DDoS- les attaques

Qu’est-ce qu’une attaque DDoS ?

Une attaque DDoS est une attaque par déni de service provenant de sources multiples. Dans ce type de cyberattaque, l’attaquant perturbe les services du réseau, généralement en inondant de requêtes une machine ciblée. Le système est alors surchargé et le trafic ou les communications légitimes ne peuvent pas passer. Comme une attaque par déni de service distribué provient de plusieurs sources, le nombre de requêtes entrantes peut être plus important et il est beaucoup plus difficile d’arrêter l’attaque dans son élan. Cet article aborde le sujet des attaques DDoS de manière plus détaillée.

Comprendre les attaques DDoS

Les premières attaques par déni de service ont eu lieu dans les années 1990, et pourtant ce type de cyberattaque reste une menace courante aujourd’hui. Les attaques par déni de service distribué sont plus graves que les attaques par déni de service et sont beaucoup plus difficiles à atténuer.

Une attaque par déni de service utilise plus d’une adresse IP unique, et ces adresses peuvent provenir de milliers de machines contrôlées par un attaquant. C’est ce que l’on appelle un botnet DDoS. En utilisant un botnet, un attaquant unique peut disposer de centaines ou de milliers de points d’extrémité pour lancer son attaque. Ces machines peuvent être des téléphones portables ou des caméras de vidéosurveillance (comme dans le cas célèbre du botnet Mirai). La plupart des victimes ne savent même pas que leurs appareils ont été piratés et qu’ils pourraient être utilisés dans le cadre d’une attaque DDoS.

L’attaquant appelle le réseau de robots à l’aide d’une commande à distance, et tous les robots commencent à envoyer des requêtes à un seul système cible. Bien que chaque requête, prise isolément, passerait probablement inaperçue et ne causerait certainement aucun dommage, le nombre de bots ciblant la victime entraîne une surcharge du système, qui peut alors cesser de fonctionner.

Du point de vue de l’entreprise cible, ces demandes proviennent d’utilisateurs “ordinaires”, qu’il est impossible de distinguer de leur trafic régulier. Cela signifie que pour arrêter les requêtes malveillantes entrantes, l’entreprise doit généralement couper le trafic légitime.

Quels sont les différents types d’attaques DDoS ?

Il existe de nombreux types d’attaques DDoS, et de nombreux experts en dénombrent plus de 20. Elles se répartissent généralement en trois grandes catégories :

Volume : Il s’agit du type traditionnel d’attaques DDoS dont nous avons parlé. Un très grand nombre de fausses demandes sont envoyées pour submerger un serveur ou un site web spécifique. Vous utiliserez les bits par seconde pour mesurer la taille d’une attaque basée sur le volume.

Le protocole : En revanche, ces attaques sont mesurées en paquets par seconde et envoient des paquets entiers aux infrastructures de réseau ou aux outils qui gèrent ces infrastructures. Un exemple célèbre est l’inondation SYN.

Application : Ces attaques ciblent la couche application et visent des applications web spécifiques, ce qui les rend difficiles à limiter. Chaque requête est élaborée de manière malveillante par l’attaquant et est mesurée en nombre de requêtes par seconde.

Pour rendre ces attaques plus difficiles à repérer et à contrer, les attaquants sont connus pour utiliser des techniques telles que l’usurpation de leur adresse IP afin qu’il soit impossible de trouver la véritable source, l’obscurcissement de l’adresse afin qu’elle semble provenir de la victime ou d’un autre endroit, et même l’amplification de l’attaque pour la rendre plus importante, en trompant un service en ligne pour qu’il réponde à la fausse demande – ce qui le submerge encore plus.

À quoi ressemble une attaque DDoS ?

En tant que professionnels de l’informatique, il est très important de reconnaître les signes d’une attaque DDoS, à la fois pour informer vos utilisateurs de ce qui se passe et pour prendre rapidement des mesures intelligentes afin de résoudre le problème. Malheureusement, il n’est pas toujours facile de repérer une attaque DDoS, surtout si les requêtes semblent provenir de sources légitimes.

Soyez attentif à un afflux de trafic provenant d’un endroit inattendu, peut-être d’un endroit où vous n’avez pas de clientèle, ou à une grande quantité de trafic provenant du même endroit. Vous pouvez également remarquer que tous les utilisateurs proviennent du même système d’exploitation et du même navigateur web, ce qui n’est pas typique des “vrais” utilisateurs. D’autres signes indiquent que le trafic envoie des requêtes à un seul serveur, port ou application, ou qu’il arrive par vagues que vous pouvez chronométrer de manière cohérente.

Que pouvez-vous faire pour arrêter une attaque DDoS ?

En tant que professionnels de l’informatique, il est très important de reconnaître les signes d’une attaque DDoS, à la fois pour informer vos utilisateurs informatiques de ce qui se passe et pour prendre rapidement des mesures intelligentes afin de résoudre le problème. Malheureusement, il n’est pas toujours facile de repérer une attaque DDoS, surtout si les requêtes semblent provenir de sources légitimes.

Soyez attentif à un afflux de trafic provenant d’un endroit inattendu, peut-être d’un endroit où vous n’avez pas de clientèle, ou à une grande quantité de trafic provenant du même endroit. Vous pouvez également remarquer que l’ensemble du pic de trafic provient du même système d’exploitation et du même navigateur web, ce qui n’est pas typique des “vrais” utilisateurs. D’autres signes indiquent que le trafic envoie des requêtes à un seul serveur, port ou application, ou qu’il arrive par vagues que vous pouvez chronométrer de manière cohérente.

Que pouvez-vous faire pour arrêter une attaque DDoS ?

C’est la question à un million de dollars ! Une fois qu’une attaque DDoS a commencé, il est difficile de l’arrêter sans bloquer toutes les requêtes HTTP, ce qui impliquerait certains temps d’arrêt. Cela peut s’avérer nécessaire pour éviter que le serveur ne tombe en panne.

Les mesures préventives sont un moyen intelligent de se protéger contre les attaques DDoS, et si vous travaillez dans des environnements clients, elles seront d’une importance capitale.

Tirez parti d’une solution CDN : Il s’agit de centres d’épuration mondiaux qui utilisent un protocole de port pour “nettoyer” votre trafic afin de s’assurer que les attaques basées sur le volume ne peuvent pas passer. Ils peuvent également répartir votre charge de manière égale sur des serveurs distribués, ce qui rend plus difficile pour les attaquants de les cibler tous en même temps.

Technologie d’identification des visiteurs : Ce type de solution permet de faire la différence entre les visiteurs légitimes d’un site web et le trafic d’un réseau de zombies. Le trafic malveillant peut être bloqué avant qu’il n’atteigne le site. N’oubliez pas que les demandes légitimes des utilisateurs risquent d’être bloquées.

Surveillez le comportement des visiteurs : Plus vous en savez sur vos visiteurs, mieux c’est, ce qui vous aide à comprendre les comportements sûrs et dangereux du trafic. Vous pouvez même imposer des tâches spécifiques avant d’autoriser une requête suspecte, comme les défis liés aux cookies et les CAPTCHA.

Renforcez la sécurité de votre réseau : Les pare-feu et les IDS peuvent analyser le trafic avant de l’autoriser à pénétrer dans le réseau, et les outils de sécurité web peuvent bloquer le trafic anormal et rechercher le trafic présentant des schémas d’attaque connus. La segmentation du réseau permet de s’assurer qu’une faille n’affecte pas l’ensemble de l’entreprise.

Enfin, vous devez veiller à surveiller en permanence l’ensemble du trafic réseau afin de détecter les premiers signes d’alerte d’une attaque DDoS. Parfois, les attaquants lancent une attaque de faible volume pendant une courte période à titre d’essai ; il est donc important de rester vigilant.