Tous les systèmes de communication distribués font, un jour ou l’autre, l’objet d’études visant à transformer leurs « correspondants » en un formidable botnet ou leur système d’échange en un énorme canon à déni de service distribué. Déjà, par le passé, certains spywares (Gator par exemple, ou les DRM de Sony Music) ont révélé des failles offrant un tel potentiel. En attendant qu’un chercheur trouve un défaut dans le système de mise à jour d’un antivirus ou d’un système d’exploitation connu, quatre chercheurs universitaires Britanniques et Allemands sont parvenus à modéliser une attaque par amplification en utilisant les clients d’un réseau d’échange Peer to Peer conçu à partir du protocole ouvert Bittorrent. Les logiciels uTorrent, Mainline, Vuze sont vulnérables à ce genre d’attaque.
En substituant son adresse IP à celle de la cible à attaquer, un faux client P2P transforme alors tous les systèmes de retransmission accessibles du réseau P2P en attaquants. Des attaquants qui, du fait d’un manque de vérification de validité de l’adresse IP et d’une absence de contrôle des accusés de réception de paquets (ACK), parviennent à submerger la cible sous un déluge de paquets jusqu’à 54 fois plus important que le volume initial émis par l’attaquant. En jargon de téléchargeurs, l’attaquant fait passer sa cible pour un Leecher et incite tous les Seeders d’un Swarm à bombarder la cible de paquets*.
L’attaquant est indétectable puisque son adresse IP ne peut apparaître dans les trames de dénis de service. Masqué par les « serveurs intermédiaires », il peut également viser plusieurs cibles différentes sans qu’il n’ait besoin d’une liaison Internet à large bande passante. Ce genre d’assaut est appelé DRDos, pour Distributed Reflective Denial-of-Service (et non pas en hommage au noyau de Digital Research).
Les attaques en Ddos se professionnalisent de plus en plus depuis ces 2 dernières années, et font partie des techniques de racket les plus utilisées à l’encontre des grandes entreprises utilisant Internet. Elles peuvent également cacher, par « foisonnement », d’autres actes agressifs tels que des tentatives d’intrusion qu’il devient alors très difficile de détecter dans des logs parfois saturés.