Qu’est-ce qu’une attaque DDoS ?
Les attaques DDoS constituent une menace importante pour la sécurité de l’internet à l’heure actuelle. Découvrez comment les attaques DDoS fonctionnent et ce que l’on peut faire pour les prévenir.
Qu’est-ce qu’une attaque DDoS ?
Une attaque par déni de service distribué (DDoS) est une tentative mal intentionnée de perturber le fonctionnement normal du serveur ou du réseau ciblé en submergeant la cible ou l’infrastructure qui l’entoure par une inondation de trafic Internet. Les attaques DDoS fonctionnent grâce au fait qu’elles utilisent divers systèmes informatiques compromis pour générer du trafic d’attaque. Les ordinateurs ciblés sont des ordinateurs et d’autres ressources qui sont en réseau comme les dispositifs IoT. À un niveau supérieur, une attaque DDoS est une obstruction au trafic qui entrave le flux du trafic, empêchant le flux normal du trafic d’atteindre sa destination.
Quelle est la fonction exacte d’une attaque DDoS ?
L’attaque DDoS nécessite qu’un attaquant prenne le contrôle du réseau d’ordinateurs connectés à Internet pour exécuter une attaque. Les ordinateurs et autres appareils (tels que les appareils IoT) sont infectés par un logiciel malveillant qui transforme chacun d’eux en bot (ou zombie). L’attaquant est capable de gérer à distance les bots du groupe qui est connu sous le nom de botnets.
Une fois le botnet établi et l’attaquant est en mesure de contrôler les machines en envoyant des instructions à jour à chaque machine en utilisant la méthode de contrôle à distance. Si l’adresse IP d’une victime est ciblée par le botnet, chaque bot répond par des requêtes pour l’adresse ciblée, ce qui peut déclencher la saturation du serveur ou du réseau de la cible, entraînant une perte de service pour le trafic normal. Comme chaque bot est un authentique dispositif Internet, il peut être difficile de différencier les attaques du trafic normal.
Quels sont les types d’attaques DDoS les plus fréquents ?
Les différents vecteurs d’attaque DDoS ciblent différents éléments d’une connexion réseau. Pour comprendre le mode de fonctionnement des différentes attaques DDoS, il est important de comprendre le processus par lequel une connexion réseau est établie. Une connexion réseau à l’internet est composée de plusieurs éléments ou « couches ». Comme lorsqu’on construit une maison à partir de rien, chaque étape du modèle a une fonction distincte. Le modèle OSI, illustré ci-dessous, est un cadre conceptuel utilisé pour définir la connectivité du réseau en sept couches distinctes.
Bien que la majorité des attaques DDoS visent à submerger de trafic le dispositif ou le réseau ciblé, ces attaques sont classées en trois types. Un attaquant peut employer un ou plusieurs vecteurs d’attaque ou des vecteurs d’attaque cycliques qui peuvent s’appuyer sur les contre-mesures mises en œuvre par la cible.
L’objectif de l’attaque est :
Parfois, on parle d’une attaque DDoS de couche 7 (en référence à la 7e couche du modèle OSI), l’objectif de ces attaques est de drainer les ressources de la cible. Elles visent la couche au niveau de laquelle les pages web sont créées par le serveur et sont délivrées à la suite de requêtes HTTP. Une requête HTTP est relativement peu coûteuse à traiter du côté du client et peut être coûteuse pour le serveur ciblé, car le serveur doit souvent charger plusieurs fichiers et exécuter des requêtes de base de données pour créer un site Web. Il est difficile de se défendre contre les attaques de la couche 7, car le trafic peut être difficile à identifier comme malveillant.
Inondation HTTP
Cette attaque est similaire au rafraîchissement d’un navigateur sur plusieurs ordinateurs en même temps. Le résultat est qu’un grand nombre de requêtes HTTP submergent le serveur, ce qui entraîne sa fermeture.
Ce type d’attaque peut être basique ou complexe. Les versions simples peuvent accéder à une URL avec le même ensemble d’adresses IP, de référents et d’agents utilisateurs attaquants. Les versions plus complexes peuvent employer de nombreuses adresses IP d’attaque, et également cibler des URL aléatoires avec des référents et des agents utilisateurs aléatoires.
Attaques de protocole L’objectif de l’attaque est :
Les attaques de protocole, parfois appelées attaques par épuisement d’état, provoquent des interruptions de service en prenant toute la capacité des tables d’état disponibles pour les serveurs d’applications Web ou d’autres ressources intermédiaires comme les pare-feu ou les équilibreurs de charge. Les attaques de protocole exploitent les faiblesses des couches 3 et 4 de la pile de protocoles pour rendre la cible inaccessible.
Inondation SYN
L’inondation SYN est similaire à l’ouvrier dans une zone d’approvisionnement qui reçoit des demandes de la part de la façade du magasin. Lorsqu’un client fait une demande, l’ouvrier va chercher l’article et attend une confirmation avant de le renvoyer à l’entrée du magasin. Le travailleur est alors contacté par des demandes de colis, mais sans confirmation jusqu’à ce qu’il ne puisse plus en transporter, qu’il soit débordé et que les demandes restent sans réponse.
Cette attaque tire parti de la poignée de main TCP en envoyant à une cible une grande quantité de paquets TCP SYN « Initial Connection Request » qui contiennent des adresses IP usurpées de la source. L’ordinateur cible répond à chaque demande de connexion et attend alors la dernière étape du handshake qui ne se produit jamais et draine les ressources de la cible.
Attaques de volume
L’objectif de l’attaque est :
Ce type d’attaque tente de provoquer une congestion en utilisant toute la bande passante disponible entre la cible et l’Internet. Une grande quantité de données est transmise à une cible par le biais d’une forme d’amplification , ou d’autres méthodes permettant de créer un trafic massif, par exemple des requêtes provenant de botnets.
Amplification DNS
Un amplificateur DNS, c’est comme appeler un restaurant pour dire « Je vais commander un des plats, veuillez me rappeler et me communiquer les détails de ma commande », le numéro de rappel fourni étant celui de la personne à contacter. Avec un effort minimal, une longue réponse peut être produite.
Grâce à une requête effectuée sur un serveur DNS ouvert en utilisant une adresse IP usurpée (l’adresse IP réelle de la cible), l’adresse IP de la cible reçoit une réponse du serveur. L’attaquant restructure la requête de manière à ce que le serveur DNS réponde à la cible avec une énorme quantité d’informations. La victime reçoit une augmentation de la requête originale de l’attaquant.
Quelles sont les mesures à prendre pour stopper l’impact d’une attaque DDoS ?
L’aspect le plus important à prendre en compte pour tenter d’atténuer l’impact d’une attaque DDoS est de faire la distinction entre le trafic normal et l’attaque. Par exemple, si le site web d’une entreprise est inondé de clients enthousiastes lors du lancement d’un produit, il n’est pas judicieux d’arrêter tout le trafic. Si une entreprise constate soudainement une augmentation du trafic provenant de criminels, elle est susceptible de faire tout son possible pour stopper la menace. Le problème est de différencier le client authentique du trafic ciblé.
Dans l’Internet actuel, le trafic DDoS se présente sous diverses formes. La nature de ce trafic peut varier des attaques à source unique qui ne sont pas filtrées aux attaques multi-vecteurs complexes qui sont adaptatives. Une attaque DDoS multi-vectorielle fait appel à plusieurs routes d’attaque pour neutraliser une cible de diverses manières, ce qui pourrait entraver les efforts d’atténuation sur une route particulière. Une attaque DDoS qui s’attaque simultanément à plusieurs couches de la pile de protocoles, par exemple une amplification DNS (ciblant les couches 3 et 4) associée à une inondation HTTP (ciblant la couche 7), est un exemple de DDoS multi-vecteur.
L’atténuation des effets d’une attaque DDoS multi-vecteurs nécessite diverses stratégies pour arrêter les différents chemins. En général, plus l’attaque est compliquée, plus il est probable que le trafic sera difficile à distinguer du trafic normal. L’objectif de l’attaque est de se fondre le plus possible dans la masse et de rendre l’atténuation aussi inefficace que possible. Les stratégies d’atténuation qui impliquent la coupure ou la restriction aléatoire du trafic peuvent éliminer aussi bien le bon que le mauvais trafic, et une attaque peut également se modifier et s’adapter pour échapper aux contre-mesures. Pour déjouer une tentative de perturbation de votre réseau à l’aide d’une stratégie à plusieurs niveaux, un système à plusieurs niveaux peut être le plus efficace.
Routage par trou noir
Une option à la disposition de presque tous les administrateurs de réseau consiste à désigner une route de trou noir afin de rediriger le trafic sur celle-ci. Dans sa forme la plus simple, si le filtrage des trous noirs est mis en place sans aucune restriction spécifique, le trafic du réseau, qu’il soit légitime ou non, est acheminé vers une route noire ou nulle, puis retiré du réseau. Dans le cas où une propriété Internet fait l’objet d’une attaque connue sous le nom d’attaque ou d’attaque DDoS, le fournisseur d’accès Internet (FAI) du site peut acheminer tout le trafic provenant du site vers un trou noir souterrain pour se protéger.
Limitation du débit
Limiter le nombre de requêtes que le serveur peut accepter pendant une période donnée est également une méthode pour limiter les attaques DDoS. Si la limitation du débit peut s’avérer utile pour ralentir les racleurs de sites Web voleurs de contenu et limiter les tentatives de connexion par force brute, elle risque d’être insuffisante à elle seule pour gérer une attaque DDoS complexe. Il s’agit toutefois d’un élément important d’un plan complet d’atténuation des attaques DDoS. En savoir plus sur le limiteur de taux de Cloudflare
Pare-feu d’application Web
Un pare-feu d’application Web (WAF) est un instrument qui peut aider à réduire l’impact des effets d’une attaque DDoS de niveau 7. En plaçant un WAF entre l’Internet et le serveur à l’origine de l’attaque, le WAF peut fonctionner comme un proxy inverse, protégeant le serveur ciblé de certains types de trafic dangereux. En filtrant les demandes selon les règles utilisées pour détecter les outils DDoS, les attaques de couche 7 peuvent être évitées. L’un des principaux avantages d’un WAF efficace est la possibilité d’établir rapidement des règles personnalisées pour répondre aux attaques. En savoir plus sur le WAF de Cloudflare
Diffusion du réseau Anycast
Cette méthode d’atténuation utilise le réseau Anycast pour répartir les attaques sur un certain nombre de serveurs distribués au point où le trafic est pris en charge par le réseau. Semblable à la canalisation d’une rivière en furie dans des canaux plus petits, cette méthode disperse l’impact du trafic d’attaque distribué jusqu’à ce qu’il puisse être contrôlé, tout en absorbant également toute capacité perturbatrice.
La capacité d’un réseau Anycast à dissuader l’impact d’une attaque DDoS dépend de la gravité de l’attaque ainsi que de la taille et de l’efficacité du réseau. Un élément clé de l’atténuation des attaques DDoS proposée par Cloudflare est l’utilisation du réseau Anycast distribué. Cloudflare dispose de 30 Tbps de capacité réseau, soit environ un tiers de plus que la plus grande attaque DDoS connue.
Si vous êtes pris pour cible, il existe des moyens de vous libérer de ce stress. Si vous utilisez déjà Cloudflare et que vous êtes attaqué, vous pouvez prendre les mesures suivantes pour limiter votre attaque. La protection DDoS que nous fournissons sur Cloudflare est multidimensionnelle, ce qui nous permet de réduire la variété des types d’attaques. Découvrez plus d’informations sur la protection DDoS de Cloudflare et son fonctionnement.
