Les attaques DDoS de la couche 3 utilisent des protocoles de la couche 3, en particulier ICMP, pour supprimer des serveurs, sites web ou applications ciblés.
Cet article s'articule autour des points suivants :
Contenu associé
Couche 7
Attaque sur la couche applicative
Qu'est-ce qu'une attaque DDoS ?
L'univers du botnet DDoS
Attaque DDoS Memcached
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Une attaque par déni de service distribué (DDoS) cherche à submerger sa cible avec de grandes quantités de données. Une attaque DDoS est comme un embouteillage sur une autoroute empêchant le trafic régulier d'atteindre sa destination.
L'attaque DDoS de la couche 3 cible la couche 3 (L3) du modèle OSI. Comme toutes les attaques DDoS, le but d'une attaque de la couche 3 est de ralentir ou de bloquer un programme, un service, un ordinateur ou un réseau, ou encore de saturer une capacité pour que personne d'autre ne puisse recevoir le service. Les attaques DDoS L3 y parviennent généralement en ciblant l'équipement et l'infrastructure réseau.
Il existe quelques différences importantes entre les attaques DDoS de la couche 3 et les attaques des couches supérieures :
Le modèle OSI est un modèle conceptuel de la manière dont Internet fonctionne. Les principaux objectifs du modèle OSI consistent à aider les gens à parler des équipements et des protocoles de mise en réseau, de déterminer quels protocoles sont utilisés par quel logiciel et matériel, et de montrer comment Internet peut fonctionner indépendamment du matériel sous-jacent.
Le modèle OSI divise les différentes technologies qui font fonctionner Internet en couches. Il y a sept couches au total :
La couche 3 OSI est appelée couche réseau. La couche 3 comprend les protocoles et les technologies qui rendent possibles l'interconnexion des réseaux, en d'autres termes, Internet. Cette couche est l'endroit où le routage à travers les réseaux a lieu. Les données qui traversent les réseaux sont divisées en paquets, et ces paquets sont adressés et envoyés à leurs destinations au niveau de la couche 3. Le protocole le plus important pour ce processus est le protocole IP (Internet Protocol).
Les protocoles de la couche 3 n'ouvrent pas de connexions, n'assurent pas de livraison fiable des données ou n'indiquent pas quel service sur le périphérique ciblé doit utiliser les données. Ce rôle revient aux processus de la couche 4. La couche 4 implique l'utilisation de protocoles de transport tels que TCP et UDP. L'envoi de paquets sur des réseaux sans un protocole de transport au niveau de la couche 4 revient à envoyer une lettre à une adresse sans l'avoir vérifiée et sans avoir vérifié le nom d'une personne précise habitant à cette adresse censée ouvrir la lettre, ou sans utiliser un service de livraison postale réputé. Les données peuvent arriver ou non. C'est pourquoi de nombreux protocoles de la couche 3 sont toujours utilisés en conjonction avec un protocole de transport de la couche 4 qui garantit que les données vont au bon endroit.
Cependant, il est toujours possible d'envoyer des paquets de données à une destination réseau sur IP sans utiliser de protocole de transport.
La couche 3 étant sans connexion, les attaques DDoS de la couche 3 n'ont pas besoin d'ouvrir une connexion via TCP ni d'indiquer les attributions de port. Les attaques DDoS de la couche 3 ciblent le logiciel réseau qu'un ordinateur exécute au lieu d'un port spécifique.
Vous trouverez ci-dessous les protocoles de la couche 3 les plus largement utilisés et les plus susceptibles d'être utilisés dans une attaque DDoS :
IP : Le protocole Internet (IP) achemine et adresse les paquets de données pour qu'ils arrivent à la bonne destination. Chaque appareil qui se connecte à Internet a une adresse IP, et le protocole IP attache l'adresse IP correcte à chaque paquet de données, tout comme on adresse une lettre à quelqu'un.
IPsec : IPsec est en fait une suite de plusieurs protocoles, et non un protocole unique. IPsec est la version chiffrée de l'IP utilisée par les VPN , similaire à la différence entre HTTPS et HTTP.
ICMP : Le protocole ICMP (Internet Control Message Protocol gère les rapports d'erreur et les tests. En tant que protocole sans connexion, ICMP n'utilise pas de protocole de transport comme TCP ou UDP. Les paquets ICMP sont plutôt envoyés uniquement sur IP. Les développeurs et les ingénieurs réseau utilisent ICMP pour ses fonctions ping et traceroute. En règle générale, un seul paquet ICMP doit être envoyé à la fois.
Les autres protocoles de la couche 3 incluent :
Les attaques sont théoriquement possibles en utilisant l'un de ces protocoles. Une attaque par protocole ICMP est couramment utilisée pour inonder un serveur avec un nombre trop important de requêtes pings pour y répondre, ou avec un gros paquet ping qui provoque un plantage du périphérique de réception (c'est ce qu'on appelle le « ping de la mort » ). Les attaquants peuvent utiliser IPsec pour inonder la cible de données indésirables ou de certificats de sécurité.
Cependant, tous ces protocoles ne sont pas pratiques pour les attaques DDoS, et certains types d'attaques sont rendus impossibles par les mises à jour matérielles. Par exemple, le protocole ARP ne fonctionne qu'au sein d'un réseau local, donc un attaquant devra d'abord se connecter au réseau local avant de lancer l'attaque DDoS. Par ailleurs, les attaques ping de la mort ICMP ne sont pas possibles avec du matériel moderne, qui ignore les paquets IP trop volumineux.
Comme avec d'autres types d'attaques DDoS, l'attaquant envoie un grand volume de trafic réseau indésirable via ces protocoles. Il existe différentes méthodes pour le faire, en fonction du protocole. Le trafic indésirable gêne les requêtes légitimes des utilisateurs, en ralentissant les réponses ou en les bloquant complètement. Parfois, le nombre de données indésirables est tel qu'elles submergent les ressources de la cible et entraînent son plantage.
Bien que d'autres attaques soient possibles, y compris des attaques sur le protocole IP seul, les attaques basées sur le protocole ICMP sont les plus courantes. Les attaques par protocole ICMP bien connues incluent :
En plus de bloquer les attaques DDoS sur les couches 4 et 7, Cloudflare atténue les attaques DDoS de la couche 3. Cloudflare Magic Transit est spécialement conçu pour arrêter les attaques sur l'infrastructure réseau interne, y compris les attaques DDoS sur n'importe quelle couche. Cloudflare WAF et le RDC arrêtent également les attaques DDoS de la couche 3 en acceptant uniquement le trafic vers les ports HTTP et HTTPS (ils relèvent de la couche 7 uniquement).
Le modèle TCP/IP est un autre modèle de fonctionnement des réseaux. Au lieu de sept couches, le modèle TCP/IP en a quatre:
4. Couche applicative (correspond aux couches 5 à 7 du modèle OSI)
3. Couche de transport (correspond à la couche 4 du modèle OSI)
2. Couche Internet (correspond à la couche 3 du modèle OSI)
1. Accès réseau/couche de liaison (correspond aux couches 1-2 du modèle OSI)
Si l'on se réfère au modèle TCP/IP au lieu du modèle OSI, les attaques DDoS de la couche 3 seraient appelées attaques DDoS de la couche 2.