Attaque par dni de service

Aller : Navigation, rechercher Une attaque par dni de service (denial of service attack, d'o l'abrviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d'empcher les utilisateurs lgitimes d'un service de l'utiliser. Il peut s'agir de :

linondation dun rseau afin d'empcher son fonctionnement ; la perturbation des connexions entre deux machines, empchant l'accs un service particulier ; l'obstruction d'accs un service une personne en particulier.

L'attaque par dni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accs un serveur web ou empcher la distribution de courriel dans une entreprise. L'attaquant cracker n'a pas forcment besoin de matriel sophistiqu. Ainsi, certaines attaques DOS peuvent tre excutes avec des ressources limites contre un rseau beaucoup plus grand et moderne. On appelle parfois ce type d'attaque attaque asymtrique (en raison de la diffrence de ressources entre les protagonistes). Un cracker avec un ordinateur obsolte et un modem lent peut ainsi neutraliser des machines ou des rseaux beaucoup plus importants. Les attaques en dni de service se sont modifies au cours du temps (voir historique). Tout d'abord, les premires n'taient perptres que par un seul attaquant ; rapidement, des attaques plus volues sont apparues, impliquant une multitude de soldats , aussi appels zombies . On parle alors de DDoS (distributed denial of service attack). Ensuite, les attaques DoS et DDoS taient perptres par des crackers seulement attirs par lexploit et la renomme. Ainsi, certains crackers se sont spcialiss dans la leve darmes de zombies , quils peuvent ensuite louer dautres crackers pour attaquer une cible particulire. Avec la forte augmentation du nombre dchanges commerciaux sur Internet, le nombre de chantages au dni de service a trs fortement progress1 (un cracker lance une attaque en DoS ou DDoS contre une entreprise et lui demande une ranon pour arrter cette attaque).

Sommaire

1 Historique 2 Types d'attaques o 2.1 Exploitation des failles ou des limites des machines o 2.2 Attaque par dni de service SYN Flood o 2.3 UDP Flooding o 2.4 Packet Fragment o 2.5 Smurfing 3 Programmes disponibles sur Internet 4 Dni de service distribu ou effet de levier o 4.1 Motivation o 4.2 Principe

4.3 Outils 4.4 Inconvnients 5 Les protections contre les attaques de dni de service 6 Retour aux conditions normales 7 Responsables et motifs de ces attaques o 7.1 Acteurs o 7.2 Motifs 8 Risques juridiques o 8.1 Au Royaume-Uni o 8.2 En Russie 9 Exemples d'attaques par dni de service 10 Notes et rfrences 11 Voir aussi o 11.1 Article connexe
o o o

11.2 Liens externes

Historique
Cette section ne cite pas suffisamment ses sources. Pour l'amliorer, ajouter en note des rfrences vrifiables ou les modles {{refnec}} ou {{refsou}} sur les passages ncessitant une source. Les attaques par dni de service ont vu le jour dans les annes 1980. Les DDoS (ou attaques DoS Distribues) seraient plus rcentes : la premire attaque DDoS officielle a eu lieu en aot 19992 : un outil appel Trinoo DDO (dcrit ci-dessous) a t dploy dans au moins 227 systmes, dont 114 taient sur Internet, pour inonder les serveurs de l'universit du Minnesota. la suite de cette attaque, l'accs internet de l'universit est rest bloqu pendant plus de deux jours. La premire attaque DDOS mdiatise dans la presse grand public a eu lieu en fvrier 2000, caus par Michael Calce, mieux connu sous le nom de Mafiaboy. Le 7 fvrier, Yahoo! a t victime d'une attaque DDOS qui a rendu son portail Internet inaccessible pendant trois heures. Le 8 fvrier, Amazon.com, Buy.com, CNN et eBay ont t touchs par des attaques DDOS qui ont provoqu soit l'arrt soit un fort ralentissement de leur fonctionnement. Le 9 fvrier, E-Trade et ZDNet ont leur tour t victimes dattaques DDOS. Les analystes estiment que durant les trois heures d'inaccessibilit, Yahoo! a subi une perte sur le commerce lectronique et les recettes publicitaires s'levant environ 500 000 $. Selon Amazon.com, son attaque a entran une perte de 600 000 $ sur 10 heures. Au cours de l'attaque, eBay.com est pass de 100 % de disponibilit 9,4 % ; CNN.com est pass audessous de 5 % du volume normal ; Zdnet.com et ETrade.com taient, eux, pratiquement inaccessibles. Schwab.com, le site en ligne du courtier Charles Schwab, a galement t touch mais il a refus de donner des chiffres exacts sur ses pertes. On peut seulement supposer que, dans une socit qui fait 2 milliards de dollars par semaine sur les mtiers en ligne, la perte na pas t ngligeable. Michael Calce, celui qui a pirat Amazon.com, Yahoo!, CNN et Ebay, fut condamn 8 mois dans un centre de dtention pour jeune (il n'avait que 15 ans au moment des faits).

En septembre 2001, un certain virus Code Red3 infecte quelques milliers de systmes, et une seconde version, intitule Code Red II, installe un agent DDOS. Les rumeurs prtendent qu'il devait lancer une attaque contre la Maison-Blanche. Dans un contexte politique de crise, le gouvernement amricain annonce que des mesures de scurit vont tre entreprises. Mais ds l't 2002, c'est au tour d'Internet de subir une attaque DDOS l'encontre de ses 13 serveurs racines. Ces serveurs sont les points cls du systme d'aiguillage de l'Internet, appel Domain Name System (DNS). Cette attaque ne durera qu'une heure mais aurait pu paralyser l'ensemble du rseau Internet. L'incident est pris au srieux par les experts qui affirment renforcer l'avenir la scurit de leurs machines. La premire version de Slapper, apparue la mi-septembre 2002, a contamin plus de 13 000 serveurs Linux en deux semaines. Slapper utilise un trou de scurit prsent dans le module OpenSSL1, et vhicule un agent DDOS. Celui-ci est dtect et stopp temps. Malgr tout, le lundi 21 octobre 2002, une nouvelle attaque DOS bloque 9 des 13 serveurs clefs, rendant leurs ressources inaccessibles pendant trois heures. Une partie des entreprises et organismes grant ces serveurs cls ragit et dcide de revoir leurs dispositifs de scurit. Le FBI a ouvert une enqute, mais localiser le ou les auteurs de l'attaque s'annonce difficile. Peu de temps aprs des serveurs de bases de donnes Microsoft SQL Server, mal configurs, sont infects par le ver SQL Slammer. Ce dernier transporte un agent DDOS qui lance une attaque le 25 janvier 2003 contre Internet. Cette fois ci, seuls 4 des 13 serveurs racines ont t affects. Malgr la virulence de l'attaque, la performance globale du rseau a t peine rduite de 15 %.

Types d'attaques
On appelle attaque par dni de service toutes les actions ayant pour rsultat la mise horsligne d'un serveur. Techniquement, couper l'alimentation d'un serveur dans un but malfaisant peut-tre considr comme une attaque par dni de service. Dans les faits, les attaques par dni de service sont opres en saturant un des lments du serveur cibl.

Exploitation des failles ou des limites des machines

Une des attaques les plus courantes consistait envoyer un paquet ICMP de plus de 65 535 octets. Au-dessus de cette limite, les piles IP ne savaient pas grer le paquet proprement, ce qui entrainait des erreurs de fragmentation UDP, ou encore les paquets TCP contenant des flags illgaux ou incompatibles. Les piles actuelles rsistent ce type dattaques. Nanmoins, les dlais de traitement de ce genre de paquets restent plus longs que ceux ncessaires pour traiter les paquets lgitimes. Ainsi, il devient commun voire trivial de gnrer une consommation excessive de processeur (CPU) par la simple mission de plusieurs centaines de milliers danomalies par seconde, ce quun outil tel que hping3 permet en une unique ligne de commande ex : [root@localhost root]# hping3 -SARFU -L 0 -M 0 -p 80 www.cible.com --flood Avec l'arrive du haut dbit et l'augmentation de la puissance des ordinateurs personnels, le potentiel d'attaque a t dcupl, mettant en vidence la faiblesse des installations

dveloppes il y a plusieurs annes. Cette augmentation permet quasiment toutes les anomalies dtre lorigine dun dni de service, pourvu quelles soient gnres un rythme suffisamment important. Par exemple :

lusage des champs rservs de len-tte TCP le positionnement dun numro de squence daccus de rception dans un paquet SYN des paquets dont len-tte de couche 4 (TCP/UDP) est tronqu en dpit de checksums corrects

Attaque par dni de service SYN Flood

Article dtaill : SYN flood. Une attaque SYN Flood est une attaque visant provoquer un dni de service en mettant un nombre important de demandes de synchronisation TCP incomplte avec un serveur. Quand un systme (client) tente d'tablir une connexion TCP vers un systme offrant un service (serveur), le client et le serveur changent une squence de messages. Le systme client commence par envoyer un message SYN au serveur. Le serveur reconnat ensuite le message en envoyant un SYN-ACK message au client. Le client finit alors dtablir la connexion en rpondant par un message ACK. La connexion entre le client et le serveur est alors ouverte, et le service de donnes spcifiques peut tre chang entre le client et le serveur. Voici une vue de ce flux de messages :
Client -----SYN ------------------------Serveur -------

SYN-ACK

ACK

Le risque d'abus se pose l'endroit o le systme de serveur a envoy un accus de rception (SYN-ACK) au client, mais ne reoit pas le message ACK. Le serveur construit dans sa mmoire systme une structure de donnes dcrivant toutes les connexions. Cette structure de donnes est de taille finie, et elle peut tre dborde en crant intentionnellement trop de connexions partiellement ouvertes. Crer des connexions semi-ouvertes saccomplit facilement avec l'IP spoofing. Le systme de l'agresseur envoie des messages SYN la machine victime ; ceux-ci semblent tre lgitimes, mais font rfrence un systme client incapable de rpondre au message SYN-ACK. Cela signifie que le message ACK final ne sera jamais envoy au serveur victime. Normalement il y a un dlai d'attente associ une connexion entrante, les semi-connexions ouvertes vont expirer et le serveur victime pourra grer lattaque. Toutefois, le systme agresseur peut simplement continuer envoyer des paquets IP falsifie demandant de nouvelles connexions, plus rapides que le serveur victime.

Dans la plupart des cas, la victime aura des difficults accepter toute nouvelle connexion rseau entrante. Dans ces cas, l'attaque n'affecte pas les connexions entrantes, ni la possibilit d'tablir des connexions rseau sortant. Toutefois, le systme peut saturer la mmoire, ce qui provoque un crash rendant le systme inoprant.

UDP Flooding
Ce dni de service exploite le mode non connect du protocole UDP. Il cre un "UDP Packet Storm" (gnration dune grande quantit de paquets UDP) soit destination dune machine soit entre deux machines. Une telle attaque entre deux machines entrane une congestion du rseau ainsi quune saturation des ressources des deux htes victimes. La congestion est plus importante du fait que le trafic UDP est prioritaire sur le trafic TCP. En effet, le protocole TCP possde un mcanisme de contrle de congestion, dans le cas o lacquittement dun paquet arrive aprs un long dlai, ce mcanisme adapte la frquence dmission des paquets TCP et le dbit diminue. Le protocole UDP ne possde pas ce mcanisme. Au bout dun certain temps, le trafic UDP occupe donc toute la bande passante, ne laissant quune infime partie au trafic TCP. Lexemple le plus connu dUDP Flooding est le Chargen Denial of Service Attack . La mise en pratique de cette attaque est simple, il suffit de faire communiquer le service chargen dune machine avec le service echo dune autre. Le premier gnre des caractres, tandis que le second se contente de rmettre les donnes quil reoit. Il suffit alors au cracker denvoyer des paquets UDP sur le port 19 (chargen) une des victimes en usurpant ladresse IP et le port source de lautre. Dans ce cas, le port source est le port UDP 7 (echo). LUDP Flooding entrane une saturation de la bande passante entre les deux machines, il peut donc neutraliser compltement un rseau.

Packet Fragment
Les dnis de service de type Packet Fragment utilisent des faiblesses dans limplmentation de certaines piles TCP/IP au niveau de la dfragmentation IP (r-assemblage des fragments IP). Une attaque connue utilisant ce principe est Teardrop. Loffset de fragmentation du second fragment est infrieur la taille du premier ainsi que loffset plus la taille du second. Cela revient dire que le deuxime fragment est contenu dans le premier (overlapping). Lors de la dfragmentation, certains systmes ne grent pas cette exception et cela entrane un dni de service. Il existe des variantes de cette attaque : bonk, boink et newtear. Le dni de service Ping of Death exploite une mauvaise gestion de la dfragmentation au niveau ICMP, en envoyant une quantit de donnes suprieure la taille maximum dun paquet IP. Ces diffrents dnis de services aboutissent un crash de la machine cible.

Smurfing
Cette attaque utilise le protocole ICMP. Quand un ping (message ICMP ECHO) est envoy une adresse de broadcast (par exemple 10.255.255.255), celui-ci est dmultipli et envoy chacune des machines du rseau. Le principe de lattaque est de truquer les paquets ICMP ECHO REQUEST envoys en mettant comme adresse IP source celle de la cible. Le cracker envoie un flux continu de ping vers ladresse de broadcast dun rseau et toutes les machines rpondent alors par un message ICMP ECHO REPLY en direction de la cible. Le flux est

alors multipli par le nombre dhte composant le rseau. Dans ce cas tout le rseau cible subit le dni de service, car lnorme quantit de trafic gnre par cette attaque entrane une congestion du rseau.

Programmes disponibles sur Internet

Ping O Death : il sagit de saturer un routeur ou un serveur en envoyant un nombre important de requtes ICMP REQUEST dont les datagrammes dpassent la taille maximum autorise. Des patches existent afin de se prmunir de ce type dagression sous les systmes MacOs, Windows NT/9x, Sun [Oracle] Solaris, Linux et Novell Netware. Land - Blat : il sagit denvoyer un paquet forg (spoof) contenant le flag SYN sur un port donn (comme 113 ou 139 par exemple) et de dfinir la source comme tant ladresse de la station cible. Il existe un certain nombre de patches pour ce bug pour les systmes UNIX et Windows. Jolt : spcialement destine aux systmes Microsoft (NT, 9x et 2000), cette attaque permet de saturer le processeur de la station qui la subit. La fragmentation IP provoque, lorsque lon envoie un grand nombre de fragments de paquets identiques (150 par seconde), une saturation totale du processeur durant toute la dure de lattaque. Des pr-patches existent dj pour tenter de contrer ce type dattaque. TearDrop - SynDrop : problme dcouvert dans lancien noyau du systme Linux dans la partie concernant la fragmentation des paquets IP. Il sagit dun problme de reconstruction du paquet. Lorsque le systme reconstitue le paquet, il excute une boucle qui va permettre de stocker dans un nouveau buffer tous les paquets dj reus. Il y a effectivement un contrle de la taille du paquet mais uniquement si ce dernier est trop grand. Sil est trop petit cela peut provoquer un problme au niveau du noyau et planter le systme (problme dalignement des paquets). Ce problme a galement t observ sur les systmes Windows (NT/9x) et des patches sont ds prsent disponibles. Ident Attack : ce problme dans le daemon identd permet aisment de dstabiliser une machine UNIX qui lutilise. Un grand nombre de requtes dautorisation entraine une instabilit totale de la machine. Pour viter cela, il faut installer une version plus rcente du daemon identd ou alors utiliser le daemon pidentd-2.8a4 (ou ultrieur). Bonk - Boink : mme problme que le TearDrop mais lgrement modifi afin de ne pas tre affect par les patches fournis pour le TearDrop. Il existe de nouveaux patches mieux construits qui permettent galement dviter ce nouveau type dattaque. Smurf : ce programme utilise la technique de lICMP Flood et lamplifie de manire crer un vritable dsastre sur la (ou les) machines vises. En fait, il utilise la technique du Broadcast Ping afin que le nombre de paquets ICMP envoys la station grandisse de manire exponentielle causant alors un crash presque invitable. Il est difficile de se protger de ce type dattaque, il nexiste aucun patch mais des rgles de filtrage correctes permettent de limiter son effet. WinNuke : il sagit dun programme permettant de crasher les systmes Windows NT/95 par lenvoi de donnes de type OOB (Out Of Band) lors dune connexion avec un client Windows. NetBIOS semble tre le service le plus vulnrable ce type dattaque. Apparemment, Windows ne sait comment ragir la rception de ce type de paquet et panique . De nombreux patches existent contre ce type dattaque et les versions postrieures de Windows ( partir de Windows 98/2000) sont ds prsent protges. SlowLoris : Un script en Perl ciblant les serveurs web.

Dni de service distribu ou effet de levier

Motivation
Compte tenu des performances actuelles des serveurs et de la gnralisation des techniques de rpartition de charge et de haute disponibilit, il est quasiment impossible de provoquer un dni de service simple comme dcrit dans le chapitre prcdent. Il est donc souvent ncessaire de trouver un moyen dappliquer un effet multiplicateur lattaque initiale.

Principe

Rseaux DDOS Le principe est dutiliser plusieurs sources (daemons) pour lattaque et des matres (masters) qui les contrlent. Le cracker utilise des matres pour contrler plus facilement les sources. En effet, il a besoin de se connecter (en TCP) aux matres pour configurer et prparer lattaque. Les matres se contentent denvoyer des commandes aux sources en UDP. Sil ny avait pas les matres, le cracker serait oblig de se connecter chaque source. La source de lattaque serait dtecte plus facilement et sa mise en place beaucoup plus longue. Chaque daemon et master discutent en changeant des messages spcifiques selon loutil utilis. Ces communications peuvent mme tre cryptes et/ou authentifies. Pour installer les daemons et les masters, le cracker utilise des failles connues (buffer overflow sur des services RPC, FTP ou autres). Lattaque en elle-mme est un SYN Flooding, UDP Flooding ou autre Smurf Attack. Le rsultat dun dni de service est donc de rendre un rseau inaccessible.

Outils
Les outils de DDoS (Distributed Denial of Service) les plus connus sont :

Outils DDOS Logiciel Trinoo Tribe Flood Network (TFN) et TFN2k Stacheldraht Schaft MStreamT LOIC (Low Orbit Ion Cannon) HOIC (High Orbit Ion Cannon) (version plus volue de LOIC) WebLoic (LOIC pour Android) Types d'attaques UDP flooding UDP/TCP/TCP SYN flooding, Smurf UDP/TCP/TCP SYN flooding, Smurf UDP/TCP/ICMP flooding CP ACK flooding TCP/UDP/HTTP TCP/UDP/HTTP TCP/UDP/HTTP

Inconvnients
Linconvnient dans ce cas est la ncessit de travailler en deux temps : 1. Mass-cracker les systmes destins hberger les zombies. 2. Lancer les ordres. la deuxime tape le paquet de commande peut tre bloqu par un outil de dtection ou de filtrage. Par consquent lvolution consiste automatiser le lancement des commandes ds la corruption des systmes relais. Cette technique a t implmente par CodeRed dont lobjectif tait de faire connecter les serveurs corrompus au site Web de la maison blanche une date prcise. Dans le mme ordre dides les DDoS bases sur les canaux IRC comme canaux de communication. Lobjectif est ici non plus dtablir une connexion directe entre le maitre et les zombies, mais dutiliser un serveur IRC (ou plutt un canal) comme relais. Cette mthode, initie en juillet et aot 2001 par Knight et Kaiten, prsente de nombreux avantages :

Les commandes sont transmises dune manire asynchrone via un flux sortant , quil sagisse du point de vue du maitre ou de lagent. Il est donc plus probable que le zombie puisse obtenir ses ordres ; avec le support SSL il est impossible de dtecter les commandes passes, et par consquent didentifier le canal IRC servant de relais. De la mme manire le matre est quasi-indtectable ; lattaquant dispose dune plate-forme de relais (le canal IRC) distribue.

Les protections contre les attaques de dni de service

Les attaques par dni de service non distribues peuvent tre contres en identifiant l'adresse IP de la machine mettant les attaques et en la bannissant au niveau du pare-feu ou du serveur. Les paquets IP provenant de la machine hostile sont ds lors rejets sans tre traits empchant que le service du serveur ne soit satur et ne se retrouve donc hors-ligne. Les attaques par dni de service distribues sont plus difficiles contrer. Le principe mme de l'attaque par dni de service distribue est de diminuer les possibilits de stopper l'attaque. Celle-ci manant de nombreuses machines hostiles aux adresses diffrentes, bloquer les

adresses IP limite l'attaque mais ne l'arrte pas. Thomas Longstaff de l'universit CarnegieMellon explique ce sujet que : En ralit, la prvention doit plus porter sur le renforcement du niveau de scurit des machines connectes au rseau [pour viter qu'une machine puisse tre compromise] que sur la protection des machines cibles [les serveurs Web] 4. Une architecture rpartie, compose de plusieurs serveurs offrant le mme service grs de sorte que chaque client ne soit pris en charge que par l'un d'entre eux, permet de rpartir les points d'accs aux services et offre, en situation d'attaque, un mode dgrad (ralentissement) souvent acceptable. Selon les attaques il est galement possible de mettre un serveur tampon qui filtre et nettoie le trafic. Ce serveur, cleaning center permet en cas d'attaques de faire en sorte que les requtes malveillantes ne touchent pas le serveur vis5,6. L'utilisation de SYN cookies est galement une solution envisageable pour viter les attaques de type SYN flood, mais cette approche ne permet pas d'viter la saturation de la bande passante du rseau.

Retour aux conditions normales

Le retour aux conditions normales aprs une attaque peut exiger une intervention humaine, car certains logiciels ne retrouvent pas un fonctionnement normal aprs une attaque de ce type.

Responsables et motifs de ces attaques

Acteurs
Les attaques par dni de service sont souvent effectues par des crackers peu expriments comme les lamers et les script kiddies. Elles peuvent tre aussi menes par des crackers plus expriments, sous une forme dlictueuse ou de dfense (cf infra), l'encontre de sites euxmmes hostiles ou menant des activits rputes illgales ou illgitimes. Un cas particulier d'attaque par dni de service est le SDoS ou Social Denial of Service. C'est une sorte d'effet Slashdot dans lequel l'afflux de requtes provient en partie de badauds venant observer les effets d'un dni de service annonc7. Les acteurs sont alors une multitude d'internautes bien rels, agissant de faon simultane et stimule.

Motifs
Ces attaques sont aussi utilises par un cracker qui ne russit pas prendre le contrle d'un ordinateur en tentant de se faire passer pour une machine de confiance grce l'IP spoofing. En effet, en cas de demande de session (TCP SYN) avec une adresse IP spoofe qui serait celle de la machine de confiance, c'est bien cette dernire qui recevrait le paquet TCP SYN/ACK mis par la cible, donc elle rinitialiserait automatiquement la tentative de connexion avec un paquet RST (puisqu'elle n'est pas l'origine de la demande d'tablissement de session), interdisant au cracker d'tablir une session.

Depuis quelques annes, l'attaque par dni de service distribue est aussi utilise des fins de chantage auprs d'entreprises dont l'activit commerciale repose sur la disponibilit de leur site web. Ces fraudes sont habituellement le fait d'organisations criminelles (mafieuses) et non de crackers isols. L'attaque par dni de service peut galement tre dclenche titre de dfense, rtortion ou reprsailles, en rponse des comportements des propritaires de sites considrs comme agressifs par le cracker. Ce fut le cas par exemple des dnis de service constats sur les sites des socits Visa, Mastercard, etc. dans le cadre de la campagne Avenge Assange rpute orchestre par les Anonymous. Elle est galement utilise vise destructrice envers des sites relayant un message jug drangeant par le cracker.

Risques juridiques
Les crackers attaquant les serveurs internet au moyen d'attaques par dni de service sont depuis quelques annes poursuivis par la justice de divers pays. Trois cas majeurs ont eu lieu. Le premier en aot 2005. Jasmine Singh, 17 ans, a t condamn cinq ans de prison la suite d'une attaque par dni de service distribu l'encontre de Jersey-Joe.com et Distant Replays commandite par un concurrent des deux sites8.

Au Royaume-Uni
Depuis novembre 2006, avec le vote du Police and Justice Act (PJA), les attaques par dni de service distribu sont un dlit passible de 10 ans de prison. Proposer des outils permettant de lancer des attaques DDoS est passible de 2 ans de prison ferme8.

En Russie
En 2008 la cour de Balakovo, la rgion de Saratov, a condamn trois crackers informatiques huit ans de prison la suite d'un chantage envers des sites de jeux en ligne. Les internautes demandaient plusieurs dizaines de milliers de dollars pour ne pas faire subir aux sites des attaques par dni de service distribu8.

Exemples d'attaques par dni de service

Les attaques du groupe Anonymous sur les sites de Paypal, Visa et Mastercard, en reprsailles de l'abandon de leur soutien WikiLeaks, dbut dcembre 20109,10 et contre le gouvernement tunisien dbut 201111 en rponse des actes de censure commis par ce dernier12 ainsi que le Sony Playstation Network en avril 2011 qui dclaraient : "nous allons supprimer tous les hackers du rseau"13. Les attaques sur le serveur de WikiLeaks, notamment aprs les rvlations de tlgrammes de la diplomatie amricaine, fin novembre 201014 ; L'attaque sur le serveur de mise jour de Microsoft ; L'attaque de sites Web connus comme Google, Microsoft et Apple ; Les attaques de type ping flood d'octobre 2002 et l'attaque par dni de service de fvrier 2007 sur les serveurs racines du DNS. Les attaques sur le site jaimelesartistes.fr, considr comme un site de propagande pour la loi Hadopi. Cela a caus sa fermeture. L'attaque du site Phayul.com en novembre 2010, selon Lobsang Wangyal15

L'attaque des sites justice.gov, fbi.gov, universalmusic.com, riaa.com, mpaa.com,copyright.gov wmg.com, hadopi.fr et justice.gouv.fr le 19 janvier 2012. Cette attaque fut orchestre par le groupe Anonymous en rponse la fermeture de Megaupload.[rf. ncessaire]