Qu'est-ce qu'une attaque DDoS ?

Aujourd'hui, les attaques DDoS sont une des principales menaces à la sécurité Internet. Découvrez comment fonctionnent les attaques DDoS et comment elles peuvent être arrêtées.

Share facebook icon linkedin icon twitter icon email icon

DDoS

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir une attaque DDoS
  • Expliquer la structure générale d'une attaque DDoS
  • Différencier les 3 grandes catégories d'attaques DDoS
  • Comprendre les stratégies d'atténuation DDoS

Qu'est-ce qu'une attaque DDoS ?

Une attaque par déni de service distribué (DDoS) est une tentative malveillante de perturber le trafic normal d'un serveur, d'un service ou d'un réseau ciblé en submergeant la cible ou son infrastructure environnante par un flot de trafic Internet. Les attaques DDoS sont efficaces car elles utilisent plusieurs systèmes informatiques compromis comme sources d'attaque. Parmi les machines exploitées figurent des ordinateurs et d'autres ressources en réseau telles que des dispositifs IdO. À un niveau élevé, une attaque DDoS est comme un embouteillage sur l'autoroute, empêchant le trafic régulier d'arriver à sa destination souhaitée.

DDoS Attack

Comment fonctionne une attaque DDoS ?

Une attaque DDoS nécessite qu'un pirate prenne le contrôle d'un réseau de machines en ligne afin de réaliser une attaque. Les ordinateurs et autres machines (tels que les dispositifs IdO) sont infectés par des logiciels malveillants, ce qui transforme chacun d'entre eux en bot (ou zombie). Le pirate a alors le contrôle à distance du groupe de bots, appelé "botnet".

Une fois qu'un botnet a été établi, le pirate est capable de piloter les machines en envoyant des instructions actualisées à chaque bot par une méthode de contrôle à distance. Lorsque l'adresse IP d'une victime est ciblée par le botnet, chaque bot répond en envoyant des requêtes à la cible, ce qui peut entraîner un dépassement de capacité du serveur ou du réseau ciblé, et donc un déni de service du trafic normal. Chaque bot étant un dispositif Internet légitime, il peut être difficile de dissocier le trafic d'attaque du trafic normal.

Quels sont les types d'attaques DDoS les plus courants ?

Les différents vecteurs d'attaque DDoS ciblent des composants variables d'une connexion réseau. Afin de comprendre le fonctionnement des différentes attaques DDoS, il est nécessaire de savoir comment une connexion réseau est établie. Une connexion réseau sur Internet est composée de nombreux composants ou "couches" différents. Comme la construction d'une maison à partir de la fondation, chaque étape du modèle a un but différent. Le modèle OSI, présenté ci-dessous, est un cadre conceptuel utilisé pour décrire la connectivité de réseau en 7 couches distinctes.

The OSI Model

Si la majorité des attaques DDoS impliquent de submerger de trafic une unité ou un réseau cible, les attaques peuvent toutefois être divisées en trois catégories. Un attaquant peut utiliser un ou plusieurs vecteurs d'attaque différents, ou appliquer des vecteurs d'attaque selon un cycle potentiellement déterminé par les contre-mesures prises par la cible.

Attaques contre la couche application

L'objectif de l'attaque :

Parfois appelée attaque DDoS de couche 7 (en référence à la 7e couche du modèle OSI), ces attaques ont pour but d'épuiser les ressources de la cible. Elles visent la couche où les pages web sont générées sur le serveur et livrées en réponse à des requêtes HTTP. Une seule requête HTTP est peu coûteuse à exécuter du côté client, et peut être coûteuse pour le serveur cible qui doit souvent charger plusieurs fichiers et exécuter des requêtes de base de données afin de créer une page web. Les attaques de la couche 7 sont difficiles à parer car le trafic peut être difficile à signaler comme malveillant.

Exemple d’attaque de la couche application :

Saturation HTTP

Cette attaque peut être comparée à une situation où l'on activerait inlassablement la fonction d'actualisation dans un navigateur Web et sur de nombreux ordinateurs différents à la fois. Résultat : un grand nombre de requêtes HTTP inondent le serveur, ce qui entraîne un déni de service.

Ce type d'attaque peut présenter différents niveaux de complexité. Les implémentations les plus simples peuvent accéder à une seule URL avec la même plage d'adresses IP, de points d'accès et d'agents utilisateur. Les versions complexes peuvent utiliser un grand nombre d'adresses IP d'attaque et viser des URL aléatoires par le biais de points d'accès et d'agents utilisateur aléatoires.

Attaques protocolaires

L'objectif de l'attaque :

Les attaques protocolaires, également connues sous le nom d'attaques par épuisement des tables d'état, provoquent une interruption de service en consommant toute la capacité disponible des tables d'état des serveurs d'applications web ou des ressources intermédiaires comme les pare-feu et les équilibreurs de charge. Les attaques de protocole utilisent les failles des couches et des couches de la pile de protocole pour rendre la cible inaccessible.

Exemple d'attaque protocolaire :

Syn Flood DDoS Attack

SYN Flood

Une SYN Flood peut être comparé à un travailleur dans une salle de livraison qui reçoit des demandes du comptoir du magasin. Le travailleur reçoit une demande, va chercher le paquet et attend une confirmation avant de le faire sortir. Le travailleur reçoit ensuite de nombreuses autres demandes de colis sans confirmation jusqu'à ce qu'il ne puisse plus en transporter, qu'il soit débordé et que les demandes restent sans suite.

Cette attaque exploite la poignée de main TCP en envoyant à une cible un grand nombre de paquets TCP SYN "Demande initiale de connexion" avec des adresses IP sources usurpées. La machine cible répond à chaque demande de connexion et attend ensuite l'étape finale de la poignée de main, qui ne se produit jamais, épuisant ainsi les ressources de la cible.

Attaques volumétriques

L'objectif de l'attaque :

Cette catégorie d'attaques tente de créer une saturation en consommant toute la bande passante disponible entre la cible et Internet. De grandes quantités de données sont envoyées vers la cible en utilisant une forme d'amplification ou un autre moyen de créer un trafic massif, comme des demandes provenant d'un botnet.

Exemple d’amplification :

NTP Amplification Attack

Amplification DNS

Une amplification DNS, c'est comme si quelqu'un appelait un restaurant et disait "Je vais prendre un plat de chaque élément de votre menu, veuillez me rappeler pour me dire l'ensemble de ma commande", où le numéro de téléphone de rappel qu'il donne est celui de la cible. Avec très peu d'efforts, une longue réponse est générée.

En faisant une requête à un serveur DNS ouvert avec une adresse IP usurpée (l'adresse IP réelle de la cible), l'adresse IP cible reçoit alors une réponse du serveur. Le pirate structure la requête de manière à ce que le serveur DNS réponde à la cible avec une grande quantité de données. En conséquence, la cible reçoit une amplification de la requête initiale du pirate.

Comment atténuer une attaque DDoS ?

La principale difficulté pour atténuer une attaque DDoS est de différencier le trafic d'attaque du trafic normal. Par exemple, si un site Web est submergé de demandes de clients pressés de découvrir la nouvelle version d'un produit, ce serait une erreur d'interrompre tout le trafic. En revanche, si cette société connaît soudainement une hausse du trafic provoquée par des acteurs malveillants connus, il est judicieux de prendre des mesures pour limiter l'attaque. Toute la difficulté réside dans le fait qu'il faut distinguer le trafic lié aux clients légitimes de celui provenant de l'attaquant.

Dans l'Internet moderne, le trafic DDoS se présente sous de nombreuses formes. La conception de ce trafic peut varier, allant d'attaques à source unique non falsifiées à des attaques complexes et adaptatives à vecteurs multiples. Une attaque DDoS multi-vecteur utilise plusieurs voies d'attaque afin de submerger une cible de différentes manières, ce qui peut potentiellement détourner les efforts d'atténuation sur une trajectoire donnée. Une attaque qui cible simultanément plusieurs couches de la pile de protocoles, telle qu'une amplification DNS (ciblant les couches 3/4) couplée à un HTTP flood (ciblant la couche 7) est un exemple de DDoS multi-vecteur.

L'atténuation d'une attaque DDoS multi-vecteurs nécessite une variété de stratégies afin de contrer différentes trajectoires. D'une manière générale, plus l'attaque est complexe, plus le trafic sera difficile à dissocier du trafic normal - l'objectif du pirate est de se fondre autant que possible dans la masse, rendant l'atténuation aussi inefficace que possible. Les tentatives d'atténuation qui impliquent d'abandonner ou de limiter le trafic sans distinction peuvent rejeter le bon trafic avec le mauvais, et l'attaque peut également se modifier et s'adapter pour contourner les contre-mesures. Afin de surmonter une tentative complexe de perturbation, une solution à plusieurs niveaux sera la plus bénéfique possible.

Routage de trou noir

Une solution à la disposition de pratiquement tous les administrateurs de réseau consiste à créer une route trou noir et à y canaliser le trafic. Dans sa forme la plus simple, lorsque le filtrage des trous noirs est mis en œuvre sans critères de restriction spécifiques, le trafic réseau, tant légitime que malveillant, est acheminé vers une route nulle ou un trou noir et est supprimé du réseau. Si une propriété Internet subit une attaque DDoS, le fournisseur d'accès Internet (FAI) de la propriété peut envoyer tout le trafic du site dans un trou noir comme moyen de défense.

Rate Limiting

Limiter le nombre de requêtes qu'un serveur acceptera pendant une certaine période est également un moyen d'atténuer les attaques par déni de service. Si la limitation du débit est utile pour ralentir les racleurs de contenu et pour atténuer les tentatives de connexion par mode Brute Force, elle sera probablement insuffisante à elle seule pour traiter efficacement une attaque DDoS complexe. Néanmoins, la limitation de débit est un élément utile d'une stratégie efficace de réduction des attaques DDoS. En savoir plus sur la limitation de débit de Cloudflare

Pare-feu applicatif Web

Un Web Application Firewall (WAF) est un outil qui peut aider à atténuer une attaque DDoS de couche 7. En plaçant un WAF entre l'Internet et un serveur d'origine, le WAF peut agir comme un proxy inverse, protégeant le serveur ciblé de certains types de trafic malveillant. En filtrant les requêtes sur la base d'une série de règles utilisées pour identifier les outils DDoS, les attaques de couche 7 peuvent être entravées. L'une des principales valeurs d'un WAF efficace est sa capacité à mettre en œuvre rapidement des règles personnalisées en riposte à une attaque. En savoir plus sur le WAF de Cloudflare

Diffusion par le réseau Anycast

Cette approche d'atténuation utilise un réseau Anycast pour disperser le trafic d'attaque à travers un réseau de serveurs distribués qui permet d'absorber le trafic. Tout comme quand on dirige une rivière en crue vers différents canaux plus petits, cette approche permet de répartir l'impact du trafic d'attaque distribué au point qu'il devient gérable, et ainsi d'éviter des perturbations de l'activité.

La fiabilité d'un réseau Anycast pour atténuer une attaque DDoS dépend de la taille de l'attaque ainsi que de la taille et l'efficacité du réseau. Une partie importante de la réduction des DDoS mise en œuvre par Cloudflare est l'utilisation d'un réseau distribué Anycast. Cloudflare dispose d'un réseau de 30 Tbps, ce qui est un ordre de magnitude supérieur à la plus grande attaque DDoS enregistrée.

Si vous êtes actuellement victime d'une attaque, il existe des mesures que vous pouvez prendre pour vous sortir de la tourmente. Si vous êtes déjà sur Cloudflare, vous pouvez suivre ces étapes pour atténuer votre attaque. La protection DDoS que nous mettons en œuvre chez Cloudflare comporte de multiples facettes afin d'atténuer les nombreux vecteurs d'attaque possibles. En savoir plus sur la protection DDoS de Cloudflare et son fonctionnement.