Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège la vie en ligne. Nos solutions de sécurité leaders du marché, nos renseignements avancés sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises partout dans le monde. Les solutions de Cloud Computing complètes d'Akamai offrent des performances à moindre coût sur la plateforme la plus distribuée au monde. Des grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe dont elles ont besoin pour développer leur activité en toute confiance.
Une attaque low-and-slow est un type d'attaque par déni de service (DoS) conçu pour échapper à la détection en envoyant du trafic applicatif ou plus fréquemment des requêtes HTTP qui semblent légitimes, mais à un volume est très lent. Également connues sous le nom d'attaques slow-rate, les attaques de type low-and-slow nécessitent peu de bande passante et peuvent être lancées à partir d'un seul ordinateur ou avec un botnet. Le trafic d'une attaque de ce type est difficile à détecter car il semble s'agir d'un trafic de modèle OSI de couche 7 (la couche applicative) légitime et son taux d'envoi ne déclenche pas d'alertes de sécurité volumétriques.
Les attaques par force brute peuvent également utiliser une méthodologie low-and-slow, tentant d'obtenir un accès non autorisé à un compte ou à un système en devinant une combinaison de nom d'utilisateur et de mot de passe à un rythme relativement lent pour éviter la détection ou le déclenchement d'un verrouillage. Les attaquants exploitent de vastes réseaux d'hôtes infectés ou compromis pour mener de telles attaques, allant généralement de plusieurs milliers à plusieurs millions de bots.
Qu'est-ce qu'une attaque DoS ou DDoS ?
Les attaques par déni de service et les attaques par déni de service distribué (DDoS) ciblent des serveurs, des sites Web, des applications ou des réseaux en les inondant de trafic malveillant. En envoyant du trafic ou des requêtes qui épuisent les ressources de traitement, de bande passante ou de mémoire d'un serveur, les attaques par déni de service ralentissent ou font planter le terminal, le rendant indisponible pour le trafic valide et les utilisateurs légitimes. Une attaque DoS utilise un seul terminal pour générer du trafic. Une attaque DDoS génère du trafic en utilisant plusieurs milliers ou millions de terminaux infectés par des logiciels malveillants contrôlés par des cybercriminels.
Comment fonctionnent les attaques low-and-slow ?
Contrairement à d'autres attaques par déni de service qui bombardent un serveur de quantités massives de trafic en peu de temps, les attaques DDoS low-and-slow envoient de petites quantités de trafic malveillant à la cible pour éviter des pics soudains qui pourraient déclencher des alertes de sécurité. Ce type d'attaque envoie du trafic à des serveurs Web basés sur des threads, bloquant chaque thread à l'aide de requêtes lentes. Lorsque cela se fait à une échelle de plus en plus grande, le serveur ne peut finalement plus répondre au trafic légitime. Les attaques low-and-slow se concentrent souvent sur le HTTP, mais peuvent également impliquer des sessions TCP avec des taux de transfert lents dirigés vers n'importe quel service TCP.
Pourquoi les attaques low-and-slow sont-elles efficaces ?
Les attaques low-and-slow sont efficaces car elles volent sous le radar des systèmes de détection d'intrusion. Comme le trafic envoyé aux serveurs crée des paquets à un rythme très lent, il est difficile de le distinguer du trafic légitime. En limitant le débit des requêtes envoyées à un serveur, les attaques low-and-slow peuvent échapper aux techniques de protection basées sur le débit généralement utilisées pour identifier et bloquer les attaques DDoS traditionnelles.
Quels sont les types courants d'attaques low-and-slow ?
Trois des attaques low-and-slow les plus courantes sont les suivantes :
- Slowloris. Une attaque Slowloris se connecte à un serveur et envoie lentement des en-têtes HTTP partiels, obligeant le serveur à garder la connexion ouverte pendant qu'il attend le reste de l'en-tête. En consommant le maximum de connexions disponibles sur le serveur, les attaques Slowloris finissent par épuiser les ressources du serveur et l'empêcher de répondre aux utilisateurs légitimes.
- Sockstress. Une attaque Sockstress exploite une vulnérabilité dans la négociation TCP/IP à trois voies pour créer une connexion indéfinie.
- R.U.D.Y. Cette attaque (acronyme de R-U-Dead-Yet?) génère des requêtes HTTP POST pour remplir des champs de formulaire. Les requêtes malveillantes ne précisent pas la quantité de données attendue et envoient ensuite les données très lentement ; un serveur maintiendra donc les connexions ouvertes, anticipant l'arrivée de davantage de données.
Quelle est la meilleure façon d'atténuer les attaques low-and-slow ?
Stopper les attaques low-and-slow exige que les équipes de cybersécurité déploient une approche multicouche de l'atténuation.
- Analyse comportementale. En analysant les schémas de trafic normaux et en surveillant continuellement le comportement du trafic en temps réel, les équipes de sécurité peuvent remarquer des anomalies qui indiquent une attaque low-and-slow.
- Surveillance en temps réel. La surveillance de ressources telles que le processeur, la mémoire, les états des applications, les tableaux de connexion, les threads d'application, et d'autres ressources peut révéler des anomalies indiquant qu'une attaque est en cours.
- Connexions accrues. La mise à niveau de la disponibilité du serveur et l'ajout de connexions rendent l'épuisement des ressources d'un serveur par une attaque low-and-slow plus difficile.
- Protection basée sur proxy inverse. Cette approche atténue les attaques low-and-slow avant qu'elles n'atteignent le serveur d'origine.
- Déploiement de solutions d'atténuation des attaques DDoS et de protection contre les attaques DDoS. Les solutions de protection contre les attaques DDoS proposent diverses technologies, telles que des pare-feux d'applications web, pour détecter et atténuer les attaques.