Comment fonctionnent les attaques DDoS de couche 3 ? | L3 DDoS

Les attaques DDoS de la couche 3 utilisent des protocoles de la couche 3, en particulier ICMP, pour supprimer des serveurs, sites web ou applications ciblés.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre ce que signifie « couche 3 »
  • Découvrez la différence entre les attaques DDoS de couche 3 et les autres attaques DDoS
  • Explorez les protocoles utilisés au niveau de la couche 3 et comment un attaquant peut les utiliser dans une attaque DDoS

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Que sont les attaques DDoS de couche 3 ?

Une attaque par déni de service distribué (DDoS) cherche à submerger sa cible avec de grandes quantités de données. Une attaque DDoS est comme un embouteillage sur une autoroute empêchant le trafic régulier d'atteindre sa destination.

L'attaque DDoS de la couche 3 cible la couche 3 (L3) du modèle OSI. Comme toutes les attaques DDoS, le but d'une attaque de la couche 3 est de ralentir ou de bloquer un programme, un service, un ordinateur ou un réseau, ou encore de saturer une capacité pour que personne d'autre ne puisse recevoir le service. Les attaques DDoS L3 y parviennent généralement en ciblant l'équipement et l'infrastructure réseau.

Il existe quelques différences importantes entre les attaques DDoS de la couche 3 et les attaques des couches supérieures :

  1. Les attaques de la couche 3 visent la couche réseau, et non les procédés de la couche transport ou de la couche application (comme le font les attaques DDoS de la couche 4 et de la couche 7)
  2. Les attaques de la couche 3 n'ont pas besoin d'ouvrir au préalable une connexion TCP avec la cible
  3. Les attaques de la couche 3 ne ciblent pas un port spécifique

Qu’est-ce que le modèle OSI ?

Le modèle OSI est un modèle conceptuel de la manière dont Internet fonctionne. Les principaux objectifs du modèle OSI consistent à aider les gens à parler des équipements et des protocoles de mise en réseau, de déterminer quels protocoles sont utilisés par quel logiciel et matériel, et de montrer comment Internet peut fonctionner indépendamment du matériel sous-jacent.

Le modèle OSI divise les différentes technologies qui font fonctionner Internet en couches. Il y a sept couches au total :

Modèle OSI

Qu'est-ce que la couche 3 dans le modèle OSI ?

La couche 3 OSI est appelée couche réseau. La couche 3 comprend les protocoles et les technologies qui rendent possibles l'interconnexion des réseaux, en d'autres termes, Internet. Cette couche est l'endroit où le routage à travers les réseaux a lieu. Les données qui traversent les réseaux sont divisées en paquets, et ces paquets sont adressés et envoyés à leurs destinations au niveau de la couche 3. Le protocole le plus important pour ce processus est le protocole IP (Internet Protocol).

Les protocoles de la couche 3 n'ouvrent pas de connexions, n'assurent pas de livraison fiable des données ou n'indiquent pas quel service sur le périphérique ciblé doit utiliser les données. Ce rôle revient aux processus de la couche 4. La couche 4 implique l'utilisation de protocoles de transport tels que TCP et UDP. L'envoi de paquets sur des réseaux sans un protocole de transport au niveau de la couche 4 revient à envoyer une lettre à une adresse sans l'avoir vérifiée et sans avoir vérifié le nom d'une personne précise habitant à cette adresse censée ouvrir la lettre, ou sans utiliser un service de livraison postale réputé. Les données peuvent arriver ou non. C'est pourquoi de nombreux protocoles de la couche 3 sont toujours utilisés en conjonction avec un protocole de transport de la couche 4 qui garantit que les données vont au bon endroit.

Cependant, il est toujours possible d'envoyer des paquets de données à une destination réseau sur IP sans utiliser de protocole de transport.

La couche 3 étant sans connexion, les attaques DDoS de la couche 3 n'ont pas besoin d'ouvrir une connexion via TCP ni d'indiquer les attributions de port. Les attaques DDoS de la couche 3 ciblent le logiciel réseau qu'un ordinateur exécute au lieu d'un port spécifique.

Quels sont les protocoles utilisés pour la couche 3 ?

Vous trouverez ci-dessous les protocoles de la couche 3 les plus largement utilisés et les plus susceptibles d'être utilisés dans une attaque DDoS :

IP : Le protocole Internet (IP) achemine et adresse les paquets de données pour qu'ils arrivent à la bonne destination. Chaque appareil qui se connecte à Internet a une adresse IP, et le protocole IP attache l'adresse IP correcte à chaque paquet de données, tout comme on adresse une lettre à quelqu'un.

IPsec : IPsec est en fait une suite de plusieurs protocoles, et non un protocole unique. IPsec est la version chiffrée de l'IP utilisée par les VPN , similaire à la différence entre HTTPS et HTTP.

ICMP : Le protocole ICMP (Internet Control Message Protocol gère les rapports d'erreur et les tests. En tant que protocole sans connexion, ICMP n'utilise pas de protocole de transport comme TCP ou UDP. Les paquets ICMP sont plutôt envoyés uniquement sur IP. Les développeurs et les ingénieurs réseau utilisent ICMP pour ses fonctions ping et traceroute. En règle générale, un seul paquet ICMP doit être envoyé à la fois.

Les autres protocoles de la couche 3 incluent :

  • IGMP : le protocole IGMP (Internet Group Message Protocol) gère les groupes IP multicast, permettant à plusieurs appareils d'un réseau de recevoir le même trafic IP.
  • ARP : Le protocole ARP (Address Resolution Protocol) est destiné à n'être utilisé que dans un seul réseau. Les ordinateurs utilisent ce protocole pour associer les adresses IP aux adresses MAC d'un réseau (une adresse MAC est un identifiant unique stocké dans chaque appareil compatible Internet, comme une empreinte digitale).

Les attaques sont théoriquement possibles en utilisant l'un de ces protocoles. Une attaque par protocole ICMP est couramment utilisée pour inonder un serveur avec un nombre trop important de requêtes pings pour y répondre, ou avec un gros paquet ping qui provoque un plantage du périphérique de réception (c'est ce qu'on appelle le « ping de la mort » ). Les attaquants peuvent utiliser IPsec pour inonder la cible de données indésirables ou de certificats de sécurité.

Cependant, tous ces protocoles ne sont pas pratiques pour les attaques DDoS, et certains types d'attaques sont rendus impossibles par les mises à jour matérielles. Par exemple, le protocole ARP ne fonctionne qu'au sein d'un réseau local, donc un attaquant devra d'abord se connecter au réseau local avant de lancer l'attaque DDoS. Par ailleurs, les attaques ping de la mort ICMP ne sont pas possibles avec du matériel moderne, qui ignore les paquets IP trop volumineux.

Comment fonctionnent les attaques DDoS L3 ?

Comme avec d'autres types d'attaques DDoS, l'attaquant envoie un grand volume de trafic réseau indésirable via ces protocoles. Il existe différentes méthodes pour le faire, en fonction du protocole. Le trafic indésirable gêne les requêtes légitimes des utilisateurs, en ralentissant les réponses ou en les bloquant complètement. Parfois, le nombre de données indésirables est tel qu'elles submergent les ressources de la cible et entraînent son plantage.

Quels sont les types d'attaques DDoS de la couche 3 bien connus ?

Bien que d'autres attaques soient possibles, y compris des attaques sur le protocole IP seul, les attaques basées sur le protocole ICMP sont les plus courantes. Les attaques par protocole ICMP bien connues incluent :

  • Ping flood : dans une attaque DDoS ping flood, l'attaquant envoie des milliers ou même des millions de requêtes ping en même temps à un serveur.
  • Attaque Smurf (ou attaque Schtroumpf) : le protocole ICMP n'a aucune mesure de sécurité ni de vérification en place, ce qui permet à un attaquant d'usurper une adresse IP dans une requête ICMP. Dans une attaque Smurf DDoS3, l'attaquant envoie des requêtes ping à des milliers de serveurs, usurpant l'adresse IP de la cible dans les requêtes ping afin que les réponses soient envoyées à la cible, pas à l'attaquant. La plupart des matériels réseau modernes ne sont plus vulnérables à ce type d'attaque par rebond.
  • Ping de la mort : dans une attaque ping de la mort (ping of death) sur le protocole ICMP, un attaquant envoie une requête ping supérieure à la taille maximale autorisée à la cible. Les routeurs le long du chemin qui mène à la cible fragmentent la requête ping en petits paquets pour que la cible les accepte, mais quand cette dernière essaie de réassembler le gros paquet à partir des petits fragments, la taille du paquet dépasse le maximum et entraîne un plantage de la cible. Les appareils modernes ne sont pas vulnérables à cette attaque.

Comment Cloudflare protège-t-il contre les attaques DDoS de la couche 3 ?

En plus de bloquer les attaques DDoS sur les couches 4 et 7, Cloudflare atténue les attaques DDoS de la couche 3. Cloudflare Magic Transit est spécialement conçu pour arrêter les attaques sur l'infrastructure réseau interne, y compris les attaques DDoS sur n'importe quelle couche. Cloudflare WAF et le RDC arrêtent également les attaques DDoS de la couche 3 en acceptant uniquement le trafic vers les ports HTTP et HTTPS (ils relèvent de la couche 7 uniquement).

Qu'est-ce que la couche 3 dans le modèle TCP/IP ?

Le modèle TCP/IP est un autre modèle de fonctionnement des réseaux. Au lieu de sept couches, le modèle TCP/IP en a quatre:

4. Couche applicative (correspond aux couches 5 à 7 du modèle OSI)

3. Couche de transport (correspond à la couche 4 du modèle OSI)

2. Couche Internet (correspond à la couche 3 du modèle OSI)

1. Accès réseau/couche de liaison (correspond aux couches 1-2 du modèle OSI)

Si l'on se réfère au modèle TCP/IP au lieu du modèle OSI, les attaques DDoS de la couche 3 seraient appelées attaques DDoS de la couche 2.