Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.
Qu'est-ce qu'une attaque DDoS Slowloris ?
Description des attaques DDoS Slowloris
Une attaque DDoS Slowloris est un type d'attaque par déni de service distribué qui cible la couche 7 du modèle OSI. Ce type de cyber-agression a été conçu pour saturer un ordinateur, un serveur Web, une base de données ou une API unique en ouvrant et en maintenant de nombreuses connexions TCP simultanées vers un FQDN cible et en générant un faible taux et/ou volume de requêtes HTTP ou de connexions HTTP par session connectée. Certaines adresses IP d'attaque lancent de nombreuses tentatives de connexion TCP et utilisent ces connexions ou sessions ouvertes supplémentaires en combinant les demandes entrantes pour épuiser les ressources des applications ou des bases de données. Tirant son nom du loris lent, un primate asiatique qui se déplace lentement, une attaque Slowloris peut durer longtemps si elle n'est pas détectée. Les attaques Slowloris se sont démocratisées grâce à des outils d'attaque courants tels que HOIC (High Orbit Ion Cannon) et LOIC (Low Orbit Ion Cannon) utilisés par Anonymous, le gouvernement iranien, Killnet et d'autres groupes de cybercriminels. Aujourd'hui, d'autres cybercriminels utilisent ces mêmes techniques, mais avec une infrastructure et un système de commande et de contrôle modernisés.
Quel est le but d'une attaque DDoS Slowloris ?
Ce type d'attaque DDoS est une méthode simple, mais élégante, qui permet à un attaquant de mettre hors service un serveur Web avec un niveau de complexité très faible. C'est la capacité à les identifier et à contrôler la qualité des systèmes de protection qui rend cette attaque par déni de service complexe. Une attaque Slowloris peut être lancée avec une bande passante minimale, est généralement écrite en Python et se révèle extrêmement efficace contre de nombreux types de logiciels de serveurs Web, notamment Apache 1.x et 2.x. Ces types d'attaques ont été conçus pour ressembler à des requêtes légitimes et contourner les filtres de protection.
Contrairement aux attaques DDoS par réflexion, très gourmandes en bande passante, Slowloris monopolise les ressources du serveur en envoyant des requêtes HTTP qui semblent plus lentes que d'habitude, mais ont l'apparence d'un trafic standard légitime. Les pirates tirent parti d'une caractéristique unique du protocole HTTP : la possibilité pour les clients de diviser les requêtes HTTP GET ou POST en plusieurs paquets ou sessions. Ils utilisent Slowloris pour cibler les serveurs Web en ouvrant plusieurs connexions et en les maintenant ouvertes le plus longtemps possible. Pour ce faire, les requêtes HTTP sont réparties entre les différentes adresses IP du botnet et les connexions TCP sont multithreadées par source. Pour maintenir la connexion ouverte, le logiciel Slowloris peut envoyer des en-têtes HTTP pour chaque requête juste avant que la connexion TCP n'expire, provoquant ainsi un déni de service. Le serveur ciblé finit par atteindre la limite de son pool de connexions simultanées et ne peut plus traiter d'autres requêtes, ce qui a pour effet d'empêcher le fonctionnement d'autres services légitimes. D'autres infrastructures réseau peuvent être affectées par les attaques DDoS Slowloris, par exemple, les gestionnaires de trafic locaux (LTM) ou d'autres technologies gérant la gestion des sessions TCP.
Pourquoi une attaque DDoS Slowloris est-elle efficace ?
Une attaque DDoS Slowloris est considérée comme un déni de service distribué, et peut passer sous les radars des systèmes de détection d'intrusion traditionnels en envoyant des paquets de requêtes HTTP légitimes à un faible taux de requêtes par seconde, plutôt que de gros volumes ou un taux élevé de requêtes HTTP par seconde. De plus, comme le fichier journal ne peut pas être écrit tant qu'une requête n'est pas terminée, Slowloris peut immobiliser un serveur pendant de longues périodes sans qu'une seule entrée n'apparaisse dans le fichier journal et n'attire l'attention de ceux qui le surveillent.
Quelle est la différence entre une attaque DDoS Slowloris et une attaque DDoS d'application traditionnelle ?
Les attaques DDoS d'application traditionnelles sont conçues pour faire tomber un serveur en l'inondant d'un nombre écrasant de requêtes HTTP, ce qui nécessite des ressources substantielles de la part du pirate. En revanche, une attaque Slowloris peut ne nécessiter que quelques centaines de requêtes à intervalles longs, faibles et réguliers, plutôt que des dizaines de milliers de requêtes HTTP en continu. La bande passante n'est pas une mesure clé dans la détection de ce type d'attaque DDoS. Les équipes de sécurité doivent plutôt évaluer le nombre standard de tentatives de connexion, les connexions ouvertes, les pools de connexion, les requêtes HTTP entrantes, les requêtes HTTP partielles, le nombre maximal de connexions autorisées par adresse IP source, les équilibreurs de charge gérant les tables de session, l'infrastructure de journalisation des serveurs Web et les autres chemins réseau ou système dans la DMZ.
Quel est le meilleur moyen d'arrêter une attaque Slowloris ?
Les attaques Slowloris peuvent être atténuées en prenant les mesures suivantes :
Limiter le nombre de connexions qu'une seule adresse IP peut ouvrir.
Augmenter la vitesse de transfert minimale autorisée pour n'importe quelle connexion.
Limiter la durée pendant laquelle un client est autorisé à rester connecté.
Augmenter le nombre maximum de clients autorisé par le serveur.
Déployer des services robustes de protection contre les attaques dans le cloud, configurer des équilibreurs de charge performants, utiliser des Web Application Firewalls (WAF) ou d'autres techniques de correctifs virtuels et limiter le nombre de demandes par source.
Comment se déroule une attaque Slowloris ?
Une attaque Slowloris se déroule en quatre étapes :
Le pirate transmet des instructions de commande et de contrôle à son botnet ou à ses proxys inverses, qui envoient de multiples requêtes HTTP, incluent des en-têtes aléatoires et utilisent d'autres techniques de contournement, tout en ouvrant de nombreuses connexions à un serveur ciblé depuis leurs réseaux mondiaux.
Le serveur ciblé ouvre une connexion TCP pour chaque demande, en prévoyant de fermer le thread dès que la demande HTTP est terminée. Le serveur interrompt toute connexion excessivement longue afin de libérer le thread pour les demandes suivantes.
Pour empêcher la fermeture des threads, le pirate envoie par intermittence des en-têtes de requête partiels ou des requêtes HTTP supplémentaires pour maintenir le serveur Web ciblé en activité et le convaincre d'attendre que la requête HTTP soit terminée.
En attendant que d'autres requêtes HTTP et connexions TCP soient lancées, le serveur cible finit par manquer de connexions disponibles et ne plus pouvoir répondre aux requêtes du trafic légitime, ce qui entraîne un déni de service.
Pourquoi des attaques DDoS Slowloris se produisent-elles ?
Les cybercriminels peuvent lancer une attaque pour mettre hors service le site Web d'un rival ou d'un adversaire, dans le cadre d'une campagne d'hacktivisme politique, ou pour détourner l'attention d'autres violations de sécurité plus dangereuses en cours, en servant d'écran de fumée. Cette attaque est également couramment utilisée car il est difficile d'identifier sa signature et sa fréquence d'attaque. L'adoption de mesures de protection contre ces types d'attaques peut entraîner un nombre élevé de faux positifs et avoir un impact sur l'expérience de l'utilisateur qui accède à différents modules du serveur ou de l'application Web.
Améliorez votre résilience contre les menaces DDoS complexes avec Akamai
Grâce à la plateforme de traitement la plus distribuée au monde, du cloud à la bordure de l'Internet, Akamai est le partenaire idéal pour faciliter le développement et l'exécution des applications, et rapprocher les expériences des utilisateurs tout en éloignant les menaces. Parallèlement à nos solutions de calcul et de diffusion, notre gamme de produits de sécurité informatique de pointe aide les entreprises internationales à améliorer le quotidien de milliards de personnes, des milliards de fois par jour.
Nos solutions de sécurité préviennent et déjouent les attaques DDoS grâce à un maillage transparent de défenses dédiées en bordure de l'Internet, de DNS distribués et de défenses par nettoyage sur le cloud. Ces solutions de cloud dédiées sont destinées à réduire les surfaces d'attaque et à améliorer la qualité et la protection, tout en réduisant le nombre de faux positifs et en augmentant l'efficacité de la défense. Grâce à notre capacité, notre expérience et notre infrastructure technologique diversifiée et mature, nos clients peuvent compter sur une disponibilité de la plateforme de 100 % et sur des accords de niveau de service (SLA) de protection de pointe.
App & API Protector offre un ensemble complet de protections performantes et automatisées en fonction du client. Bien que cette solution propose certaines des fonctions d'automatisation de la sécurité des applications les plus avancées sur le marché, elle reste simple à utiliser. Son nouveau moteur de sécurité adaptatif et ses technologies fondamentales de pointe garantissent une protection contre les attaques DDoS, la sécurité des API, atténuation des bots, et un Web Application Firewall dans une solution facile à utiliser.
Prolexic bloque les attaques DDoS avec la défense la plus rapide et efficace à grande échelle. Offrant un accord de niveau de service (SLA) de protection immédiate contre les attaques DDoS, Prolexic réduit de manière proactive les services d'attaque et adapte les contrôles d'atténuation au trafic réseau pour bloquer les attaques instantanément. Un SOCC entièrement géré complète vos programmes de cybersécurité existants et vous aidera à réduire le délai de résolution grâce à des expériences éprouvées.
Web Application Protector Protège les applications Web et les API sans effort en détectant les menaces grâce aux informations issues du crowdsourcing. La protection dynamique et l'apprentissage automatique à réglage automatique réduisent les efforts et le nombre de faux positifs. Cette solution d'Akamai garantit une protection immédiate contre les attaques DDoS en répondant aux attaques de la couche application en quelques secondes.
Edge DNS empêche les pannes DNS grâce à la plus grande plateforme en bordure de l'Internet, offrant aux entreprises l'assurance d'une disponibilité DNS garantie et permanente. Solution basée dans le cloud, Edge DNS garantit une disponibilité DNS 24 h/24, 7 j/7 tout en améliorant la réactivité et en protégeant contre les attaques DDoS les plus importantes.
Pourquoi les clients choisissent-ils Akamai ?
Produits connexes
Prolexic
Bloquez les attaques DDoS avec la meilleure défense à grande échelle.
Edge DNS
Faites confiance à un DNS hautement sécurisé pour des applications Web et des API toujours disponibles.
App & API Protector
Une sécurité tout-en-un et sans compromis des sites Web, des applications et des API.
Ressources supplémentaires
Défense contre les attaques DDoS dans un environnement de cloud hybride
Tous les services de protection contre les attaques DDoS ne sont pas identiques. Découvrez combien de fournisseurs de services cloud laissent à désirer et quels sont les signaux d'alerte.
Menaces DDoS dans la zone EMEA en 2024
Nos dernières études vous apportent les connaissances dont vous avez besoin pour mieux vous défendre contre les attaques DDoS en hausse dans la zone EMEA.
Que peut révéler une analyse du trafic DNS malveillant sur l'exposition au risque d'une entreprise ?
Le DNS est l'une des plus anciennes infrastructures Web. Il est toutefois traversé par une quantité incroyable de trafic d'attaques. Ce dernier rapport présente les menaces les plus répandues et plus encore.
Pages connexes
Pour en savoir plus sur des sujets et technologies connexes, consultez les pages ci-dessous.