Qu'est-ce qu'une attaque DDoS ?

Aujourd'hui, les attaques DDoS sont une des principales menaces à la sécurité Internet. Découvrez comment fonctionnent les attaques DDoS et comment elles peuvent être arrêtées.

Share facebook icon linkedin icon twitter icon email icon

DDoS

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir une attaque DDoS
  • Expliquer la structure générale d'une attaque DDoS
  • Différencier les 3 grandes catégories d'attaques DDoS
  • Comprendre les stratégies d'atténuation DDoS

Qu'est-ce qu'une attaque DDoS ?

Une attaque par déni de service distribué (DDoS) est une tentative malveillante de perturber le trafic normal d’un serveur, service ou réseau ciblé en submergeant la cible ou son infrastructure environnante avec un flot de trafic Internet.


L'efficacité des attaques DDoS réside dans l'utilisation de plusieurs systèmes informatiques compromis comme sources de trafic d’attaque. Les machines exploitées peuvent être des ordinateurs et d’autres ressources en réseau, telles que des appareils IoT.


En généralisant, une attaque DDoS ressemble à un embouteillage inattendu qui obstrue une autoroute et empêche le trafic régulier d’arriver à destination.

Comment fonctionne une attaque DDoS ?

Les attaques DDoS sont menées avec des réseaux de machines connectées à Internet.


Ces réseaux sont constitués d'ordinateurs et d'autres équipements (comme les appareils IdO) infectés par un logiciel malveillant, ce qui permet au pirate de les contrôler à distance. Ces dispositifs individuels sont appelés « bots » (ou zombies), et un groupe de bots s'appelle un « botnet ».


Une fois qu'un botnet a été mis en place, le pirate est en mesure de diriger une attaque en envoyant des instructions à distance à chaque bot.


Lorsque le serveur d'une victime est ciblé par le botnet, chaque bot envoie des requêtes à l'adresse IP de la cible, ce qui peut entraîner un dépassement de capacité du serveur ou du réseau ciblé, et donc un déni de service du trafic normal.


Étant donné que chaque bot est un appareil Internet légitime, il peut être difficile de séparer le trafic d'attaque du trafic normal.

Comment identifier une attaque DDoS

Le symptôme le plus évident d'une attaque DDoS est la lenteur ou l'indisponibilité soudaine d'un site ou d'un service. Mais étant donné que différentes causes (comme un pic de trafic légitime) peuvent créer des problèmes de performance similaires, des investigations plus approfondies sont généralement nécessaires. Les outils d'analyse du trafic peuvent vous aider à repérer certains signes révélateurs d'une attaque DDoS :

  • Des volumes suspects de trafic provenant d'une seule adresse IP ou d'une seule plage d'adresses IP
  • Un flot de trafic provenant d'utilisateurs qui partagent un profil comportemental unique, comme le type d'appareil utilisé, leur géolocalisation ou la version de leur navigateur web
  • Une augmentation inexpliquée des requêtes vers une seule page ou un seul point de terminaison
  • Des schémas de circulation étranges, comme des pics à des heures inhabituelles de la journée ou des schémas a priori contre nature (par exemple, un pic toutes les 10 minutes)

Une attaque DDoS peut se caractériser par d'autres signes plus spécifiques susceptibles de varier selon le type d'attaque.

Quels sont les types d'attaques DDoS les plus courants ?

Les différents types d'attaque DDoS ciblent des composants variables d'une connexion réseau. Afin de comprendre comment les différentes attaques DDoS fonctionnent, il est nécessaire de savoir comment la connexion réseau est établie.


Une connexion réseau sur Internet est constituée de nombreux composants distincts, appelés « couches ». Comme la construction d'une maison à partir de la fondation, chaque étape du modèle a un but différent.


Le modèle OSI, illustré ci-dessous, est un cadre conceptuel utilisé pour décrire la connectivité réseau en sept couches distinctes.

Le modèle OSI

Si la majorité des attaques DDoS impliquent de submerger de trafic un appareil ou un réseau cible, les attaques peuvent toutefois être divisées en trois catégories. Un attaquant peut utiliser un ou plusieurs vecteurs d'attaque différents, ou appliquer des vecteurs d'attaque selon un cycle potentiellement déterminé par les contre-mesures prises par la cible.

Attaques contre la couche application

L'objectif de l'attaque :

Parfois appelées attaques DDoS de la couche 7 (en référence à la septième couche du modèle OSI), l'objectif de ces attaques est d'épuiser les ressources de la cible pour créer un déni de service.


Les attaques ciblent la couche où les pages web sont générées sur le serveur et fournies en réponse aux requêtes HTTP. Une requête HTTP unique ne coûte pas cher à exécuter côté client, mais peut être coûteuse pour le serveur cible qui, pour y répondre, doit souvent charger plusieurs fichiers et exécuter des requêtes de base de données afin de créer une page web.


Il est difficile de se défendre contre les attaques visant la couche 7, car il peut être compliqué de différencier le trafic malveillant du trafic légitime.

Exemple d’attaque de la couche application :

Attaque DDos HTTP flood

HTTP flood

Cette attaque peut être comparée à une situation où l'on activerait inlassablement la fonction d'actualisation dans un navigateur web sur de nombreux ordinateurs différents à la fois. Résultat : un grand nombre de requêtes HTTP noient le serveur, ce qui entraîne un déni de service.


Ce type d'attaque peut présenter différents niveaux de complexité.


Des mises en œuvre plus simples peuvent accéder à une URL avec la même gamme d'adresses IP, de référants et d'agents utilisateurs malveillants. Les versions complexes peuvent utiliser un grand nombre d'adresses IP malveillantes, et cibler des URL aléatoires en utilisant des référents et des agents utilisateurs aléatoires.

Attaques protocolaires

L'objectif de l'attaque :

Les attaques protocolaires, également connues sous le nom d'attaques par épuisement des tables d'état, provoquent une interruption de service en surconsommant les ressources des serveurs et/ou les ressources des équipements réseau comme les pare-feux et les équilibreurs de charge.


Les attaques protocolaires exploitent des faiblesses des couches 3 et 4 de la pile du protocole pour rendre la cible inaccessible.

Exemple d'attaque protocolaire :

Attaque DDoS SYN flood

SYN Flood

Une attaque SYN Flood peut être comparée à un travailleur dans une réserve qui reçoit les demandes du comptoir du magasin.


Le travailleur reçoit une demande, va chercher le paquet et attend une confirmation avant de le présenter. Le travailleur reçoit ensuite de nombreuses autres demandes de colis sans confirmation jusqu'à ce qu'il ne puisse plus transporter de colis, qu'il soit débordé et que les demandes commencent à rester sans réponse.


Cette attaque exploite le handshake TCP, la séquence de communication par laquelle deux ordinateurs initie une connexion réseau, en envoyant à une cible un grand nombre de paquets SYN « Initial Connection Request » TCP avec des adresses IP sources usurpées.


La machine cible répond à chaque demande de connexion, puis attend la dernière étape du handshake, qui n'a jamais lieu, en épuisant les ressources de la cible dans le processus.

Attaques volumétriques

L'objectif de l'attaque :

Cette catégorie d'attaques tente de créer une saturation en consommant toute la bande passante disponible entre la cible et Internet. De grandes quantités de données sont envoyées vers la cible en utilisant une forme d'amplification ou un autre moyen de créer un trafic massif, comme des requêtes provenant d'un botnet.

Exemple d’amplification :

Attaque par DDoS de l'amplification du NTP

Amplification DNS

Une amplification DNS peut être comparée à une personne qui appellerait un restaurant et dirait : « Je voudrais un peu de tout, s'il vous plaît. Veuillez me rappeler et me répéter quelle sera ma commande complète ». Et le numéro de rappel qu'il fournirait serait le numéro de la victime. Avec très peu d'effort, une réponse longue est générée et envoyée à la victime.


En envoyant une requête à un serveur DNS ouvert avec une adresse IP usurpée (l'adresse IP de la victime), l'adresse IP cible reçoit une réponse du serveur.


Comment atténuer une attaque DDoS ?

La principale difficulté pour atténuer une attaque DDoS est de différencier le trafic d'attaque du trafic normal.


Par exemple, si un site web est submergé de demandes de clients pressés de découvrir la nouvelle version d'un produit, ce serait une erreur d'interrompre tout le trafic. Si cette entreprise subit soudainement une augmentation du trafic de la part de pirates connus, il est probablement nécessaire de déployer des efforts pour atténuer l'attaque.


Toute la difficulté réside dans le fait qu'il faut distinguer le trafic lié aux clients légitimes du trafic de l'attaque.


Dans l'Internet moderne, le trafic DDoS se présente sous de nombreuses formes. La conception de ce trafic peut varier, allant d'attaques à source unique non usurpées à des attaques complexes et multi-vecteurs adaptatives .


Une attaque DDoS multivecteur utilise plusieurs voies d'attaque afin de submerger une cible de différentes manières, en perturbant les efforts d'atténuation effectués sur une trajectoire.


Une attaque qui cible plusieurs couches de la pile de protocoles en même temps, telle qu'une amplification DNS (ciblant les couches 3/4) couplée à une attaque flood HTTP (ciblant la couche 7) est un exemple de DDoS multi-vecteur.


L'atténuation d'une attaque DDoS multi-vecteur nécessite des stratégies variées pour contrer différentes trajectoires.


D'une manière générale, plus une attaque est complexe, plus son trafic risque d'être difficile à distinguer du trafic normal ; l'objectif du pirate est de se fondre autant que possible dans la « masse » du trafic, ce qui rend inefficaces les efforts d'atténuation.


Les tentatives d'atténuation qui impliquent indistinctement d'abandonner ou de limiter le trafic peuvent laisser tomber le bon trafic avec le mauvais, et l'attaque peut également se modifier et s'adapter pour contourner les contre-mesures. Afin de surmonter une tentative complexe de perturbation, une solution en couches sera la plus avantageuse.

Routage vers un trou noir

Une solution qui s'offre à pratiquement tous les administrateurs réseau est de créer une route vers un trou noir et de diriger le trafic vers cette route. Dans sa forme la plus simple, lorsque le filtrage de trou noir est mis en œuvre sans critère de restriction spécifique, tout le trafic réseau, qu'il soit légitime ou malveillant, est routé vers un trou noir et supprimé du réseau.


Si un site Internet subit une attaque DDoS, le fournisseur d’accès à Internet (FAI) peut se défendre en envoyant tout le trafic du site vers un trou noir. Cette solution n'est pas idéale, car le pirate atteint ainsi son objectif : le réseau devient inaccessible.


Rate Limiting

La limitation du nombre de requêtes qu'un serveur acceptera sur une certaine période, appelé rate limiting, est aussi un moyen d'atténuer les attaques par déni de service.


Toutefois, bien que le rate limiting soit utile pour ralentir les bots de scraping qui volent du contenu et atténuer les tentatives de connexion par force brute, il risque seul d'être fort insuffisant pour gérer une attaque DDoS complexe efficacement.


Le rate limiting reste néanmoins un élément utile dans une stratégie efficace d'atténuation des attaques DDoS. En savoir plus sur le rate limiting de Cloudflare

Pare-feu d'applications Web

Un pare-feu d'applications web (WAF) est un outil qui peut aider à atténuer une attaque DDoS visant la couche 7. En plaçant un WAF entre Internet et un serveur d'origine, le WAF peut agir comme un proxy inverse, protégeant le serveur ciblé contre certains types de trafics malveillants.


En filtrant les requêtes sur la base d'une série de règles servant à identifier des outils DDoS, il est alors possible d'empêcher les attaques visant la couche 7. Un atout majeur d'un WAF efficace est sa capacité à mettre en œuvre rapidement des règles personnalisées en réponse à une attaque. Obtenez plus d'informations sur le WAF de Cloudflare.

Diffusion sur le réseau Anycast

Cette approche d'atténuation utilise un réseau Anycast pour disperser le trafic d'attaque à travers un réseau de serveurs distribués jusqu'au moment où le trafic est absorbé par le réseau.


Tout comme le fait de canaliser une rivière en crue vers différents canaux plus petits, cette approche permet de répartir l'impact du trafic d'attaque distribué au point où il devient gérable, en diffusant sa capacité perturbatrice.


La fiabilité d’un réseau Anycast pour atténuer une attaque DDoS dépend de la taille de l'attaque ainsi que de la taille et de l'efficacité du réseau. Une part importante de l'atténuation des attaques DDoS assurée par Cloudflare est obtenue grâce à l'utilisation d'un réseau distribué Anycast.


Cloudflare dispose d'un réseau de 42 Tbps, soit un ordre de grandeur supérieur à la plus grande attaque DDoS jamais enregistrée.


Si vous êtes attaqué, vous pouvez prendre des mesures pour réduire la pression de l'attaque. Si vous êtes déjà client Cloudflare, vous pouvez suivre ces étapes pour atténuer votre attaque.


La protection DDoS mise en œuvre par Cloudflare est multiforme pour atténuer le plus de vecteurs d'attaque possibles. En savoir davantage sur la protection DDoS de Cloudflare et son fonctionnement.