Cloud Cybersécurité Data

Définition attaque DDOS

Qu’est-ce qu’une attaque DDoS ?

Les attaques DDoS sont aujourd’hui une préoccupation majeure en matière de sécurité sur Internet. Découvrez comment les attaques DDoS fonctionnent et comment elles peuvent être stoppées.

Qu’est-ce qu’une attaque DDoS ?

Une attaque par déni de service distribué (DDoS) est une tentative malveillante de perturber le trafic normal d’un serveur, d’un service ou d’un réseau ciblé en submergeant la cible ou son infrastructure environnante par un flot de trafic Internet. Les attaques DDoS sont efficaces car elles utilisent de multiples systèmes informatiques compromis comme sources d’attaque du trafic. Les machines exploitées peuvent comprendre des ordinateurs et d’autres ressources en réseau telles que des dispositifs IdO. À un niveau élevé, une attaque DDoS est comme un embouteillage qui bloque l’autoroute, empêchant le trafic régulier d’arriver à sa destination souhaitée.

Comment fonctionne une attaque DDoS ?

Une attaque DDoS nécessite qu’un attaquant prenne le contrôle d’un réseau de machines en ligne afin de réaliser une attaque. Les ordinateurs et autres machines (tels que les dispositifs IdO) sont infectés par des logiciels malveillants, ce qui transforme chacun d’entre eux en un bot (ou zombie). L’attaquant peut alors contrôler à distance le groupe de robots, appelé « botnet ».

Une fois le botnet établi, l’attaquant est en mesure de diriger les machines en envoyant des instructions mises à jour à chaque bot par une méthode de contrôle à distance. Lorsque l’adresse IP d’une victime est ciblée par le botnet, chaque bot répond en envoyant des requêtes à la cible, ce qui peut entraîner un dépassement de capacité du serveur ou du réseau ciblé, et donc un déni de service du trafic normal. Comme chaque bot est un dispositif Internet légitime, il peut être difficile de séparer le trafic d’attaque du trafic normal.

Quels sont les types d’attaques DDoS les plus courants ?

Les différents vecteurs d’attaque DDoS ciblent des composants variables d’une connexion réseau. Afin de comprendre le fonctionnement des différentes attaques DDoS, il est nécessaire de savoir comment une connexion réseau est établie. Une connexion réseau sur Internet est composée de nombreux composants ou « couches » différents. Comme pour la construction d’une maison à partir de la base, chaque étape du modèle a un objectif différent. Le modèle OSI, présenté ci-dessous, est un cadre conceptuel utilisé pour décrire la connectivité de réseau en 7 couches distinctes.

Alors que presque toutes les attaques DDoS consistent à submerger de trafic un appareil ou un réseau cible, les attaques peuvent être divisées en trois catégories. Un attaquant peut utiliser un ou plusieurs vecteurs d’attaque différents, ou des vecteurs d’attaque cyclique potentiellement basés sur des contre-mesures prises par la cible.

Le but de l’attaque :

Parfois appelée attaque DDoS de couche 7 (en référence à la 7e couche du modèle OSI), le but de ces attaques est d’épuiser les ressources de la cible. Les attaques ciblent la couche où les pages web sont générées sur le serveur et livrées en réponse à des requêtes HTTP. Une seule requête HTTP est peu coûteuse à exécuter du côté client, et peut être coûteuse à laquelle le serveur cible doit répondre car le serveur doit souvent charger plusieurs fichiers et exécuter des requêtes de base de données afin de créer une page web. Les attaques de la couche 7 sont difficiles à défendre car le trafic peut être difficile à signaler comme étant malveillant.

flooding HTTP

Cette attaque est similaire à l’actualisation d’un navigateur web sur plusieurs ordinateurs à la fois – un grand nombre de requêtes HTTP inondent le serveur, ce qui entraîne un déni de service.

Ce type d’attaque va du simple au complexe. Des mises en œuvre plus simples peuvent accéder à une URL avec la même gamme d’adresses IP, de référants et d’agents utilisateurs attaquants. Les versions complexes peuvent utiliser un grand nombre d’adresses IP attaquantes, et cibler des urls aléatoires en utilisant des référants et des agents utilisateurs aléatoires.

Attaques de protocole
Le but de l’attaque :
Les attaques de protocole, également appelées attaques par épuisement d’état, provoquent une interruption de service en consommant toute la capacité des tables d’état disponibles des serveurs d’applications web ou des ressources intermédiaires comme les pare-feu et les équilibreurs de charge. Les attaques de protocole utilisent les faiblesses des couches 3 et 4 de la pile de protocole pour rendre la cible inaccessible.

Flood SYN

Une inondation de SYN est analogue à un travailleur dans une salle d’approvisionnement qui reçoit des demandes de l’avant du magasin. Le travailleur reçoit une demande, va chercher le paquet et attend une confirmation avant de l’apporter devant le magasin. Le travailleur reçoit alors de nombreuses autres demandes de colis sans confirmation jusqu’à ce qu’il ne puisse plus en transporter, qu’il soit submergé et que les demandes restent sans réponse.

Cette attaque exploite la poignée de main TCP en envoyant à une cible un grand nombre de paquets SYN TCP « Initial Connection Request » avec des adresses IP sources usurpées. La machine cible répond à chaque demande de connexion et attend ensuite l’étape finale de la poignée de main, qui ne se produit jamais, épuisant ainsi les ressources de la cible.

Attaques en volumes
Le but de l’attaque :
Cette catégorie d’attaques tente de créer un encombrement en consommant toute la bande passante disponible entre la cible et l’Internet plus large. De grandes quantités de données sont envoyées à une cible en utilisant une forme d’amplification ou un autre moyen de créer un trafic massif, comme les requêtes d’un botnet.

Amplification du DNS

Une amplification DNS, c’est comme si quelqu’un appelait un restaurant et disait « Je vais prendre un de ces plats, rappelez-moi s’il vous plaît et racontez-moi toute ma commande », où le numéro de téléphone de rappel qu’ils donnent est le numéro de la cible. Avec très peu d’efforts, une longue réponse est générée.

En faisant une requête à un serveur DNS ouvert avec une adresse IP usurpée (la véritable adresse IP de la cible), l’adresse IP de la cible reçoit alors une réponse du serveur. L’attaquant structure la requête de telle sorte que le serveur DNS réponde à la cible avec une grande quantité de données. En conséquence, la cible reçoit une amplification de la requête initiale de l’attaquant.

Quel est le processus pour atténuer une attaque DDoS ?

La principale préoccupation dans l’atténuation d’une attaque DDoS est de faire la différence entre l’attaque et le trafic normal. Par exemple, si le site web d’une entreprise est inondé de clients enthousiastes lors du lancement d’un produit, il est erroné de couper tout le trafic. Si cette entreprise connaît soudainement une augmentation du trafic provenant de mauvais acteurs connus, il est probablement nécessaire de faire des efforts pour atténuer une attaque. La difficulté consiste à distinguer le vrai client du trafic d’attaque.

Dans l’Internet moderne, le trafic DDoS se présente sous de nombreuses formes. La conception de ce trafic peut varier, allant d’attaques à source unique non filtrées à des attaques complexes et adaptatives à vecteurs multiples. Une attaque DDoS à vecteurs multiples utilise plusieurs voies d’attaque afin de submerger une cible de différentes manières, ce qui peut potentiellement distraire les efforts d’atténuation sur une trajectoire donnée. Une attaque qui cible plusieurs couches de la pile de protocoles en même temps, telle qu’une amplification DNS (ciblant les couches 3/4) couplée à une inondation HTTP (ciblant la couche 7) est un exemple de DDoS multi-vecteur.

L’atténuation d’une attaque DDoS multi-vecteur nécessite une variété de stratégies afin de contrer différentes trajectoires. D’une manière générale, plus l’attaque est complexe, plus il est probable que le trafic sera difficile à séparer du trafic normal – l’objectif de l’attaquant est de se fondre autant que possible dans la masse, rendant l’atténuation aussi inefficace que possible. Les tentatives d’atténuation qui impliquent d’abandonner ou de limiter le trafic sans discernement peuvent rejeter le bon trafic avec le mauvais, et l’attaque peut également se modifier et s’adapter pour contourner les contre-mesures. Afin de surmonter une tentative complexe de perturbation, une solution à plusieurs niveaux apportera le plus grand bénéfice possible.

Black Hole Routing

Une solution à la disposition de pratiquement tous les administrateurs de réseau consiste à créer une route de trou noir et à y canaliser le trafic. Dans sa forme la plus simple, lorsque le filtrage des trous noirs est mis en œuvre sans critères de restriction spécifiques, le trafic réseau, qu’il soit légitime ou malveillant, est acheminé vers une route nulle ou un trou noir et éliminé du réseau. Si une propriété Internet subit une attaque DDoS, le fournisseur d’accès à Internet (FAI) de la propriété peut envoyer tout le trafic du site dans un trou noir pour se défendre.

Rate Limiting

Limiter le nombre de requêtes qu’un serveur acceptera pendant une certaine période est également un moyen d’atténuer les attaques par déni de service. Si la limitation du débit est utile pour ralentir les racleurs web qui volent le contenu et pour atténuer les tentatives de connexion par force brute, elle sera probablement insuffisante à elle seule pour traiter efficacement une attaque DDoS complexe. Néanmoins, la limitation du débit est un élément utile d’une stratégie efficace de réduction des attaques par déni de service. En savoir plus sur la limitation du taux de Cloudflare

Web Application Firewall

Un pare-feu d’application Web (WAF) est un outil qui peut aider à atténuer une attaque DDoS de couche 7. En plaçant un WAF entre l’Internet et un serveur d’origine, le WAF peut agir comme un proxy inverse, protégeant le serveur ciblé de certains types de trafic malveillant. En filtrant les demandes sur la base d’une série de règles utilisées pour identifier les outils DDoS, les attaques de couche 7 peuvent être entravées. L’une des principales valeurs d’un WAF efficace est la capacité à mettre en œuvre rapidement des règles personnalisées en réponse à une attaque. En savoir plus sur le WAF de Cloudflare

Anycast Network Diffusion

Cette approche d’atténuation utilise un réseau Anycast pour disperser le trafic d’attaque à travers un réseau de serveurs distribués jusqu’au point où le trafic est absorbé par le réseau. Tout comme le fait de canaliser une rivière qui coule à toute allure sur des canaux séparés plus petits, cette approche répartit l’impact du trafic d’attaque distribué jusqu’au point où il devient gérable, diffusant ainsi toute capacité perturbatrice.

La fiabilité d’un réseau Anycast pour atténuer une attaque DDoS dépend de la taille de l’attaque et de la taille et de l’efficacité du réseau. Une partie importante de la réduction des DDoS mise en œuvre par Cloudflare est l’utilisation d’un réseau distribué Anycast. Cloudflare dispose d’un réseau de 30 Tbps, ce qui est un ordre de grandeur supérieur à la plus grande attaque DDoS enregistrée.

Si vous êtes actuellement victime d’une attaque, il existe des mesures que vous pouvez prendre pour vous sortir de cette pression. Si vous êtes déjà sur Cloudflare, vous pouvez suivre ces étapes pour atténuer votre attaque. La protection DDoS que nous mettons en œuvre chez Cloudflare est multidimensionnelle afin d’atténuer les nombreux vecteurs d’attaque possibles. En savoir plus sur la protection DDoS de Cloudflare et son fonctionnement.

Ecrire un commentaire