Qu'est-ce qu'une attaque DDoS ?

Aujourd'hui, les attaques DDoS sont une des principales menaces à la sécurité Internet. Découvrez comment fonctionnent les attaques DDoS et comment elles peuvent être arrêtées.

DDoS

Objectifs d'apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir une attaque DDoS
  • Expliquer la structure générale d'une attaque DDoS
  • Différencier les 3 grandes catégories d'attaques DDoS
  • Comprendre les stratégies d'atténuation DDoS

Qu'est-ce qu'une attaque DDoS ?

Un déni de service distribué (DDoS) est une tentative malveillante de perturbation du trafic normal d'un serveur, service ou réseau ciblé en saturant la cible ou ses infrastructures environnantes avec un flot de trafic Internet. Les attaques DDoS doivent leur efficacité par le fait qu'elles utilisent de multiples systèmes informatiques compromis comme sources du trafic d'attaque. Les machines exploitées peuvent inclure des ordinateurs et d'autres ressources réseau telles que les équipements IdO. Globalement, une attaque DDoS est comparable à un embouteillage au niveau d'une grande route, qui empêche le trafic normal d'atteindre sa destination.

DDoS Attack Traffic Metaphor

Comment fonctionne une attaque DDoS ?

Une attaque DDoS implique pour un attaquant de prendre le contrôle d'un réseau de machines en ligne afin de mener une attaque. Les ordinateurs et autres machines (comme les appareils IdO) sont infectés par unmalware, ce qui convertit chaque unité en un robot informatique ou bot (ou zombie). L'attaquant contrôle alors à distance le groupe de bots, qui est appelé unbotnet.

Une fois qu'un botnet a été mis en place, l'attaquant est en mesure de diriger les machines en envoyant des instructions mises à jour à chaque bot via une méthode de contrôle à distance. Quand l'adresse IP d'une victime est ciblée par le botnet, chaque bot répond en envoyant des requêtes à la cible, ce qui peut saturer le serveur ou le réseau ciblé, entraînant un déni de service pour le trafic normal. Étant donné que chaque bot est un périphérique Internet légitime, il peut être difficile de séparer le trafic d'attaque du trafic normal.

Quels sont les types d'attaques DDoS les plus courants ?

Différents vecteurs d'attaque DDoS ciblent des composants distincts d'une connexion réseau. Afin de comprendre comment les différentes attaques DDoS fonctionnent, il est nécessaire de savoir comment la connexion réseau est établie. Une connexion réseau sur Internet est constituée de nombreux composants distincts, appelés « couches ». Comme on construit une maison en commençant par les fondations pour ajouter ensuite différents étages, chaque couche du modèle vise un objectif différent. Lemodèle OSI, illustré ci-dessous, est un cadre conceptuel utilisé pour décrire la connectivité réseau en 7 couches distinctes.

7 Layers of the OSI Model infographic

Si la majorité des attaques DDoS impliquent de submerger de trafic une unité ou un réseau cible, les attaques peuvent toutefois être divisées en trois catégories. Un attaquant peut utiliser un ou plusieurs vecteurs d'attaque différents, ou appliquer des vecteurs d'attaque selon un cycle potentiellement déterminé par les contre-mesures prises par la cible.

Attaques contre la couche d'application

L'objectif de l'attaque ::

Parfois appelées attaques DDoS de la couche 7 (en référence à la 7e couche du modèle OSI), l'objectif de ces attaques est d'épuiser les ressources de la cible. Les attaques ciblent la couche où les pages Web sont générées sur le serveur et fournies en réponse aux requêtesHTTP. Une requête HTTP unique ne coûte pas cher à exécuter sur le côté client, mais peut être coûteuse pour le serveur cible qui, pour y répondre, doit souvent charger plusieurs fichiers et exécuter des requêtes de base de données afin de créer une page Web. Les attaques de la couche 7 sont difficiles à contrecarrer, car il peut être difficile d'identifier le trafic comme malveillant.

HTTP Flood DDoS Attack

Attaque HTTP Flood

Cette attaque peut être comparée à une situation où l'on activerait inlassablement la fonction d'actualisation dans un navigateur Web et sur de nombreux ordinateurs différents à la fois. Résultat : un grand nombre de requêtes HTTP inondent le serveur, ce qui entraîne un déni de service.

Ce type d'attaque peut présenter différents niveaux de complexité. Les implémentations les plus simples peuvent accéder à une seule URL avec la même plage d'adresses IP, de points d'accès et d'agents utilisateur. Les versions complexes peuvent utiliser un grand nombre d'adresses IP d'attaque et viser des URL aléatoires par le biais de points d'accès et d'agents utilisateur aléatoires.

Attaques protocolaires

L'objectif de l'attaque :

Les attaques protocolaires, également connues sous la notion d'attaques par épuisement des tables d'état (state-exhaustion attack), provoquent une interruption de service en consommant toute la capacité des tables d'état des serveurs d'applications Web ou des ressources intermédiaires comme les pare-feu et les équilibreurs de charge. Les attaques protocolaires exploitent des faiblesses des couches 3 et 4 de la pile du protocole pour rendre la cible inaccessible.

Exemple d'attaque protocolaire :

SYN Flood DDoS attack animation

Attaque SYN Flood

Attaque SYN Floodpeut être comparée à un ouvrier dans un centre de distribution qui reçoit des demandes du comptoir du magasin. Il reçoit une demande, va chercher le paquet et attend une confirmation avant d'apporter le paquet au comptoir. L'ouvrier reçoit alors beaucoup d'autres demandes sans confirmation jusqu'à ce qu'il ne puisse plus prendre d'autres paquets ; il est finalement débordé et ne peut plus répondre aux demandes.

Cette attaque exploitel'établissement d'une liaison TCP en envoyant à une cible un grand nombre de paquets SYN TCP « Demande de connexion initiale » avec des adresses IP sources usurpées. La machine cible répond à chaque demande de connexion, puis attend la dernière étape pour l'établissement de la liaison, qui n'a jamais lieu. La cible épuise ainsi ses ressources.

Attaques volumétriques

L'objectif de l'attaque :

Cette catégorie d'attaques tente de créer une saturation en consommant toute la bande passante disponible entre la cible et Internet. De grandes quantités de données sont envoyées vers la cible en utilisant une forme d'amplification ou un autre moyen de créer un trafic massif, comme des demandes provenant d'un botnet.

Exemple d'attaque par amplification :

DNS Amplification DDoS attack animation

Attaque par amplification DNS

UneAttaque par amplification DNS peut être comparée à une personne qui appellerait un restaurant et tiendrait ces propos : « Je voudrais un peu de tout, s'il vous plaît. Veuillez me rappeler et m'indiquer quelle sera ma commande ». Et le numéro de téléphone de rappel qu'il fournit est le numéro du restaurant. Très peu d'effort côté client... pour une longue réponse à générer côté cible.

En envoyant une requête à une serveur DNS ouvert avec une adresse IPusurpée (l'adresse IP réelle de la cible), l'adresse IP cible reçoit une réponse du serveur. L'attaquant structure la demande de telle sorte que le serveur DNS répond à la cible avec une grande quantité de données. Par conséquent, la cible subit une amplification de la requête initiale de l'attaquant.

Comment atténuer une attaque DDoS ?

La principale difficulté pour atténuer une attaque DDoS est de différencier le trafic d'attaque du trafic normal. Par exemple, si un site Web est submergé de demandes de clients pressés de découvrir la nouvelle version d'un produit, ce serait une erreur d'interrompre tout le trafic. En revanche, si cette société connaît soudainement une hausse du trafic provoquée par des acteurs malveillants connus, il est judicieux de prendre des mesures pour limiter l'attaque. Toute la difficulté réside dans le fait qu'il faut distinguer le trafic lié aux clients légitimes de celui provenant de l'attaquant.

Sur l'Internet moderne, le trafic DDoS se présente sous plusieurs formes. Le trafic peut varier dans sa conception : des attaques de source unique non falsifiée à des attaques multivecteurs complexes et adaptatives. Une attaque DDoS multivecteur utilise de multiples voies d'attaque afin de submerger une cible de différentes manières, perturbant les efforts d'atténuation sur les différentes trajectoires. Comme exemple, citons le cas d'une attaque qui vise plusieurs couches de la pile du protocole simultanément, comme une amplification DNS (qui vise les couches 3/4) couplée à une attaque par saturation HTTP (visant la couche 7).

L'atténuation d'une attaque DDoS multivecteur nécessite des stratégies variées pour contrer différentes trajectoires. D'une manière générale, plus une attaque est complexe, plus le trafic risque d'être difficile à distinguer du trafic normal ; l'objectif de l'attaquant est de se fondre autant que possible dans l'ensemble du trafic, ce qui entrave l'atténuation. Les tentatives d'atténuation qui impliquent de limiter ou de faire disparaître le trafic sans distinction peuvent éliminer également du trafic légitime. De plus, l'attaque peut également changer et s'adapter de manière à contourner les contre-mesures. Afin de surmonter une tentative complexe d'interruption de l'activité, la meilleure solution est une solution multicouche.

Routage de trou noir

Une solution qui s'offre à pratiquement tous les administrateurs de réseau est de créer une route vers untrou noir et de diriger le trafic vers cette route. Dans sa forme la plus simple, lorsque le filtrage de type blackhole est mis en œuvre sans critère de restriction spécifique, tout le trafic réseau, qu'il soit légitime ou malveillant, est purgé, autrement dit un trou noir, pour disparaître du réseau. Si un site Internet subit une attaque DDoS, l'hébergeur peut envoyer tout le trafic du site vers un trou noir comme défense.

Limitation du débit

La limitation du nombre de demandes qu'un serveur acceptera sur une certaine période est aussi un moyen d'atténuer les attaques par déni de service. Toutefois, bien que la limitation du débit soit utile pour ralentir les extracteurs de données Web et atténuer les tentatives de connexion par force brute, seule, elle risque fort d'être insuffisante pour gérer une attaque DDoS complexe efficacement. La limitation du débit reste néanmoins un élément utile dans une stratégie efficace d'atténuation des attaques DDoS. En savoir plus sur lalimitation de débit de Cloudflare.

Pare-feu applicatif Web

Un pare-feu applicatif Web (WAF) est un outil qui peut aider à atténuer une attaque DDoS de la couche 7. En plaçant un WAF entre Internet et un serveur d'origine, le WAF peut agir comme un proxy inverse, protégeant le serveur ciblé contre certains types de trafic malveillant. En filtrant les demandes sur la base d'une série de règles servant à identifier des outils DDoS, il est alors possible d'empêcher les attaques de la couche 7. Un atout majeur d'un WAF efficace est sa capacité à mettre en œuvre rapidement des règles personnalisées en réponse à une attaque. En savoir plus sur leWAF de Cloudflare.

Diffusion par le réseau Anycast

Cette approche d'atténuation utilise un réseau Anycast pour disperser le trafic d'attaque à travers un réseau de serveurs distribués qui permet d'absorber le trafic. Tout comme quand on dirige une rivière en crue vers différents canaux plus petits, cette approche permet de répartir l'impact du trafic d'attaque distribué au point qu'il devient gérable, et ainsi d'éviter des perturbations de l'activité.

La fiabilité d'unRéseau Anycast pour atténuer une attaque DDoS dépend de la taille de l'attaque ainsi que de la taille et de l'efficacité du réseau. Une part importante de l'atténuation des attaques DDoS assurée par Cloudflare est obtenue grâce à l'utilisation d'un réseau distribué Anycast. Cloudflare dispose en effet d'un réseau de 10 Tbits/s, ce qui représente une puissance supérieure à la plus grande attaque DDoS enregistrée.

Si vous êtes attaqué, vous pouvez prendre des mesures afin de sortir de cette impasse. Si vous êtes déjà client Cloudflare, vous pouvez suivreces étapes pour atténuer l'attaque dont vous êtes victime. La protection DDoS mise en œuvre par Cloudflare dispose de facettes multiples pour atténuer le plus de vecteurs d'attaque possibles.Protection DDoS Cloudflare