en utilisant plusieurs milliers ou millions de terminaux infectés par des logiciels malveillants contrôlés par des cybercriminels.

Comment fonctionnent les attaques low-and-slow ?

Contrairement à d'autres attaques par déni de service qui bombardent un serveur de quantités massives de trafic en peu de temps, les attaques DDoS low-and-slow envoient de petites quantités de trafic malveillant à la cible pour éviter des pics soudains qui pourraient déclencher des alertes de sécurité. Ce type d'attaque envoie du trafic à des serveurs Web basés sur des threads, bloquant chaque thread à l'aide de requêtes lentes. Lorsque cela se fait à une échelle de plus en plus grande, le serveur ne peut finalement plus répondre au trafic légitime. Les attaques low-and-slow se concentrent souvent sur le HTTP, mais peuvent également impliquer des sessions TCP avec des taux de transfert lents dirigés vers n'importe quel service TCP.

Pourquoi les attaques low-and-slow sont-elles efficaces ?

Les attaques low-and-slow sont efficaces car elles volent sous le radar des systèmes de détection d'intrusion. Comme le trafic envoyé aux serveurs crée des paquets à un rythme très lent, il est difficile de le distinguer du trafic légitime. En limitant le débit des requêtes envoyées à un serveur, les attaques low-and-slow peuvent échapper aux techniques de protection basées sur le débit généralement utilisées pour identifier et bloquer les attaques DDoS traditionnelles.

Quels sont les types courants d'attaques low-and-slow ?

Trois des attaques low-and-slow les plus courantes sont les suivantes :

Slowloris. Une attaque Slowloris se connecte à un serveur et envoie lentement des en-têtes HTTP partiels, obligeant le serveur à garder la connexion ouverte pendant qu'il attend le reste de l'en-tête. En consommant le maximum de connexions disponibles sur le serveur, les attaques Slowloris finissent par épuiser les ressources du serveur et l'empêcher de répondre aux utilisateurs légitimes.
Sockstress. Une attaque Sockstress exploite une vulnérabilité dans la négociation TCP/IP à trois voies pour créer une connexion indéfinie.
R.U.D.Y. Cette attaque (acronyme de R-U-Dead-Yet?) génère des requêtes HTTP POST pour remplir des champs de formulaire. Les requêtes malveillantes ne précisent pas la quantité de données attendue et envoient ensuite les données très lentement ; un serveur maintiendra donc les connexions ouvertes, anticipant l'arrivée de davantage de données.

Quelle est la meilleure façon d'atténuer les attaques low-and-slow ?

Stopper les attaques low-and-slow exige que les équipes de cybersécurité déploient une approche multicouche de l'atténuation.

Analyse comportementale. En analysant les schémas de trafic normaux et en surveillant continuellement le comportement du trafic en temps réel, les équipes de sécurité peuvent remarquer des anomalies qui indiquent une attaque low-and-slow.
Surveillance en temps réel. La surveillance de ressources telles que le processeur, la mémoire, les états des applications, les tableaux de connexion, les threads d'application, et d'autres ressources peut révéler des anomalies indiquant qu'une attaque est en cours.
Connexions accrues. La mise à niveau de la disponibilité du serveur et l'ajout de connexions rendent l'épuisement des ressources d'un serveur par une attaque low-and-slow plus difficile.
Protection basée sur proxy inverse. Cette approche atténue les attaques low-and-slow avant qu'elles n'atteignent le serveur d'origine.
Déploiement de solutions d'atténuation des attaques DDoS et de protection contre les attaques DDoS. Les solutions de protection contre les attaques DDoS proposent diverses technologies, telles que des pare-feux d'applications web, pour détecter et atténuer les attaques.

Pourquoi les clients choisissent-ils Akamai ?

Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.

Produits connexes

Prolexic

Bloquez les attaques DDoS avec la meilleure défense à grande échelle.

Edge DNS

Faites confiance à un DNS hautement sécurisé pour des applications Web et des API toujours disponibles.

App & API Protector

Une sécurité tout-en-un et sans compromis des sites Web, des applications et des API.

Ressources supplémentaires

Défense contre les attaques DDoS dans un environnement de cloud hybride

Tous les services de protection contre les attaques DDoS ne sont pas identiques. Découvrez combien de fournisseurs de services cloud laissent à désirer et quels sont les signaux d'alerte.

Menaces DDoS dans la zone EMEA en 2024

Nos dernières études vous apportent les connaissances dont vous avez besoin pour mieux vous défendre contre les attaques DDoS en hausse dans la zone EMEA.

Télécharger le rapport

Que peut révéler une analyse du trafic DNS malveillant sur l'exposition au risque d'une entreprise ?

L'analyse sur la C2 de l'autoroute d'attaques révèle les attaquants de l'entreprise

Le DNS est l'une des plus anciennes infrastructures Web. Il est toutefois traversé par une quantité incroyable de trafic d'attaques. Ce dernier rapport présente les menaces les plus répandues et plus encore.

Télécharger le rapport