Définition d’attaque DDoS

Les 5 types les plus dangereux

Attaque DDoS

Imaginez que vous soyez propriétaire d’un café. Un jour vous ouvrez votre café et une foule de gens se rue dans votre boutique. Vous vous dites que c’est une bonne journée pour les affaires. Ce sera en fait une journée très chargée, mais elle ne sera pas bonne pour les affaires. Les personnes qui occupent les sièges ne passent pas de commandes. Ils continuent à entrer, occupent de l’espace et empêchent vos véritables clients d’acheter quoi que ce soit. L’afflux de gens finit par complètement bloquer l’entrée de votre café et vous n’êtes plus en mesure de service même vos clients légitimes.

C’est l’équivalent d’une attaque DDoS dans la vie réelle.

Sommaire: Une attaque DDoS est conçue pour immobiliser les sites web et réseaux. Il s’agit d’une forme de cybercrime qui envoie un torrent continu de faux trafic vers les services en ligne tels que les sites web jusqu’à ce qu’ils bloquent ou rompent. Elle est difficile à stopper et même les plus grands sites web en ont été les victimes par le passé. Continuez votre lecture pour en apprendre plus sur les attaques DDoS les plus fréquentes.

DDos Attack

Qu’est-ce qu’une attaque DDoS ?

Une attaque DDoS est une attaque de déni de service distribué (Distributed Denial of Service). Elle rend un service en ligne indisponible en le bombardant de trafic provenant de sources multiples.

Une attaque provenant d’une source unique est un type d’attaque de déni de service distribué (DDoS) : une seule connexion de réseau ou un appareil compromis. Les attaques DDoS, en comparaison, sont des attaques provenant de sources multiples.

En essence, une attaque de déni de service distribué est toute méthode destinée à empêcher les utilisateurs réels d’accéder à une ressource du réseau. Ce café, par exemple dans l’analogie précédente, peut être une ressource en ligne : un serveur de jeu ou un site web.

Lorsque le serveur ou le site subit une attaque DDOS, il lui devient impossible de remplir son rôle. L’attaque submerge le site ou le serveur de jeu de faux trafic, et le trafic réel, les personnes qui souhaitent rejoindre le jeu ou visiter le site web, en sont incapables.

La majorité des attaques DDoS sont déployées à travers des « botnets », un réseau de bots ou un réseau d’appareils compromis relié à internet et contrôlé par un pirate. Les botnets peuvent être en nombre restreint mais aussi des millions, et étant donné que la plupart des botnets utilisent des ressources compromises, les véritables propriétaires des appareils ne savent même pas qu’ils sont utilisés pour des attaques DDoS.

Multiplier les sources d’attaques amplifie l’efficacité de l’attaque tout en aidant à masquer l’identité de l’auteur.

Types d’attaques DDoS ?

Pour mieux comprendre comment stopper une attaque DDoS, vous devez tout d’abord en saisir les différents types. Les attaques DDoS sont classées dans trois grandes catégories en fonction de leur cible :

  1. Attaques basées sur le volume. Comme leur nom l’indique, ce type d’attaques DDoS compte sur le volume. Les attaques DDoS basées sur le volume sont aussi très justement appelées « inondations ». Il s’agit du type le plus basique, et la définition même d’une attaque DDoS.
  2. Attaques de protocole. Ce type d’attaque DDoS envoie des vagues de bots à des protocoles spécifiques comme par exemple les répartiteurs de web, pare-feu ou serveurs web eux-mêmes constituant la ressource réseau qu’il tente de détruire.
  3. Attaques d’application. Considérées comme étant les types d’attaques DDoS les plus sérieuses et sophistiquées, ces attaques ciblent les applications web en exploitant les vulnérabilités qu’elles comportent. Aussi appelées « Attaques couche 7 », les attaques d’application fonctionnent toujours de la même manière mais demandent beaucoup moins de force car elles ciblent les faiblesses au sein des serveurs ciblés. Beaucoup moins de trafic web est nécessaire pour monopoliser les processus et protocoles sur ces points faibles, ce qui rend aussi l’attaque bien plus difficile à détecter en raison du faible volume de trafic généré qui semble légitime.

Les 5 attaques DDoS les plus couramment utilisées

Les attaques DDoS les plus fréquemment utilisées dérivent des trois grandes catégories ci-dessus :

  1. Inondation UDP

Les applications utilisent des protocoles de communication pour connecter à travers internet. Les protocoles les plus fréquemment utilisés sont le Transmission Control Protocol (TCP, ou parfois TCP/IP, IP signifiant Internet Protocol) et le User Datagram Protocol (UDP ou UDP/IP). Ils envoient des paquets de données sur internet pour établir des connexions et envoyer correctement les données.

Une inondation UDP est exactement ce à quoi vous pouvez vous attendre : une attaque DDoS de protocole ciblant l’UDP.

L’auteur envoie à la cible des paquets UDP contenant de fausses informations, la ressource réseau est incapable de faire correspondre le paquet UDP avec les applications associées correctes et renvoit un message d’erreur. Répétez cette procédure suffisamment de fois et le système peut devenir surchargé, et ne plus réagir.

  1. Inondation DNS Flood

Les Domain Name Servers (DNS) sont des serveurs informatiques qui traduisent les URL des sites web en leurs adresses IP. Par exemple, lorsque vous visitez Facebook pour consulter les pages de vos amis, vous tapez Facebook[.]com dans votre navigateur. En fait, vous dites à votre ordinateur de se rendre sur l’une des adresses IP de Facebook (Facebook en possède un nombre immense, si l’on considère la quantité de trafic qu’il doit accommoder). Une adresse IP Facebook de ce type es 66.220.144.0.

Les serveurs DNS traduisent le nom du site web que vous connaissez en son adresse IP réelle.

Alors, que se passerait-il si vous utilisiez une attaque DDoS pour inonder les serveurs DNS et qu’ils ne soient plus en mesure de jouer leur rôle ? C’est l’objectif d’une inondation DNS.

  1. Inondation SYN

Une requête SYN est une partie d’une séquence de connexion de type « poignée de mains à trois voies » réalisée à travers un TCP. Ceci peut avoir l’air très technique mais ne vous inquiétez pas, c’est en fait assez simple :

Tout d’abord, une requête SYN (synchronise) est envoyée à l’hôte. L’hôte renvoie ensuite une réponse SUN-ACK (reconnaissance de synchronisation). L’hôte qui a demandé la poignée de mains à trois voies finalise enfin le protocole avec une réponse ACK (reconnaissance). Cette procédure permet aux deux hôtes ou ordinateurs de négocier la manière dont ils communiqueront.

Une inondation SYN stoppe la poignée de mains à trois voies dès la première étape. Un attaquant soit envoyé de multiples requêtes SYN depuis de fausse adresses IP, soit ne répond pas à la réponse SYN-ACK de la cible. Le système ciblé continue d’attendre la dernière partie de la poignée de mains à trois voies, la réponse ACK, pour chaque requête.

Si vous faites cela avec suffisamment de vitesse et à un volume suffisant, vous pouvez relier les ressources du système cible jusqu’à ce que de nouvelles connexions puissent être réalisées, avec pour résultat un déni de service.

  1. Inondation HTTP

HTTP signifie Hypertext Transfer Protocol, et constitue la fondation du transfert de données sur internet. En fait, vous devriez voir dans votre barre d’adresse dès maintenant un « S » supplémentaire sui signifie que le HTTP est sécurisé.

Comme avec tous les autres protocoles, HTTP utilise plusieurs types de requêtes pour envoyer et demander des informations tels que HTTP POST et GET. Une inondation HTTP est généralement utilisée lorsque des pirates accèdent à des informations utiles sur un site web et recouvrent leurs traces par un grand nombre de requêtes HTTP POST ou GET pour surcharger l’application web ou le serveur.

Cette méthode utilise moins de bande passante pour son exécution, mais peut pousser les serveurs au maximum de leurs ressources.

  1. Inondation ICMP (Ping)

Internet Control Message Protocol (ICMP) est un protocole de rapport d’erreur couramment utilisé entre autres par l’utilité de diagnostic ping. En fait, vous « pinguez » un site web pour vérifier si vous y avez accès. Les résultats du « ping » peuvent vous indiquer des problèmes au niveau de la connectivité, ce qui vous permet de chercher une solution.

Un « ping » envoie un petit paquet d’informations sur la ressource réseau cible (par exemple un site web) et cette ressource envoie un paquet de taille identique d’informations en retour.

Une inondation ping est simplement un déluge de requêtes ping, au point que la bande passante du réseau du système ciblé est se bloque en tentant de réponde à chaque requête.

Une autre attaque DDoS qui utilise le ping est le Ping of Death qui, au lieu d’utiliser de gros volumes de paquets de taille similaire, contourne les mesures de sécurité et envoie des paquets de données de taille trop importante ou malformés pour surcharger le système ciblé.

Comment stopper une attaque DDoS

Les attaques DDoS sont difficiles à identifier. Un administrateur de système qui effectue l’entretien ou même un problème technique avec des ressources de réseau en particulier peuvent produire des symptômes similaires à une attaque DDoS. Il est néanmoins toujours bon de rester vigilant et analyser en profondeur une performance inhabituellement lente et l’indisponibilité de services.

Une protection DDoS peut être mise en place grâce une surveillance du trafic sur le réseau et une analyse par la surveillance des pare-feu ou systèmes de détection d’intrusion capables d’identifier des attaques DDoS. Les administrateurs du système peuvent aussi mettre ne place des alertes en de comportement inhabituel du trafic tel qu’un trafic particulièrement élevé ou une chute des paquets de réseau au-delà d’un niveau donné.

La mauvaise nouvelle est que les attaques DDoS modernes peuvent être aussi importantes et sophistiquées qu’il est presque impossible de les résoudre par vous-même. Vous devrez appeler votre fournisseur d’accès ou un spécialiste en mitigation DDoS pour stopper complètement la menace.

Si vous êtes victime d’une attaque, vous pouvez essayer certaines choses pour gagner du temps et pouvoir appeler votre fournisseur d’accès ou un expert :

  • Surbudgétisez la bande passante : augmentez votre disponibilité de bande passante de plusieurs fois votre limite actuelle pour accommoder des augmentations soudaines du trafic.
  • Défendez le périmètre réseau de votre propre serveur web : Vous pouvez mitiger les effets d’une attaque DDoS en cours en ajustant certains périmètres du réseau.
  • Limiter le taux de votre routeur aide à éviter que votre serveur web ne soit surchargé.
  • Ajouter des filtres aide votre routeur à identifier des sources d’attaques évidentes.
  • Créez des périodes de temporisation plus agressives pour les connexions à demi ouvertes. Certaines des attaques DDoS les plus courantes profitent de protocoles semi ouverts pour boucher votre bande passante. Des périodes de temporisation plus agressives contribuent à fermer les vecteurs d’attaque DDoS en cours.
  • Lancez des paquets de données malformés ou frauduleux.
  • Paramétrez des limites de lancement plus faibles pour SYN, UDP et ICMP – trois des attaques DDoS les plus fréquentes.

Une fois ces modifications réalisées, vous pouvez gagner suffisamment de temps pour que votre fournisseur d’accès puisse traiter l’attaque DDoS ou pour qu’un expert en mitigation le résolve.

Par ailleurs, les sociétés spécialisées en sécurité en ligne proposent des produits et services qui aident à empêcher les attaques et ajoutent des couches de protection DDoS. La meilleure manière d’éviter, identifier et stopper les attaques DDoS est à travers un logiciel de protection DDoS.

Sources (en anglais)

 

Êtes-vous protégé?

Les attaques DDoS ciblent les sites web et non les individus. Donc, à moins que vous ne possédiez un site web, vous n’avez pas à vous soucier d’une telle attaque. Nous vous recommandons quand même de ne pas prendre de risques en ligne.