Attaque HTTP flood

Une attaque HTTP flood est un type d'attaque par déni de service distribué (DDoS) volumétrique conçu pour saturer un serveur ciblé de requêtes HTTP.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir une attaque DDoS de HTTP flood
  • Expliquer comment fonctionne une HTTP flood
  • Définir les moyens d'atténuer une attaque HTTP flood

Copier le lien de l'article

Qu'est-ce qu'une attaque DDoS HTTP flood ?

Une attaque HTTP flood est un type d'attaque par déni de service distribué (DDoS) volumétrique conçu pour saturer un serveur ciblé de requêtes HTTP. Une fois que la cible a été saturée de demandes et qu'elle est incapable de répondre au trafic normal, déni de service se produira pour les requêtes supplémentaires des utilisateurs existants.

Comment fonctionne une attaque HTTP flood ?

Les attaques HTTP flood sont un type d'attaque DDoS de « couche 7 ». La couche 7 est la couche application du modèle OSI, et fait référence aux protocoles internet tels que HTTP. Le protocole HTTP est le fondement des requêtes Internet basées sur les navigateurs. Il est généralement utilisé pour charger des pages Web ou pour envoyer le contenu de formulaires sur Internet. L'atténuation des attaques de la couche applicative est particulièrement complexe, car le trafic malveillant est difficile à distinguer du trafic normal.

Afin d'obtenir une efficacité maximale, les acteurs malveillants utilisent ou créent couramment des botnets afin de maximiser l'impact de leur attaque. En utilisant de nombreux dispositifs infectés par des logiciels malveillants, un attaquant est en mesure de démultiplier ses efforts en lançant un plus grand volume de trafic d'attaque.

Il existe deux variétés d'attaques HTTP flood :

  1. Attaque HTTP GET - Dans cette forme d'attaque, plusieurs ordinateurs ou autres dispositifs sont coordonnés pour envoyer plusieurs requêtes d'images, de fichiers ou d'autres éléments à partir d'un serveur ciblé. Lorsque la cible est inondée de requêtes et de réponses entrantes, un déni de service se produit pour les requêtes supplémentaires provenant de sources de trafic légitimes.
  2. Attaque HTTP POST - En général, lorsqu'un formulaire est soumis sur un site Web, le serveur doit traiter la requête entrante et pousser les données dans une couche de persistance, le plus souvent une base de données. Le traitement des données du formulaire et l'exécution des commandes nécessaires à la base de données sont relativement intensifs par rapport à la puissance de traitement et à la bande passante nécessaires pour envoyer la requête POST. Cette attaque utilise la disparité dans la consommation relative des ressources, en envoyant de nombreuses requêtes POST directement à un serveur ciblé jusqu'à ce que sa capacité soit saturée et qu'un déni de service se produise.

Comment peut-on atténuer une HTTP flood ?

Comme nous l'avons mentionné précédemment, l'atténuation des attaques de la couche 7 est complexe et comporte souvent plusieurs facettes. Une solution possible est de lancer un défi à la machine requérante afin de vérifier s'il s'agit ou non d'un bot, un peu comme le test captcha que l'on trouve couramment lors de la création d'un compte en ligne. En donnant une exigence telle qu'un défi de calcul JavaScript, de nombreuses attaques peuvent être atténuées.

Parmi les autres moyens d'arrêter les inondations HTTP, figurent l'utilisation d'un pare-feu d'application web (WAF), la gestion d'une base de données de IP Reputation afin de suivre et de bloquer de façon sélective le trafic malveillant, et l'analyse à la volée par les ingénieurs. L'avantage de l'échelle avec plus de 20 millions de propriétés Internet permet à Cloudflare d'analyser le trafic provenant de diverses sources et d'atténuer les attaques potentielles avec des règles WAF rapidement mises à jour et d'autres stratégies d'atténuation pour éliminer le trafic DDoS de la couche d'application.

Protection contre les attaques DDoS Cloudflare

Service commercial