Qu'est-ce qu'une attaque DDoS ?

Une attaque DDoS, ou par déni de service distribué, est un type de cyberattaque qui tente de rendre un site Web ou une ressource réseau indisponible en l'inondant de trafic malveillant afin de l'empêcher de fonctionner.

Qu'est-ce qu'une attaque DDoS

Signification d'une attaque DDoS

Dans une attaque par déni de service distribué (DDoS), un attaquant submerge sa cible de trafic Internet indésirable, de sorte que le trafic normal ne peut atteindre sa destination.

Mais qu'est-ce que cela signifie réellement ? Imaginez votre film de zombie préféré. Des hordes de créatures infectées qui ont toutes le même objectif : submerger la civilisation en propageant leur « peste zombie ». Elles submergent les ressources des organisations de maintien de l'ordre, épuisent les forces militaires et détruisent les services de santé. Puis, inévitablement, on assiste à un gigantesque embouteillage qui s'étend à perte de vue, les gens fuyant pour se mettre à l'abri sur l'autoroute. C'est à cela que ressemble une attaque DDoS : une apocalypse zombie en ligne. Mais à la place des zombies, ce sont des hordes d'ordinateurs infectés qui s'en prennent à un site Web ciblé, tous en même temps, faisant fuir les humains et les entreprises.

Une attaque DDoS sur le site Web, l'application Web, les API, le réseau ou l'infrastructure du centre de données d'une entreprise peut provoquer des temps d'arrêt et empêcher les utilisateurs légitimes d'acheter des produits, d'utiliser un service, d'obtenir des informations ou tout autre accès.

Lors d'une attaque DDoS, les attaquants utilisent un grand nombre de machines et d'appareils connectés exploités à travers Internet, y compris des appareils de l'Internet des objets (IoT), des smartphones, des ordinateurs personnels et des serveurs réseau, pour envoyer un flot de trafic aux cibles.

Comment se déroule une attaque DDoS ?

Les attaques DDoS exploitent les réseaux d'appareils connectés à Internet pour couper les utilisateurs d'un serveur ou d'une ressource réseau, comme un site Web ou une application auxquels ils peuvent accéder fréquemment.

Pour lancer une attaque DDoS, les attaquants utilisent des logiciels malveillants ou tirent parti de failles de sécurité pour infecter sournoisement des machines et des appareils et en prendre le contrôle. Chaque ordinateur ou dispositif infecté, appelé « bot » ou « zombie », devient capable de propager le malware et de participer aux attaques DDoS. Ces bots forment des armées de bot appelées « botnets » qui tirent parti de leur force en nombre et amplifient la portée d'une attaque. Et comme l'infection des appareils IoT passe souvent inaperçue - tout comme le zombie de série B dont vous n'avez pas réalisé qu'il était infecté - les propriétaires légitimes d'appareils deviennent des victimes secondaires ou des participants à leur insu, tandis que les attaquants restent difficiles à identifier par l'entreprise victime.

Une fois qu'un attaquant a constitué un botnet, il est en mesure d'envoyer des instructions à distance à chaque bot,

pour diriger une attaque DDoS sur le système cible. Lorsqu'un botnet attaque un réseau ou un serveur, l'attaquant demande à chaque robot d'envoyer des requêtes à l'adresse IP de la victime. Tout comme les humains ont des empreintes digitales uniques, nos appareils ont une adresse unique qui les identifie sur Internet ou le réseau local. Le trafic démesuré qui en résulte entraîne un déni de service, empêchant le trafic normal d'accéder au site Web, à l'application Web, à l'API ou au réseau.

Parfois, les botnets, avec leurs réseaux d'appareils compromis, sont loués pour d'autres attaques potentielles par le biais de services d'« attaque à louer ». Cela permet à des personnes mal intentionnées mais sans formation ni expérience de lancer facilement des attaques DDoS par leurs propres moyens.

Les types d'attaques DDoS

Il existe de nombreux types d'attaques DDoS et les hackers en utilisent souvent plusieurs pour infliger des ravages à leurs cibles. Les trois principaux types d'attaques sont les attaques volumétriques, protocolaires et au niveau de la couche applicative. L'objectif de toutes les attaques est de ralentir fortement ou d'empêcher le trafic légitime d'atteindre sa destination. Par exemple, cela peut consister à empêcher un utilisateur d'accéder à un site Web, d'acheter un produit ou un service, de regarder une vidéo ou d'interagir sur les médias sociaux. En outre, en rendant les ressources indisponibles ou en diminuant les performances, les attaques DDoS peuvent entraîner un arrêt de l'activité. Cela peut avoir pour conséquence d'empêcher les employés d'accéder au courrier électronique, aux applications Web ou de mener leurs activités comme d'habitude.

Pour mieux comprendre le fonctionnement des attaques DDoS, examinons les différentes voies que les hackers peuvent emprunter. Le modèle d'interconnexion des systèmes ouverts, également appelé « modèle OSI », est une structure par couches pour diverses normes de réseau. Elle contient sept couches différentes. Chaque couche du modèle OSI a un but unique, comme les étages d'un immeuble de bureaux qui abritent les différentes fonctions d'une entreprise. Les attaquants ciblent différentes couches en fonction du type de ressource Web ou Internet qu'ils souhaitent perturber.

Les sept couches de connectivité réseau du modèle OSI impliquées dans une attaque DDoS

Couche 7 – Application

La couche application se trouve au sommet. C'est la plus proche de l'utilisateur final. C'est là que les gens interagissent avec les ordinateurs et les appareils et que les réseaux se connectent aux applications.

Couche 6 – Présentation

Le chiffrement et le déchiffrement des données ont lieu sur la couche de présentation, ce qui permet une transmission sécurisée.

Couche 5 – Session

La couche session permet aux appareils, ordinateurs ou serveurs de communiquer entre eux et contrôle les ports et les sessions.

Couche 4 – Transport

Au niveau de la couche transport, les données sont communiquées via le protocole de contrôle de transmission (TCP), qui est construit au-dessus du protocole Internet (IP), également appelé TCP/IP.

Couche 3 – Réseau

La couche réseau détermine le chemin physique que les données emprunteront pour atteindre leur destination.

Couche 2 – Liaison de données

La couche liaison de données permet de transférer des données entre des entités réseau. C'est également un moyen de détecter et de corriger les erreurs qui peuvent se produire dans la couche physique.

Couche 1 – Physique

Première et plus basse couche, la couche 1 est la couche physique où les bits bruts sont transmis sur une liaison de données physique reliant les nœuds du réseau.

Attaques volumétriques

L'objectif d'une attaque DDoS basée sur le volume est de submerger un réseau avec des quantités massives de trafic en saturant la bande passante de la ressource victime visée. Les grandes quantités de trafic d'attaque empêchent les utilisateurs légitimes d'accéder à l'application ou au service, empêchant le trafic d'entrer ou de sortir. Selon la cible, l'arrêt du trafic légitime peut signifier qu'un client d'une banque ne peut pas payer sa facture à temps, que les acheteurs en ligne ne peuvent pas effectuer de transactions en ligne, qu'un patient d'un hôpital ne peut pas accéder à son dossier médical ou qu'un citoyen ne peut pas consulter son dossier fiscal auprès d'une agence gouvernementale. Quelle que soit l'organisation, le fait de bloquer des personnes pour un service qu'elles comptent utiliser en ligne a un impact négatif.

Les attaques volumétriques utilisent des botnets créés à partir d'armées de systèmes et de dispositifs individuels infectés par des logiciels malveillants. Contrôlés par un attaquant, les bots sont utilisés pour provoquer la congestion d'une cible et d'Internet en général avec un trafic malveillant qui sature toute la bande passante disponible.

Un afflux imprévu de trafic de bots peut ralentir considérablement ou empêcher l'accès à une ressource Web ou à un service en ligne. Comme les bots prennent le contrôle de dispositifs légitimes pour amplifier les attaques DDoS à forte intensité de bande passante, souvent à l'insu de l'utilisateur, le trafic malveillant est difficile à détecter pour l'entreprise victime.

Types courants d'attaques volumétriques

Les agresseurs utilisent un large éventail de vecteurs d'attaques DDoS volumétriques. Nombre d'entre eux exploitent les techniques de réflexion et d'amplification pour submerger un réseau ou un service cible.

UDP Flood

Les UDP floods sont souvent choisis pour les attaques DDoS à large bande passante. Les attaquants tentent de submerger les ports de l'hôte ciblé avec des paquets IP contenant le protocole UDP sans état. L'hôte victime recherche alors les applications associées aux paquets UDP et, si elles ne sont pas trouvées, renvoie un message « Destination inaccessible » à l'expéditeur. Les adresses IP sont souvent usurpées pour rendre l'attaquant anonyme, et une fois que l'hôte ciblé est inondé de trafic d'attaque, le système ne répond plus et n'est plus disponible pour les utilisateurs légitimes.

Réflexion/amplification DNS

Les attaques par réflexion DNS sont un type de vecteur courant où les cybercriminels usurpent l'adresse IP de leur cible pour envoyer de grandes quantités de requêtes aux serveurs DNS ouverts. En réponse, ces serveurs DNS répondent aux requêtes malveillantes par l'adresse IP usurpée, créant ainsi une attaque sur la cible visée par un flot de réponses DNS. Très rapidement, l'important volume de trafic créé par les réponses DNS submerge les services de l'organisation victime, les rendant indisponibles et empêchant le trafic légitime d'atteindre sa destination.

ICMP flood

Le protocole ICMP (Internet Control Message Protocol) est principalement utilisé pour la messagerie d'erreur et n'échange généralement pas de données entre les systèmes. Les paquets ICMP peuvent accompagner les paquets TCP (Transmission Control Protocol) qui permettent aux programmes d'application et aux dispositifs informatiques d'échanger des messages sur un réseau, lors de la connexion à un serveur. Un ICMP flood est une méthode d'attaque DDoS d'infrastructure de couche 3 qui utilise des messages ICMP pour surcharger la bande passante du réseau ciblé.

Attaques de protocole

Les attaques de protocole tentent de consommer et d'épuiser la capacité de calcul de diverses ressources de l'infrastructure du réseau, comme les serveurs ou les pare-feu, par le biais de demandes de connexion malveillantes qui exploitent les communications protocolaires. Les floods SYN (Synchronize) et les attaques DDoS de type Smurf sont deux types courants d'attaques DDoS basées sur des protocoles. Les attaques de protocole peuvent être mesurées en paquets par seconde (pps) ainsi qu'en bits par seconde (bps).

Attaque SYN flood

L'un des principaux moyens de se connecter aux applications Internet est le protocole de contrôle de transmission TCP. Cette connexion nécessite une poignée de main à trois voies de la part d'un service TCP – comme un serveur Web – et implique l'envoi de ce qu'on appelle un paquet SYN (synchronisation) de l'endroit où l'utilisateur se connecte au serveur, qui renvoie ensuite un paquet SYN-ACK (accusé de réception de synchronisation), auquel on répond finalement par une communication ACK (accusé de réception) finale pour terminer l'établissement de liaison TCP.

Lors d'une attaque SYN flood, un client malveillant envoie un grand nombre de paquets SYN (première partie de l'établissement de liaison habituel) mais n'envoie jamais l'accusé de réception pour terminer l'établissement de liaison. Le serveur attend alors une réponse à ces connexions TCP semi-ouvertes qui finissent par ne plus pouvoir accepter de nouvelles connexions pour les services qui suivent l'état des connexions. 

Une attaque SYN flood ressemble à une terrible farce réalisée par l'ensemble de la classe de terminale d'un très grand lycée, où chaque élève appelle la même pizzeria et commande une pizza au même moment. Puis, lorsque le livreur s'apprête à les emballer, il se rend compte qu'il y a trop de pizzas pour qu'elles tiennent dans son véhicule et qu'il n'y a pas d'adresse sur les commandes, ce qui interrompt toutes les livraisons.

Attaques DDoS Smurf (par rebond)

Le nom de cette attaque DDoS repose sur le concept selon lequel des attaquants minuscules et nombreux peuvent submerger un adversaire beaucoup plus grand par leur volume, tout comme la colonie fictive de petits humanoïdes bleus qui lui a donné son nom (les « Smurfs » sont les Schtroumpfs en anglais).

Dans une attaque par déni de service distribué de type Smurf, un grand nombre de paquets ICMP (Internet Control Message Protocol), dont l'adresse IP source est usurpée, sont diffusés sur un réseau informatique à l'aide d'une adresse de diffusion IP. Par défaut, la plupart des appareils d'un réseau répondent en envoyant une réponse à l'adresse IP source. En fonction du nombre de machines sur le réseau, l'ordinateur de la victime peut être ralenti par l'inondation de trafic.

Attaques au niveau de la couche application

Exemple : Attaque HTTP flood

Les attaques de la couche application, consistant à inonder les applications de requêtes malveillantes, sont mesurées en requêtes par seconde (RPS). Également appelées attaques DDoS de couche 7, elles ciblent et perturbent des applications Web spécifiques, et non des réseaux entiers. Bien qu'elles soient difficiles à prévenir et à atténuer, elles font partie des attaques DDoS les plus faciles à lancer.

Pour comparer, il est facile de pousser un troupeau de chevaux à charger, mais il est presque impossible de le maîtriser à nouveau. Les attaques au niveau de la couche applicative sont semblables à cela : faciles à mettre en œuvre, difficiles à ralentir ou à arrêter, et spécifiques à une cible.

À quoi servent les attaques DDoS ?

Les attaques par déni de service distribué (DDoS) visent à mettre hors service des services en ligne, des sites Web et des applications Web en les inondant de trafic malveillant provenant de sources multiples ou en épuisant les ressources de calcul de l'actif ciblé. L'objectif de l'attaquant est de rendre la cible indisponible pour les utilisateurs légitimes, car il s'agit avant tout de perturber le service. Les attaques DDoS visent un large éventail de ressources dont les gens dépendent chaque jour, notamment les services financiers, les informations médicales, les médias, les systèmes éducatifs et les achats en ligne. 

Les raisons pour lesquelles les acteurs de la menace lancent des attaques DDoS visant à perturber les entreprises sont nombreuses. Les motivations courantes comprennent les suivantes :

  • Hacktivisme motivé par des raisons politiques ou sociales

  • Attaquants d'états nation visant à causer des perturbations économiques ou sociales

  • Tentatives de récupération de parts de marché si un service ou un produit concurrent n'est pas disponible

  • Attaque DDoS utilisée comme écran de fumée pour détourner l'attention d'une équipe de réponse aux incidents d'une attaque plus furtive et sophistiquée

  • Extorsion à des fins de gains financiers et de profits

Ces derniers temps, les attaques d'extorsion DDoS ont tout particulièrement motivé les cybercriminels. Également connues sous le nom d'attaques DDoS avec rançon (RDDoS), les attaques d'extorsion DDoS se produisent lorsque des groupes de criminels (et leurs imitateurs) menacent les entreprises d'un événement DDoS à moins qu'une rançon ou un ultimatum d'extorsion ne soit payé. Souvent, ces criminels lancent une attaque de « démonstration de force » pour démontrer leur capacité à causer des perturbations et augmenter la probabilité d'un paiement d'extorsion par l'entreprise ciblée. Pour éviter de se faire prendre, les attaquants insistent pour se faire payer en cryptomonnaie, comme le Bitcoin.

À l'instar d'un enfant d'école primaire à qui un petit caïd vole ses devoirs, puis l'oblige à donner l'argent de son déjeuner pour les récupérer, les attaques d'extorsion DDoS ne sont qu'une question de rançon. Dans le monde sophistiqué du harcèlement en ligne, la rançon est numérique et intraçable.

 

Comment se défendre contre les attaques DDoS

En mettant en place une stratégie et un plan d'exécution solides, les organisations peuvent se protéger contre les attaques DDoS et limiter les perturbations qu'elles provoquent. La protection contre les attaques DDoS à haute capacité, hautes performances et permanente des solutions basées sur le cloud peut empêcher le trafic malveillant d'atteindre un site Web ou d'interférer avec la communication par une API Web. Un service de nettoyage basé sur le cloud peut rapidement atténuer les attaques qui ciblent les actifs non Web, comme l'infrastructure réseau, de manière évolutive.

Protection contre les attaques DDoS

Face à des attaques en constante évolution, la  protection contre les attaques DDoS par un prestataire de services de mitigation qui adopte une approche de défense en profondeur peut assurer la sécurité des organisations et des utilisateurs finaux. Un service de mitigation des attaques DDoS détectera et bloquera les attaques DDoS aussi rapidement que possible, idéalement en zéro ou quelques secondes à partir du moment où le trafic d'attaque atteint les centres de nettoyage du prestataire de mitigation. Étant donné que les vecteurs d'attaque ne cessent de changer et que la taille des attaques ne cesse de croître, pour obtenir la meilleure protection contre les attaques DDoS, un prestataire doit continuellement investir dans sa capacité de défense. Pour faire face à des attaques complexes et de grande ampleur, il faut disposer des technologies adéquates pour détecter le trafic malveillant et mettre en place des contre-mesures défensives robustes afin d'atténuer rapidement les attaques.

Les prestataires de services de mitigation des attaques DDoS filtrent le trafic malveillant pour l'empêcher d'atteindre l'actif ciblé. Le trafic d'attaque est bloqué par un service de nettoyage DDoS, un service DNS basé sur le cloudou un service de protection Web basé sur CDN. La mitigation basée sur le cloud supprime le trafic d'attaque avant qu'il n'atteigne la cible.

Nettoyage dans le cloud d'une attaque DDoS

Le nettoyage DDoS peut maintenir votre activité en ligne opérationnelle, même pendant une attaque. Contrairement à la mitigation basée sur le CDN, un service de nettoyage DDoS peut protéger tous les ports, protocoles et applications du centre de données, y compris les services Web et IP. Les entreprises dirigent le trafic de leur réseau de deux manières : via un changement d'annonce de route BGP (Border Gateway Protocol) ou une redirection DNS (enregistrement A ou CNAME) vers l'infrastructure de nettoyage du prestataire de services de mitigation. Le trafic est surveillé et inspecté pour détecter toute activité malveillante, et des mesures de mitigation sont appliquées si des attaques DDoS sont identifiées. En général, ce service peut être disponible à la fois dans des configurations à la demande et en permanence, en fonction de la posture de sécurité préférée de l'entreprise, bien que de plus en plus d'entreprises s'orientent vers un modèle de déploiement en permanence pour obtenir la réponse défensive la plus rapide.

Défense basée sur le CDN

Un réseau de diffusion de contenu (CDN) avancé correctement configuré peut contribuer à la défense contre les attaques DDoS. Lorsqu'un prestataire de services de protection de sites Web utilise son CDN pour accélérer spécifiquement le trafic utilisant les protocoles HTTP et HTTPS, toutes les attaques DDoS ciblant cette URL peuvent alors être abandonnées en bordure de réseau. Cela signifie que les attaques DDoS des couches 3 et 4 sont instantanément atténuées, car ce type de trafic n'est pas destiné aux ports Web 80 et 443. En tant que proxy basé sur le cloud, le réseau se place devant l'infrastructure informatique du client et achemine le trafic des utilisateurs finaux vers les sites Web et les applications. Comme ces solutions fonctionnent en ligne, les actifs orientés vers le Web sont protégés à tout moment contre les attaques DDoS au niveau du réseau, sans interaction humaine. Pour une défense spécifique à la couche application, les entreprises devraient envisager de déployer un Web Application Firewall pour lutter contre les attaques avancées, y compris certains types d'attaques DDoS comme les floods HTTP GET et HTTP POST, qui visent à perturber les processus d'application de la couche 7 du modèle OSI.   

Les avantages des services de mitigation DDoS

Les entreprises peuvent réduire leur surface d'attaque tout en limitant les risques d'interruption de service et de perturbation de l'activité en déployant des contrôles de sécurité spécifiques aux attaques DDoS. Ce type de défense permet de déjouer une attaque tout en autorisant les visiteurs légitimes à accéder à votre organisation en ligne comme ils le feraient normalement. La protection contre les attaques DDoS empêche le trafic malveillant d'atteindre sa cible, ce qui limite l'impact de l'attaque, tout en permettant au trafic normal de passer pour que les activités se poursuivent normalement. 

Comment interrompre une attaque DDoS

Pendant la mitigation, votre prestataire de protection DDoS déploie une série de contre-mesures visant à arrêter et à diminuer l'impact d'une attaque DDoS par déni de service distribué. Les attaques modernes devenant de plus en plus sophistiquées, la protection par mitigation des attaques DDoS basée sur le cloud permet d'assurer une défense en profondeur à l'échelle, en maintenant l'infrastructure dorsale et les services Internet disponibles et fonctionnant de manière optimale.

Grâce aux services de protection contre les attaques DDoS, les entreprises peuvent :

  • Réduire la surface d'attaque et les risques commerciaux associés aux attaques DDoS
  • Éviter les interruptions de service ayant un impact sur l'entreprise

  • Accélérer la réponse à un événement DDoS et optimiser les ressources de réponse aux incidents

  • Réduire le temps nécessaire à la compréhension et à l'investigation d'une interruption de service 

  • Éviter toute baisse de productivité des employés 

  • Déployer plus rapidement des contre-mesures de défense contre une attaque DDoS

  • Éviter de nuire à la réputation de la marque et aux résultats financiers

  • Maintenir le temps de fonctionnement et les performances des applications sur l'ensemble du parc numérique

  • Limiter les coûts associés à la sécurité du Web

  • Se défendre contre les menaces nouvelles et évolutives

Découvrez comment Akamai peut vous aider à protéger vos services Web et en ligne contre les attaques DDoS.

Comment fonctionne une défense DDoS globale

Akamai fournit une défense DDoS en profondeur grâce à un maillage transparent de défenses dédiées en bordure de l'Internet, de DNS distribués et de nettoyage dans le Cloud. Ces solutions dans le cloud spécialement conçues sont destinées à renforcer les postures de sécurité DDoS tout en réduisant les surfaces d'attaque, en améliorant la qualité de la mitigation et en réduisant les faux positifs, tout en augmentant la résilience contre les attaques les plus importantes et les plus complexes.

En outre, ces solutions peuvent être adaptées aux besoins spécifiques de vos applications Web et de vos services en ligne.

Défense en bordure de l'Internet

Akamai a conçu sa plate-forme intelligente en bordure de l'Internet, distribuée dans le monde entier, comme un proxy inverse qui n'accepte que le trafic via les ports 80 et 443. Toutes les attaques DDoS au niveau de la couche réseau sont instantanément neutralisées en bordure de l'Internet grâce à un accord de niveau de service (SLA) immédiat. Cela signifie que les attaquants qui lancent des attaques DDoS au niveau de la couche réseau n'ont aucune chance.

Pour les attaques DDoS au niveau de la couche application, y compris celles lancées via les API, Kona Site Defender détecte et atténue les attaques, tout en permettant l'accès aux utilisateurs légitimes.

Défense du DNS

Le service DNS de référence d'Akamai, Edge DNS,filtre également le trafic en bordure de l'Internet. Contrairement aux autres solutions DNS, Akamai a spécifiquement conçu Edge DNS dans une optique de disponibilité et de résilience face aux attaques DDoS. Edge DNS offre également des performances supérieures, avec des redondances architecturales à plusieurs niveaux, notamment les serveurs de noms, les points de présence, les réseaux et même les clouds IP Anycast segmentés.

Défense par nettoyage sur le cloud

Prolexic protège des centres de données entiers et des infrastructures hybrides contre les attaques DDoS, sur tous les ports et protocoles, grâce à 20 centres de nettoyage mondiaux et plus de 10 Tbit/s de défense DDoS dédiée. Cette capacité est conçue pour maintenir la disponibilité des actifs en ligne, une pierre angulaire de tout programme de sécurité de l'information.

En tant que service entièrement géré, Prolexic permet de développer des modèles de sécurité positifs et négatifs. Le service combine des défenses automatisées avec une mitigation experte de l'équipe mondiale d'Akamai, composée de plus de 225 intervenants SOCC de première ligne. Prolexic propose également un accord de niveau de service (SLA) de mitigation à zéro seconde, à la pointe du secteur, via des contrôles défensifs proactifs, afin de maintenir la protection et la haute disponibilité de l'infrastructure du centre de données et des services basés sur Internet.