Comment prévenir les attaques DDoS | Méthodes et outils

La réduction de la surface d'attaque, la détection des menaces en temps réel et l'atténuation continue des attaques DDoS peuvent contribuer à prévenir les attaques avant qu'elles n'atteignent les infrastructures et les systèmes ciblés.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Expliquer comment fonctionnent les attaques DDoS
  • Explorer les stratégies de prévention des attaques DDoS
  • Découvrez comment Cloudflare aide à prévenir les attaques

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Comment fonctionnent les attaques DDoS

Une attaque par déni de service distribué (Distributed Denial of Service, DDoS) perturbe le fonctionnement d'un serveur, d'un service ou d'un réseau en l'inondant de trafic Internet indésirable. Dans le pire des scénarios, ces attaques peuvent entraîner l'arrêt d'un site web, voire d'un réseau entier pendant une longue période.

Les attaques DDoS exploitent une multitude d'ordinateurs ou de machines pour diriger du trafic malveillant vers une cible. Souvent, ces machines forment un botnet, c'est-à-dire un groupe d'appareils qui ont été compromis par un logiciel malveillant et peuvent être contrôlés par un acteur malveillant unique. D'autres attaques DDoS peuvent impliquer plusieurs acteurs malveillants ou outils de lancement d'attaques DDoS, tels qu'une application de type IP Stresser (par ex., LOIC) ou des programmes de lancement d'attaques lentes et de faible intensité (par ex., Slowloris).

Les acteurs malveillants peuvent utiliser une ou plusieurs stratégies parmi les suivantes pour lancer des attaques DDoS contre leurs cibles :

  1. Les attaques sur la couche d'application, également appelées attaques DDoS sur la couche 7, créent un déni de service en submergeant le serveur de la cible et les ressources du réseau avec des requêtes HTTP en apparence légitimes.
  2. Les attaques de protocole (ou attaques par épuisement d'état) submergent les équipements et l'infrastructure du réseau en utilisant les protocoles de la couche 3 ou 4 (par ex., ICMP) pour inonder leur cible avec un flot de trafic indésirable.
  3. Les attaques volumétriques utilisent des techniques d'amplification (par exemple, le déploiement d'un botnet ou l'exploitation de protocoles réseau courants) pour consommer toute la bande passante disponible de la cible.

Pour en savoir plus sur les tactiques employées lors d'une attaque DDoS, lisez Qu'est-ce qu'une attaque par déni de service distribué (DDoS) ?

Comment prévenir les attaques DDoS

La prévention des attaques DDoS peut s'avérer difficile, en particulier pendant les périodes de fort trafic ou dans une architecture de réseau vaste et distribuée. Une défense véritablement proactive contre les menaces DDoS repose sur plusieurs facteurs essentiels : la réduction de la surface d'attaque, la surveillance des menaces et des outils évolutifs d'atténuation des attaques DDoS.

Méthodes de prévention des attaques DDoS

  • Réduction de la surface d'attaque : limiter l'exposition de la surface d'attaque peut contribuer à réduire au minimum l'effet d'une attaque DDoS. Plusieurs méthodes permettent de réduire cette exposition, notamment la restriction du trafic à des emplacements spécifiques, la mise en œuvre d'un service d'équilibrage de charge et le blocage des communications provenant de ports, de protocoles et d'applications obsolètes ou inutilisés.
  • Diffusion sur un réseau Anycast : un réseau Anycast aide à augmenter la surface du réseau d'une entreprise, lui permettant d'absorber plus facilement les pics de trafic volumétriques (et ainsi, d'éviter les défaillances) en répartissant le trafic sur plusieurs serveurs distribués.
  • Surveillance des menaces adaptative, en temps réel : la surveillance des journaux peut aider à identifier les menaces potentielles en analysant les schémas de trafic du réseau, en surveillant les pics de trafic ou toute autre activité inhabituelle et en s'adaptant pour offrir une défense contre les requêtes, les protocoles et les blocs d'adresses IP anormaux ou malveillants.
  • Mise en cache : un cache stocke des copies des contenus demandés, permettant ainsi de réduire le nombre de requêtes traitées par le serveur d'origine. L'utilisation d'un réseau de diffusion de contenu (Content Delivery Network, CDN) pour la mise en cache des ressources peut réduire la pression exercée sur les serveurs d'une entreprise et rendre plus difficile leur saturation par des requêtes, qu'elles soient légitimes ou malveillantes.
  • Limitation du débit : la limitation du débit permet de limiter le volume du trafic réseau sur une période donnée, empêchant ainsi les serveurs web d'être submergés par des requêtes provenant d'adresses IP spécifiques. La limitation du débit peut être utilisée pour prévenir les attaques DDoS utilisant des botnets pour submerger un point de terminaison sous un nombre anormal de requêtes simultanées.

Outils de prévention des attaques DDoS

  • Pare-feu d'applications web (WAF) : un pare-feu WAF (Web Application Firewall) aide à bloquer les attaques en utilisant des politiques personnalisables pour filtrer, inspecter et bloquer le trafic HTTP malveillant entre les applications web et Internet. Avec un pare-feu WAF, les entreprises peuvent appliquer un modèle de sécurité positif et négatif, permettant de contrôler le trafic entrant depuis des emplacements et des adresses IP spécifiques.
  • Atténuation continue des attaques DDoS : un fournisseur de services d'atténuation des attaques DDoS peut aider à prévenir les attaques DDoS en analysant continuellement le trafic réseau, en appliquant des changements de politique en réponse aux schémas d'attaque émergents et en fournissant un réseau de datacenters étendu et fiable. Lorsque vous évaluez les services d'atténuation des attaques DDoS dans le cloud, recherchez un fournisseur offrant une protection adaptative, évolutive et continue contre les menaces sophistiquées et les attaques volumétriques.

Pour un examen plus approfondi des outils et stratégies d'atténuation des attaques DDoS, lisez Qu'est-ce que l'atténuation des attaques DDoS ?

Comment Cloudflare aide à prévenir les attaques DDoS

Cloudflare offre une protection intégrée contre les attaques DDoS sur les couches 3-7, qui aide les entreprises à surveiller, prévenir et atténuer les attaques avant qu'elles n'atteignent les applications, réseaux et infrastructures ciblés. Voici quelques-uns des principaux avantages de notre système de défense contre les menaces à plusieurs niveaux :

  • Un réseau mondial Anycast, qui s'étend à 320 villes dans 120 pays dans le monde entier, capable d'absorber même les attaques DDoS les plus vastes
  • Routage et accélération du trafic afin d'aider à répartir les pics de trafic sur notre réseau et à minimiser la latence et la congestion
  • Atténuation automatique et continue des attaques DDoS, permettant de détecter et bloquer le trafic malveillant en moins de trois secondes
  • Pare-feu WAF de nouvelle génération réunissant une fonctionnalité avancée de limitation du débit, des ensembles de règles personnalisés et une prévention flexible des menaces

Victime d’une attaque ? Contactez la ligne d'assistance téléphonique d'urgence en cas de cyberattaque de Cloudflare pour bénéficier d'une protection immédiate contre les attaques DDoS.