Cybersécurité

Définition attaque HTTP flood

Qu’est-ce qu’une attaque HTTP flood ?

L’inondation HTTP est un type d’attaque par déni de service distribué (DDoS) dans lequel l’attaquant exploite des requêtes HTTP GET ou POST apparemment légitimes pour attaquer un serveur ou une application Web.

Les attaques par déluge HTTP sont des attaques volumétriques, qui utilisent souvent une « armée de zombies » (botnet), c’est-à-dire un groupe d’ordinateurs connectés à Internet, dont chacun a été pris en charge de manière malveillante, généralement avec l’aide de malwares comme les chevaux de Troie.

Attaque sophistiquée de niveau 7, les inondations HTTP n’utilisent pas de paquets malformés, de techniques d’usurpation ou de réflexion, et nécessitent moins de bande passante que d’autres attaques pour faire tomber le site ou le serveur ciblé.

En tant que telles, elles exigent une connaissance plus approfondie du site ou de l’application ciblée, et chaque attaque doit être spécialement conçue pour être efficace. Les attaques par inondation HTTP sont donc beaucoup plus difficiles à détecter et à bloquer.

Description de l’attaque
Lorsqu’un client HTTP, tel qu’un navigateur Web, « parle » à une application ou à un serveur, il envoie une requête HTTP – généralement l’un des deux types de requête suivants : GET ou POST. Une requête GET est utilisée pour récupérer du contenu standard et statique comme des images, tandis que les requêtes POST sont utilisées pour accéder à des ressources générées dynamiquement.

L’attaque est plus efficace lorsqu’elle force le serveur ou l’application à allouer le maximum de ressources possibles en réponse à chaque demande. Ainsi, l’auteur de l’attaque cherchera généralement à inonder le serveur ou l’application de multiples requêtes qui nécessitent chacune un traitement aussi intensif que possible.

C’est pourquoi les attaques par inondation HTTP utilisant des requêtes POST ont tendance à être les plus efficaces en termes de ressources du point de vue de l’attaquant, car les requêtes POST peuvent inclure des paramètres qui déclenchent un traitement complexe côté serveur. D’autre part, les attaques basées sur les requêtes HTTP GET sont plus simples à créer et peuvent s’étendre plus efficacement dans un scénario de botnet.

Méthodes d’atténuation
Les attaques par inondation HTTP sont très difficiles à différencier du trafic valide car elles utilisent des requêtes URL standard. Cela en fait l’un des défis de sécurité non-vulnérable les plus avancés auxquels sont confrontés les serveurs et les applications aujourd’hui. La détection traditionnelle basée sur le débit est inefficace pour détecter les attaques par inondation HTTP, car le volume du trafic dans les inondations HTTP est souvent inférieur aux seuils de détection.

Les mécanismes d’atténuation les plus efficaces reposent sur une combinaison de méthodes de profilage du trafic, notamment l’identification de la réputation de l’IP, le suivi des activités anormales et l’utilisation de défis de sécurité progressifs (par exemple, demander d’analyser JavaScript).

Ecrire un commentaire