
Il existe de nombreuses cybermenaces dont les utilisateurs d'Internet et les administrateurs réseau doivent se méfier, mais pour les organisations dont les services fonctionnent en grande partie en ligne, l'une des attaques les plus importantes à connaître, en raison de leur prévalence croissante, est celle des attaques par déni de service distribué (DDoS). Mais qu’est-ce qu’une attaque par déni de service, comment fonctionnent-elles et existe-t-il des moyens de les prévenir ?
Attaques par déni de service distribué (DDoS)
Qu’est-ce qu’une attaque DDoS? Ce type d'attaque tire profit des limites de capacité spécifiques qui s'appliquent aux ressources d'un réseau, comme l'infrastructure qui prend en charge le site Internet d'une entreprise. Une attaque DDoS consiste à envoyer de multiples requêtes à la ressource Web attaquée dans le but d'entraver la capacité du site Internet à gérer les requêtes et bloquer son fonctionnement. Les cibles typiques des attaques DDoS incluent les sites de commerce électronique et toute organisation proposant des services en ligne.
Comment ça marche ?
Une partie essentielle de la compréhension des attaques DDoS consiste à apprendre comment ces attaques fonctionnent. Les ressources réseau, telles que les serveurs Web, ne peuvent simultanément gérer qu'un nombre limité de requêtes. Outre la limite de capacité du serveur, le canal qui relie le serveur à Internet possède lui aussi une bande passante/capacité limitée. Lorsque le nombre de requêtes dépasse la capacité maximale d'un composant de l'infrastructure, le niveau de service peut rencontrer les problèmes suivants :
En règle générale, l'objectif de l'attaquant dans tout exemple d'attaque DDoS est de surcharger le serveur de la ressource Web, empêchant ainsi son fonctionnement normal et entraînant un déni de service total. L'auteur de l'attaque peut également exiger de l'argent pour faire cesser l'attaque. Dans certains cas, une attaque DDoS peut même prendre la forme d'une tentative de discrédit ou de nuisance à l'égard de l'activité d'un concurrent.
Pour mener l'attaque, l'attaquant prend le contrôle d'un réseau ou d'un appareil en l'infectant avec un logiciel malveillant , créant ainsi un botnet . Ils lancent ensuite l’attaque en envoyant des instructions spécifiques aux robots. À son tour, le botnet commence à envoyer des requêtes au serveur cible via son adresse IP , le submergeant et provoquant un déni de service de son trafic régulier.
Exemples d’attaques DDoS : quels sont les différents types d’attaques ?
Apprendre la signification des attaques DDoS et leur fonctionnement est une étape pour les prévenir, mais il est également essentiel de comprendre qu'il existe différents types d'attaques DDoS. Cela implique tout d’abord de décrire comment les connexions réseau sont formées.
Le modèle d’interconnexion des systèmes ouverts (OSI), développé par l’Organisation internationale de normalisation, définit sept couches distinctes qui composent les connexions réseau Internet. Il s’agit notamment de la couche physique, de la couche liaison de données, de la couche réseau, de la couche transport, de la couche session, de la couche présentation et de la couche application.
Les nombreux exemples d’attaques DDoS diffèrent selon la couche de connexion ciblée. Vous trouverez ci-dessous quelques-uns des exemples les plus courants.
Attaques contre la couche application
Parfois appelées attaques de couche 7 (car elles ciblent la 7e couche (application) du modèle OSI), ces attaques épuisent les ressources du serveur cible à l'aide de sites Web DDoS. La 7e couche est l'endroit où un serveur génère des pages Web en réponse à une requête HTTP. Les attaquants exécutent de nombreuses requêtes HTTP, submergeant le serveur cible alors qu'il répond en chargeant les nombreux fichiers et en exécutant les requêtes de base de données nécessaires à la création d'une page Web.
le flooding HTTP.
Considérez ces attaques DDoS comme l’actualisation répétée d’un navigateur Web sur de nombreux ordinateurs. Cela crée un « flot » de requêtes HTTP, forçant un déni de service. La mise en œuvre de ces attaques peut être simple – en utilisant une URL avec une plage étroite d’adresses IP – ou complexe, en utilisant un tableau d’adresses IP et d’URL aléatoires.
Attaques de protocole
Souvent appelées attaques par épuisement d’état, ces attaques DDoS exploitent les vulnérabilités des 3e et 4e couches du modèle OSI (les couches réseau et transport). Ces attaques créent un déni de service en surchargeant les ressources du serveur ou les ressources de l'équipement réseau, comme les pare-feu . Il existe plusieurs types d’attaques de protocole, notamment les inondations SYN. Ils exploitent le protocole TCP (Transmission Control Protocol), qui permet à deux personnes d'établir une connexion réseau, en envoyant un nombre ingérable de « demandes de connexion initiales » TCP à partir de fausses adresses IP.
Attaques volumétriques
Ces exemples d'attaques DDoS créent un déni de service en utilisant toute la bande passante disponible sur un serveur cible en envoyant d'énormes quantités de données pour créer une augmentation du trafic sur le serveur.
Amplification du DNS
Il s'agit d'une attaque basée sur la réflexion où une requête est envoyée à un serveur DNS à partir d'une adresse IP usurpée (celle du serveur cible), invitant le serveur DNS à « rappeler » la cible pour vérifier la requête. Cette action est amplifiée par l’utilisation d’un botnet, submergeant rapidement les ressources du serveur cible.
Identifier une attaque DDoS
Les attaques DDoS peuvent être difficiles à identifier car elles peuvent imiter des problèmes de service conventionnels et sont de plus en plus sophistiquées. Cependant, certains signes peuvent suggérer qu’un système ou un réseau a été victime d’une attaque DDoS. Voici quelques-uns de ces produits :
- Une augmentation soudaine du trafic provenant d'une adresse IP inconnue
- Un flux de trafic provenant de nombreux utilisateurs qui partagent des similitudes spécifiques, comme la géolocalisation ou la version du navigateur Web
- Une augmentation inexplicable des demandes pour une seule page
- Des schémas de circulation inhabituels
- Performances réseau lentes
- Un service ou un site Web qui se met soudainement hors ligne sans raison
Prévention et atténuation des attaques DDoS
Bien que les attaques DDoS puissent être difficiles à détecter, il est possible de mettre en œuvre plusieurs mesures pour tenter de prévenir ces types de cyberattaques et d’atténuer les dommages en cas d’attaque. Pour les utilisateurs qui se demandent comment prévenir les attaques DDoS, la clé est de créer un plan d’action pour sécuriser les systèmes et atténuer les dommages en cas d’attaque. En général, il est avantageux de mettre en œuvre une solution comme la protection DDoS de Kaspersky pour les entreprises, qui analyse et redirige en permanence le trafic malveillant. De plus, les conseils généraux suivants peuvent vous aider à renforcer davantage vos défenses :
- Évaluez la configuration actuelle du système, y compris les logiciels, les périphériques, les serveurs et les réseaux, pour identifier les risques de sécurité et les menaces potentielles, puis mettez en œuvre des mesures pour les réduire ; effectuez des évaluations régulières des risques.
- Maintenez tous les logiciels et technologies à jour pour vous assurer qu'ils exécutent les derniers correctifs de sécurité.
- Développer une stratégie viable pour la prévention, la détection et l’atténuation des attaques DDoS.
- Assurez-vous que toute personne impliquée dans le plan de prévention des attaques comprend la signification de l’attaque DDoS et les rôles qui lui sont attribués.
En cas d’attaque, ces actions peuvent offrir une certaine atténuation :
- Réseaux Anycast : l'utilisation d'un réseau Anycast pour redistribuer le trafic peut aider à maintenir la convivialité du serveur pendant que le problème est résolu, garantissant que le serveur n'a pas besoin d'être complètement arrêté.
- Routage trou noir : dans ce scénario, un administrateur réseau du FAI redirige tout le trafic du serveur cible vers un itinéraire trou noir (adresse IP ciblée), le supprimant du réseau et préservant son intégrité. Cependant, cela peut être une mesure extrême à prendre car elle bloque également le trafic légitime.
- Limitation de débit : cela limite le nombre de requêtes qu'un serveur peut accepter à tout moment. Même si cela ne sera pas très efficace en soi, cela peut être utile dans le cadre d’une stratégie plus vaste.
- Pare-feu : les organisations peuvent utiliser des pare-feu d’applications Web (WAF) pour agir comme un proxy inverse afin de protéger leurs serveurs. Les WAF peuvent être configurés avec des règles pour filtrer le trafic, et les administrateurs peuvent modifier cela en temps réel s'ils suspectent une attaque DDoS.
Autres articles et liens connexes :
- Qu'est-ce qu'un virus cheval de Troie ? Types et comment le supprimer
- Comment empêcher les attaques DDoS de ruiner votre prochaine session de jeu
Produits et services connexes :