Attaque DDoS de la couche application

Les attaques DDoS de la couche application visent la couche application d'Internet afin de perturber le flux normal du trafic vers un site ou un service.

Share facebook icon linkedin icon twitter icon email icon

Attaque de la couche d'application

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir une attaque de la couche application (L7)
  • En savoir plus sur le fonctionnement des attaques de la couche application
  • Découvrez comment atténuer une attaque de la couche application

Qu'est-ce qu'une attaque DDoS de la couche application ?

Les attaques de la couche application ou attaques DDoS de la couche 7 (L7) désignent un type de comportement malveillant conçu pour cibler la couche "supérieure" du modèle OSI où se produisent les requêtes Internet courantes telles que HTTP GET and HTTP POST. Ces attaques de couche 7, contrairement aux attaques de couche réseau telles que l'amplification DNS, sont particulièrement efficaces en raison de leur consommation de ressources de serveur en plus des ressources réseau.

Comment fonctionnent les attaques de la couche application ?

L'efficacité sous-jacente de la plupart des attaques DDoS provient de la disparité entre la quantité de ressources nécessaires pour lancer une attaque et la quantité de ressources nécessaires pour en absorber ou en atténuer les effets. Si c'est toujours le cas avec les attaques L7, l'efficacité de l'action sur le serveur et le réseau ciblés nécessite moins de bande passante totale pour obtenir le même effet perturbateur ; une attaque de la couche application crée plus de dommages avec moins de bande passante totale.


Pour comprendre pourquoi il en est ainsi, examinons la différence de consommation relative de ressources entre un client qui fait une demande et un serveur qui y répond. Lorsqu'un utilisateur envoie une demande en se connectant à un compte en ligne tel qu'un compte Gmail, la quantité de données et de ressources que l'ordinateur de l'utilisateur doit utiliser est minime et disproportionnée par rapport à la quantité de ressources consommées dans le processus de vérification des identifiants de connexion, de chargement des données utilisateur pertinentes à partir d'une base de données, puis de renvoi d'une réponse contenant la page web demandée.


Même en l'absence de données de login, il arrive souvent qu'un serveur recevant une requête d'un client doive effectuer des requêtes dans la base de données ou d'autres appels API afin de produire une page web. Lorsque cette disparité est amplifiée par le fait que de nombreux dispositifs ciblent une seule propriété web, comme lors d'une attaque de réseaux zombies, l'effet peut submerger le serveur ciblé, entraînant un déni de service pour le trafic légitime. Dans de nombreux cas, le simple fait de cibler une API avec une attaque L7 suffit pour mettre le service hors ligne.

Pourquoi est-il difficile d'arrêter les attaques DDoS de la couche application ?

Il est difficile de distinguer le trafic d'attaque du trafic normal, en particulier dans le cas d'une attaque de la couche application comme un réseau de zombies effectuant une attaque HTTP Flood contre le serveur d'une victime. Étant donné que chaque robot d'un réseau de zombies fait des demandes apparemment légitimes, le trafic n'est pas usurpé et peut sembler "normal" à l'origine.


Application layer attacks require an adaptive strategy including the ability to limit traffic based on particular sets of rules, which may fluctuate regularly. Tools such as a properly configured WAF can mitigate the amount of bogus traffic that is passed on to an origin server, greatly diminishing the impact of the DDoS attempt.


Avec d'autres attaques telles que les SYN floods ou les attaques par réflexion comme l'amplification NTP, il existe des stratégies permettant de faire tomber le trafic de manière assez efficace, à condition que le réseau lui-même dispose de la bande passante nécessaire pour les recevoir. Malheureusement, la plupart des réseaux ne peuvent pas recevoir une attaque à amplification de 300 Gbps, et encore moins de réseaux peuvent correctement acheminer et servir le volume de demandes de la couche application qu'une attaque L7 peut générer.

Quelles stratégies permettent d'atténuer les attaques de la couche application ?

Un des moyens consiste à mettre en place un défi pour l'appareil qui fait la requête réseau afin de tester s'il s'agit ou non d'un bot. Cela se fait au moyen d'un test similaire au test CAPTCHA que l'on trouve couramment lors de la création d'un compte en ligne. En imposant une exigence telle qu'un défi informatique JavaScript, de nombreuses attaques peuvent être atténuées


Parmi les autres moyens de stopper les saturations de HTTP, on peut citer l'utilisation d'un pare-feu pour les applications web, la gestion et le filtrage du trafic par le biais d'une base de données de réputation IP et l'analyse du réseau en ligne par des ingénieurs.


Disposant de l'avantage du déploiement à grande échelle avec des millions d'utilisateurs sur notre réseau, Cloudflare a la capacité d'analyser le trafic provenant de diverses sources, atténuant les attaques potentielles avec des règles WAF constamment mises à jour et d'autres stratégies d'atténuation, souvent avant qu'elles ne se produisent ou qu'elles n'aient la possibilité de recibler d'autres personnes. Découvrez les services de protection avancée DDoS de Cloudflare.