Articles

DoS avec une requête HTTP de 100Ko

Il y a quelques mois, le groupe THC (The Hacker’s Choice) mettait à disposition un outil exploitant une faille dans le protocole SSL et qui permettait de procéder à un déni de service sur un serveur avec une connexion internet et un ordinateur classique.

Aujourd’hui une nouvelle attaque de type DoS est possible avec une connexion ADSL  modeste et une seule machine en attaque. Le problème qui existe dans la plupart des serveurs web est en train d’être patché par différents éditeurs.

Les chercheurs qui ont présenté leurs conclusions lors du CCC (Chaos Communication Congress) à Berlin, mettent en cause la manipulation des tables de hachage. Ces tables sont utilisées pour stocker et récupérer rapidement des données.

Il arrive qu’il y ait des collisions de hachage lorsqu’il y a beaucoup de données, ce qui génère le même hash. Chaque collision génère un traitement important de la part du serveur. L’attaque consiste donc à calculer les données qui vont déclencher un grand nombre de collisions puis envoyer ces données dans une simple requête HTTP.

Microsoft a confirmé qu’une seule requête HTTP de 100Ko envoyé à un serveur ASP peut faire utiliser le CPU à 100% pendant 90 secondes.