Zyklon HTTP, le nouveau botnet qui tient la vedette sur le DarkNet

Par:
fredericmazue

lun, 27/02/2017 - 11:01

Administrateurs de serveurs et de sites Internet, attendez-vous une vague d'attaque en déni de service. Ce n'est pas l'arrestation probable d'un loueur de botnet Mirai qui va y changer quelque chose.

En effet, même si Mirai est d'une efficacité redoutable lorsqu'il s'agit de mener des attaques DDoS, c'est Zyklon HTTP qui tient la vedette sur le DarkNet en ce moment. Il faut dire que ce couteau suisse du malfaisant a de quoi séduire les pirates. Tout y est : contamination de machines, vol de données au moyen de keylogger, Zyklon HTTP se met même automatiquement à jour sur les machines qu'il a infectées.

Au niveau des attaques DDoS, il sait tout faire. Il connaît ses classiques du flooding : HTTP flood, TCP flood, UDP flood et bien sûr SYN flood.

Mais en plus de ça, Zyklon HTTP vient avec le dernier gadget à la mode : SlowLoris. SlowLoris permet en principe à une seule machine de faire tomber un serveur Apache distant. Une attaque SlowLoris lancée par un botnet est donc sans aucune pitié.

Le principe de SlowLoris est d'émettre des requêtes HTTP partielles, afin que le serveur garde les connexions ouvertes. Après une requête GET normalement commencée, slowloris envoie, juste avant le timeout qui fermerait la connexion, un en-tête déjanté que le serveur va ignorer, mais qui va le contraindre à garder la connexion ouverte, dans l'attente de la fin de l'échange normal de la requête GET. Ce qui aboutit très rapidement à une saturation de connexions.

Zyklon HTTP est en ce moment ne vente sur le DarkNet :

Commentaires

"please enable the Javascript"

Pas fou quand même !