Une attaque par DDoS, qu'est-ce que c'est ? | Épisode Radware Minute
Une attaque par déni de service distribué (DDoS) se produit lorsque plusieurs machines opèrent de concert pour attaquer une même cible en vue de perturber le trafic sur un serveur, service ou réseau déterminé en surchargeant la cible ou son infrastructure au moyen d'un déluge de trafic en ligne.
Le DDoS permet d'envoyer un nombre exponentiel de requêtes à la cible, ce qui ne fait qu'augmenter l'ampleur de l'attaque. Cela complique aussi l'attribution, car la véritable source de l'attaque est plus difficile à identifier.
Les attaques par DDoS peuvent avoir un effet dévastateur sur toute entreprise en ligne, c'est la raison pour laquelle il est essentiel de comprendre leur fonctionnement et le moyen de les atténuer rapidement.
Les raisons derrière les attaques par DDoS varient énormément, tout comme les personnes et organisations qui les organisent. Certaines attaques sont lancées par des individus et des hacktivistes mécontents qui souhaitent neutraliser les serveurs d'une entreprise pour faire connaître leur point de vue, s'amuser en exploitant des points faibles ou exprimer leur désapprobation.
D'autres attaques de ce type sont motivées par l'appât financier, comme pour les attaques visant à perturber ou neutraliser les opérations en ligne d'un concurrent afin d'attirer ses clients pendant la période d'interruption. Dans d'autres cas, il est question d'extorsion ; les pirates attaquent alors une entreprise et installent des rançongiciels sur les serveurs avant d'exiger le paiement de sommes importantes pour réparer les dégâts.
Une attaque par DDoS a pour objectif de surcharger les appareils, services et réseaux de la cible au moyen d'un trafic en ligne fictif, et de les rendre inaccessibles ou inutiles aux utilisateurs légitimes.
Alors qu'une attaque par déni de service implique un ordinateur « d'attaque » et une victime, les attaques par DDoS s'appuient sur une véritable armée d'ordinateurs infectés ou de « robots » pour exécuter plusieurs tâches de manière simultanée. Ces botnets (un groupe d'appareils piratés et connectés en ligne) sont capables de mener des attaques de grande ampleur. Les agresseurs exploitent des failles de sécurité ou des points faibles de certains appareils pour contrôler de nombreux périphériques à l'aide d'un logiciel de contrôle. Une fois qu'il a le contrôle, l'agresseur ordonne au botnet d'exécuter une attaque par DDoS contre une cible. Dans ce cas, les appareils infectés sont également des victimes de l'attaque.
Des botnets composés d'appareils compromis peuvent également être loués à des agresseurs potentiels. Bien souvent, les services du botnet sont offerts par attaque, ce qui permet même aux utilisateurs sans compétences particulières d'initier des attaques par DDoS.
Lors d'une attaque par DDoS, les cybercriminels exploitent le comportement normal entre les périphériques réseau et les serveurs et ciblent souvent les appareils réseau qui établissent la connexion Internet. Par conséquent, les agresseurs se concentrent sur les appareils en périphérie du réseau (p. ex., routeurs, commutateurs) plutôt que les serveurs individuels. Une attaque par DDoS surcharge la bande passante du réseau ou les appareils qui fournissent la bande passante.
Le meilleur moyen pour détecter et identifier une attaque par DDoS consiste à contrôler et analyser le trafic réseau. Ce dernier peut être surveillé via un pare-feu ou un système de détection des intrusions. Un administrateur peut même établir des règles afin d'émettre une alerte en cas de détection d'une charge de trafic anormale et d'identifier la source du trafic ou des paquets réseau qui répondent à certains critères.
Les symptômes d'une attaque par DoS peuvent ressembler à des problèmes de disponibilité non-malveillants, comme les problèmes techniques associés à un réseau spécifique ou à un opération de maintenance effectuée par un administrateur système. Cependant, les symptômes suivants peuvent indiquer une attaque par DoS ou DDoS :
- Performance réseau inhabituellement lente
- Indisponibilité d'un service réseau et/ou site Web particulier
- Impossibilité d'accéder à un site Web
- Une adresse IP émet une quantité inhabituellement grande de requêtes durant une période limitée
- Le serveur répond par une erreur 503 en raison d'une panne de service
- L'analyse des journaux révèle un fort pic de trafic réseau
- Tendances de trafic inhabituelles, comme des pics à des heures atypiques de la journée ou des tendances qui semblent sortir de l'ordinaire
Principaux types d'attaques par DDoS
Les attaques par DDoS et de couche réseau sont aussi variées que sophistiquées. En raison de la gamme croissante de marchés en ligne, les agresseurs ont désormais la possibilité de lancer des attaques par DDoS sans avoir de grandes connaissances concernant les réseaux et les cyberattaques. Les outils et services d'attaque sont facilement accessibles, ce qui rend le groupe d'agresseurs potentiels plus vaste que jamais.
Voici quatre des types d'attaques par DDoS les plus communs et sophistiqués qui ciblent les entreprises à l'heure actuelle.
Attaques DDoS de la couche 7 d'application
Les attaques d'application par DoS cherchent à épuiser les ressources de la cible en exploitant le protocole populaire de transfert hypertexte (HTTP) ainsi que les protocoles d'application HTTPS, SMTP, FTP, VOIP et autres qui présentent des failles que les attaques DoS exploitent. Tout comme les attaques qui ciblent les ressources réseau, les attaques sui ciblent les ressources d'application sont disponibles en plusieurs variantes, telles que les attaques de type flood (inondation) et « low and slow ».
Attaques volumétriques ou basées sur le volume
Les attaques volumétriques et de réflexion/amplification tirent profit de la disparité des requêtes et des taux de réponse de certains protocoles techniques. Les agresseurs envoient des paquets aux serveurs réflecteurs via une adresse IP source copiant l'adresse IP de leur victime, ce qui surcharge indirectement la victime au moyen des paquets de réponse. À taux élevés, ces réponses ont créé certaines des plus grandes attaques volumétriques par DDoS à ce jour. L'attaque par amplification DNS par réflexion fait partie des exemples courants
Attaques SSL/TLS et par chiffrement
Les agresseurs utilisent les protocoles SSL/TLS pour masquer le trafic et le rendre plus complexe, autant pour les menaces au niveau du réseau que d'application. De nombreuses solutions de sécurité font appel à un moteur passif pour la protection contre les attaques SSL/TLS, ce qui signifie qu'ils ne différencient pas efficacement les attaques par chiffrement du trafic chiffré légitime tout en ne limitant que le taux de requête.
La lutte contre ces attaques nécessite une atténuation des DDoS alliant des capacités de détection et d'atténuation automatisées fondées sur l'apprentissage automatique et une protection complète pour toute infrastructure : sur site, sur cloud privé et sur cloud public.
Attaques par DDoS tsunami Web
Les attaques par DDoS tsunami Web allient des vecteurs d'attaque au niveau des applications et exploitent de nouveaux outils pour créer des attaques sophistiquées qu'il est difficile (voire impossible) de détecter et d'atténuer à l'aide de méthodes traditionnelles.
Pour prévenir les attaques par DDoS, les entreprises doivent envisager certaines capacités clés afin de limiter les attaques par DDoS, d'assurer la disponibilité des services et de minimiser les faux positifs. Pour prévenir les attaques par DDoS, il est essentiel d'exploiter les technologies basées sur le comportement, de comprendre les avantages et inconvénients des options de déploiement DDoS et de pouvoir atténuer une gamme de vecteurs d'attaques par DDoS.
Les capacités suivantes sont capitales pour prévenir les attaques par DDoS :
Automatisation
Face aux attaques DDoS modernes dynamiques et automatisées, les entreprises ne souhaitent pas se fier à la protection manuelle. Un service qui ne demande aucune intervention du client grâce à un cycle de vie d'attaque entièrement automatisé (collecte de données, détection d'attaque, diversion du trafic et atténuation d'attaque) offre une protection de meilleure qualité.
Protection basée sur le comportement
Il est essentiel d'adopter une solution d'atténuation DDoS qui bloque les attaques sans affecter le trafic légitime. Les solutions qui exploitent l'apprentissage automatique et les algorithmes basés sur le comportement pour comprendre ce qui constitue un comportement légitime et bloquer les attaques malveillantes sont essentielles. Cela augmente la précision de la protection et réduit les faux positifs.
Capacité de filtrage et réseau mondial
Les attaques par DDoS deviennent de plus en plus nombreuses, graves, complexes et pestistentes. Face à de grandes attaques simultanées, les services DDoS cloud doivent fournir un réseau de sécurité mondial et robuste capable d'offrir plusieurs Tbps de capacité d'atténuation dédiés aux centres de filtrage qui séparent le trafic légitime du trafic de l'attaque par DDoS.
Plusieurs options de déploiement
La flexibilité des modèles de déploiement est capitale afin de permettre aux entreprises d'adapter le service d'atténuation des attaques par DDoS en fonction de ses besoins, de son budget, de sa topologie de réseau et du profil de menace. Le modèle de déploiement adéquat (hybride, sur demande ou protection cloud permanente) varie selon la typologie du réseau, l'environnement d'hébergement des applications et l'importance des délais et de la latence.
Protection complète contre un large éventail de vecteurs d'attaque
Les menaces évoluent constamment. Il est important de disposer d'une solution d'atténuation des attaques par DDoS offrant une protection étendue, qui ne se limite pas à la protection contre les attaques au niveau du réseau mais protège également contre les vecteurs d'attaque mentionnés ci-dessus.
Les entreprises peuvent prendre diverses mesures pour atténuer les attaques par DDoS. Ces dernières comprennent la communication rapide avec les parties internes et les tiers fournisseurs, l'analyse des attaques, l'activation de contre-mesures de base (comme la limitation des taux) et une protection plus poussée contre les attaques par DDoS et l'analyse.
Retrouvez ci-dessous cinq étapes à suivre pour atténuer les attaques par DDoS.
Étape 1 : avertir les parties importantes
Avertissez les parties importantes au sein de l'entreprise au sujet de l'attaque et des mesures entreprises pour lutter contre cette dernière.
Les parties importantes peuvent inclure le directeur de la sécurité des systèmes informatiques, le centre des opérations de sécurité, le directeur informatique, les responsables des opérations, les responsables commerciaux des services touchés, etc. Envoyez des messages concis et informatifs.
Les informations clés doivent inclure :
- Un résumé des événements
- Le lieu où l'attaque a commencé
- Les actifs (applications, services, serveurs, etc.) affectés
- L'impact pour les utilisateurs et les clients
- Les étapes entreprises pour lutter contre l'attaque
Étape 2 : avertir votre fournisseur de sécurité
Il convient également d'avertir votre fournisseur de sécurité afin qu'il prenne des mesures visant à participer à la lutte contre l'attaque.
Votre fournisseur de sécurité peut être votre fournisseur Internet, votre hébergeur Web ou un service de sécurité dédié. Chaque type de fournisseur offre des capacités et services différents. Votre fournisseur Internet peut vous aider à minimiser la quantité de trafic malveillant sur votre réseau, tandis que votre hébergeur Web peut être capable de limiter l'impact sur votre application et d'adapter la capacité de votre service. Les services de sécurité disposent généralement d'outils spécifiques pour lutter contre les attaques par DDoS.
Even if you don’t already have a predefined agreement for service, or are not subscribed to their DDoS protection offering, you should nonetheless reach out to them to see how they can assist.
Étape 3 : activer les contre-mesures
Si vous avez déjà mis en place des contre-mesures anti-DDoS, activez-les. Idéalement, ces contre-mesures s'activent immédiatement dès la détection d'une attaque. Toutefois, dans certains cas, des outils, tels que le matériel hors trajectoire définie ou des services sur demande, doivent être initiés manuellement par le client.
L'une des approches consiste à mettre en place des listes de contrôle d'accès basées sur l'adresse IP afin de bloquer tout le trafic issu des sources de l'attaque. Cette opération s'effectue au niveau du routeur réseau et peut généralement être exécutée par votre équipe réseau ou votre fournisseur d'accès Internet. Cette approche est efficace lorsque l'attaque provient d'une seule source ou d'un nombre réduit de sources d'attaque. Cependant, si l'attaque est lancée par un vaste groupe d'adresses IP, cette approche peut s'avérer inutile.
Si l'attaque cible une application ou un service Web, il est possible de limiter le nombre de connexions simultanées à l'application. Cette technique de limitation du débit est souvent l'approche adoptée par les hébergeurs Web et les réseaux de diffusion de contenu. Veuillez noter que cette méthode est susceptible de générer un nombre élevé de faux positifs car elle ne parvient pas à faire la distinction entre le trafic malveillant et les utilisateurs légitimes.
Les outils de protection spécifiques aux attaques DDoS offrent la meilleure défense contre ce type d'attaque. Les mesures de protection DDoS peuvent être déployées en tant que dispositif au sein de votre centre de données, comme service de filtrage cloud ou comme solution hybride alliant matériel physique et service cloud.
Étape 4 : surveiller le développement de l'attaque
Durant l'attaque, surveillez l'avancement et le développement de l'offensive. Ces opérations doivent comprendre :
- De quel type d'attaque par DDoS s'agit-il ? Êtes-vous confronté à une attaque flood au niveau du réseau ou de l'application ?
- Quelles sont les caractéristiques de l'attaque ? Quelle est l'ampleur de l'attaque, en termes de bits par seconde et de paquets par seconde ?
- L'attaque provient-elle d'une seule adresse IP ou de plusieurs sources ? Êtes-vous en mesure de les identifier ?
- À quoi ressemble le modèle de l'attaque ? S'agit-il d'une attaque continue ou en rafale ? L'attaque implique-t-elle un seul protocole ou plusieurs vecteurs d'attaque ?
- L'attaque vise-t-elle les mêmes cibles ou est-ce que les cibles changent au fil du temps ?
Suivre le développement de l'attaque vous aidera également à adapter vos défenses.
Étape 5 : évaluer la performance des défenses
Enfin, au fil du développement de l'attaque et de l'activation des contre-mesures, évaluez leur efficacité.
Votre fournisseur de sécurité doit proposer un document d'entente de niveau de service qui engage ses obligations en matière de services. Vérifiez qu'il respecte l'entente et que vos opérations sont affectées par les mesures. Si le fournisseur n'agit pas ou n'est pas capable de mettre fin à l'attaque, il convient de vous demander s'il est temps de changer de service d'urgence.