Attaque DDoS sur la couche d'application

Les attaques DDoS de la couche application visent la couche application d'Internet afin de perturber le flux normal du trafic vers un site ou un service.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir une attaque de la couche application (L7)
  • En savoir plus sur le fonctionnement des attaques de la couche application
  • Découvrez comment atténuer une attaque de la couche application

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce qu'une attaque DDoS de la couche application ?

Les attaques de la couche applicative ou attaques DDoS de la couche 7 (L7) font référence à un type de comportement malveillant conçu pour cibler la couche « supérieure » du modèle OSI où se produisent les requêtes Internet courantes telles que HTTP GET et HTTP POST. Ces attaques de la couche 7, contrairement aux attaques de la couche réseau telles que DNS Amplification, sont particulièrement efficaces en raison de leur consommation de ressources de serveur en plus des ressources de réseau.

Comment fonctionnent les attaques de la couche application ?

L'efficacité sous-jacente de la plupart des attaques DDoS provient de la disparité entre la quantité de ressources nécessaires pour lancer une attaque et la quantité de ressources nécessaires pour en absorber ou en atténuer les effets. Si c'est toujours le cas avec les attaques L7, l'efficacité de l'action sur le serveur et le réseau ciblés nécessite moins de bande passante totale pour obtenir le même effet perturbateur ; une attaque de la couche application crée plus de dommages avec moins de bande passante totale.

Pour comprendre pourquoi, examinons la différence de consommation relative des ressources entre un client qui fait une requête et un serveur qui répond à cette requête. Lorsqu'un utilisateur envoie une requête de connexion à un compte en ligne tel qu'un compte Gmail, la quantité de données et de ressources que l'ordinateur de l'utilisateur doit utiliser est minime et disproportionnée par rapport à la quantité de ressources consommées dans le processus de vérification des informations de connexion, de chargement des données utilisateur pertinentes à partir d'une base de données, puis de renvoi d'une réponse contenant la page Web demandée.

Même en l'absence de connexion, il arrive souvent qu'un serveur recevant une requête d'un client doive effectuer des requêtes dans une base de données ou d'autres appels API afin de produire une page Web. Lorsque cette disparité est amplifiée par le fait que de nombreux dispositifs ciblent une seule propriété web, comme lors d'une attaque botnet, l'effet peut submerger le serveur ciblé, entraînant un déni de service pour le trafic légitime. Dans de nombreux cas, le simple fait de cibler une API avec une attaque L7 suffit à mettre le service hors ligne.

Pourquoi est-il difficile d'arrêter les attaques DDoS de la couche application ?

Il est difficile de faire la distinction entre le trafic d'attaque et le trafic normal, surtout dans le cas d'une attaque au niveau de la couche applicative, comme un Botnet effectuant une attaque HTTP Flood contre le serveur d'une victime. Étant donné que chaque Bot d'un réseau de Botnet effectue des requêtes apparemment légitimes sur le réseau, le trafic n'est pas dénaturé et peut sembler avoir une origine « normale ».

Les attaques de la couche d'application nécessitent une stratégie adaptative comprenant la capacité de limiter le trafic en fonction d'ensembles particuliers de règles, qui peuvent fluctuer régulièrement. Des outils tels qu'un WAF correctement configuré peuvent atténuer la quantité de trafic factice transmis à un serveur d'origine, ce qui réduit considérablement l'impact de la tentative de DDoS.

Avec d'autres attaques telles que les inondations SYN ou les attaques par réflexion telles que l'amplification NTP, des stratégies peuvent être utilisées pour faire tomber le trafic de manière assez efficace, à condition que le réseau lui-même ait la bande passante nécessaire pour les recevoir Malheureusement, la plupart des réseaux ne peuvent pas recevoir d'attaque par amplification de 300  Gbps, et encore moins de réseaux peuvent acheminer et servir correctement le volume de requêtes de la couche application qu'une attaque L7 peut générer.

Quelles stratégies permettent d'atténuer les attaques de la couche application ?

Une méthode consiste à lancer un défi au dispositif effectuant la requête de réseau afin de vérifier s'il s'agit ou non d'un bot. Cela se fait par le biais d'un test semblable au test CAPTCHA que l'on trouve couramment lors de la création d'un compte en ligne. En donnant une exigence telle qu'un défi de calcul JavaScript, de nombreuses attaques peuvent être atténuées.

Parmi les autres moyens de stopper les saturations de HTTP, on peut citer l'utilisation d'un pare-feu pour les applications web, la gestion et le filtrage du trafic par le biais d'une base de données de IP Reputation et l'analyse du réseau en ligne par des ingénieurs.

Bénéficiant de l'avantage de l'échelle avec des millions d'utilisateurs sur notre réseau, Cloudflare a la capacité d'analyser le trafic provenant d'une variété de sources, atténuant les attaques potentielles avec des règles WAF constamment mises à jour et d'autres stratégies d'atténuation, souvent avant qu'elles ne se produisent ou n'aient une chance de recibler d'autres personnes. Explorez les services de protection avancée DDoS de Cloudflare.