Passer au contenu

Des démons continuent de paralyser le Web américain

Mise à jour Yahoo! lundi, eBay, Amazon, CNN et Buy.com mardi, E-Trade et ZDNet hier : les plus grands sites de commerce électronique ou d’information ont dû fermer boutique quelques heures. Tous victimes d’une attaque informatique d’envergure. En attendant de connaître les résultats de l’enquête du FBI, il semble que les pirates ont utilisé la méthode dite de l’attaque distribuée pour interrompre le service des sites visés. C’est en tout cas l’explication la plus fréquemment avancée.

Pour cela, les cyberterroristes utilisent des logiciels de type client-serveur comme Tribe Floodnet (TFN), Tribe Floodnet 2K (TFN 2K) ou encore Stacheldraht, tous téléchargeables sur Internet. Le principe est le suivant. Dans un premier temps, les pirates prennent possession de plusieurs serveurs Web, tous dotés d’une grosse bande passante et sur lesquels ils installent des programmes résidants nommés démons. Dès novembre 1999, le Computer Emergency Response Team (Cert, groupe de sécurité américain) avait d’ailleurs remarqué que de nombreux serveurs Web d’universités américaines sous Unix ?” et plus particulièrement Solaris ?” hébergeaient des démons suspects.
Ces démons s’attribuent un port de la machine qui les héberge pour transmettre leurs informations sur le réseau. Ensuite, les pirates installent le logiciel qui commande l’attaque sur une autre machine. Dans la logique client-serveur, celle-ci fait office de ‘ maître ‘, tandis que les serveurs hébergeant les démons sont les ‘ esclaves ‘.
Une fois cette phase de préparation terminée, l’attaque peut commencer. La machine maître transmet aux démons l’adresse du site visé. Ceux-là lancent alors un flot ininterrompu de fausses requêtes HTTP vers le serveur, entraînant un engorgement de sa mémoire.
En effet, quand un ordinateur lance une requête vers un serveur Web, il lui transmet son adresse IP afin que le serveur sollicité puisse lui renvoyer les informations demandées. Dans le cas d’une attaque, les adresses IP sont fausses. Le serveur victime les stocke dans une file d’attente au fur et à mesure qu’il tente de leur répondre. Au bout d’un certain temps, le serveur coupe la connexion. Le déni de service est consommé.
Dans le cas de Yahoo!, les pirates ont mobilisé une cinquantaine d’ordinateurs esclaves pour mener leur attaque, selon la presse américaine. Chaque esclave émettait des milliers de fausses requêtes qui s’accumulaient ainsi dans la file dattente du serveur.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


La rédaction