Digital_Attack_Map

Les attaques par déni de service distribué

Les organisations partout dans le monde sont confrontées à des centaines d’attaques par déni de service distribué par mois. Les pires attaques peuvent durer plusieurs jours et mobiliser jusqu’à 1,7 Tbit/s. En raison du nombre de plus en plus élevé d’appareils connectés à Internet ayant un faible niveau de sécurité, la taille, l’ampleur et la fréquence des attaques par DDOS augmentent considérablement. Vous pouvez y jeter un coup d’œil sur cette carte. Mais en quoi consistent exactement les attaques par DDoS et comment fonctionnent-elles?

DDS vs DDOS

Il est important de faire la distinction entre les attaques par déni de service (DDS) et les attaques par déni de service distribué (DDOS). Toutes deux provoquent un déni de service à leurs cibles en cherchant à perturber le trafic normal d’un serveur, d’un service ou d’un réseau. La différence entre les deux est que les attaques par DDS proviennent d’un seul appareil, tandis que les attaques par DDOS proviennent de plusieurs sources. Il est plus facile de se défendre contre une attaque par DDS que de se défendre contre une attaque par DDOS. C’est pour cette raison que les attaquants préfèrent utiliser des réseaux d’ordinateurs zombies qui leur permettre d’impliquer de multiples sources dans leur attaque.

Qu’est-ce qu’un réseau d’ordinateurs zombies?

Un réseau d’ordinateurs zombies est un réseau d’appareils infectés par un programme malveillant qui obéissent à un seul appareil. Les attaquants peuvent utiliser leurs propres réseaux d’ordinateurs zombies, mais il arrive souvent qu’ils les louent. Le prix de location d’un réseau d’ordinateurs zombies déjà piratés a chuté jusqu’à 30 $ sur certains forums russes. De plus, en raison de la croissance de l’Internet des objets, les réseaux d’ordinateurs zombies deviennent de plus en plus gros et de moins en moins chers à utiliser.

Comment fonctionne une attaque par déni de service distribué?

La victime est inondée de requêtes provenant de nombreuses sources différentes, ce qui rend l’attaque difficile à arrêter, car la victime ne peut bloquer qu’une seule source à la fois. Évidemment, la victime ne peut pas bloquer toutes les sources, car elle bloquera alors le trafic légitime. Imagine un énorme groupe de gens qui se présente à un magasin et qui bloque l’entrée aux autres clients. C’est exactement ce à quoi ressemble une attaque par DDOS.

Bien entendu, cette analogie est très simpliste. Il y a des douzaines de façons de lancer des attaques par DDOS. Voici les plus courantes.

Les attaques DDOS de la couche 7 : Cette attaque cible la couche applicative du modèle de référence d’interconnexion de systèmes ouverts (modèle OSI), où les pages Web sont générées à partir d’un serveur et livrées à la suite de requêtes HTTP. Il est facile de générer une requête HTTP, mais il est plus difficile d’y répondre, car le serveur doit charger plusieurs fichiers et exécuter des requêtes de la base de données pour générer la page Web.

Les inondations HTTP sont un exemple d’attaque DDOS de la couche 7. Elles agissent comme si vous aviez appuyé à répétition sur le bouton Actualiser d’un même site Web sur des centaines d’ordinateurs en même temps. Souvenez-vous que bien que les requêtes HTTP soient faciles à générer, elles requièrent plus d’efforts à exécuter. Une simple inondation de requêtes HTTP implique que l’attaquant fait une requête à répétition vers une même URL, tandis qu’une attaque plus complexe impliquera des requêtes vers plusieurs URL sur l’ensemble d’un site.

Imaginez une pizzeria. Un attaquant appelle une pizzeria et attend qu’un employé lui réponde. L’employé commence à dire son message d’accueil, mais l’attaquant raccroche et recommence le processus. L’attaquant déploie peu d’efforts pour composer le numéro de téléphone à répétition, tandis que la pizzeria déploie des efforts, des ressources et du temps pour répondre à ses appels. De plus, ces appels affectent sa capacité à répondre aux autres appels des clients légitimes, et font en sorte que ces derniers n’arrivent pas à joindre la pizzeria.

Les attaques volumétriques : Ces attaques cherchent à saturer la bande passante entre la cible de l’attaque et l’Internet.

Les attaques par amplification DNS sont un exemple d’attaque volumétrique. Celles-ci se produisent lorsqu’un attaquant envoie une requête vers un serveur DNS ouvert avec une adresse IP usurpée en la faisant passer pour l’adresse IP de leur cible. La requête est effectuée de manière à ce que le serveur DNS démultiplie les données envoyées, amplifiant ainsi la requête initiale.

Pour faire une analogie, imaginez qu’un attaquant téléphone à un fournisseur d’un restaurant, lui demande un devis estimatif pour chaque pièce d’équipement qu’il a en stock et lui demande ensuite de le rappeler. L’attaquant laisse alors le numéro de téléphone réel de sa cible, la pizzeria. La pizzeria recevra un appel qu’elle n’a pas demandé qui durera plus longtemps que l’appel initial effectué par l’attaquant, ce qui tiendra sa ligne téléphonique en otage.

Les attaques par protocole : Les attaques par protocole provoquent un déni de service en utilisant la capacité du réseau et des couches de transport d’une connexion.

Les attaques SYN (synchronisées) sont un exemple d’attaque par protocole. Ce type d’attaque envoie un grand nombre de paquets SYN de requêtes de connexion initiale TCP (protocole de contrôle de transmission). La victime répond à chaque requête et attend patiemment la réponse du client qui ne vient jamais, ce qui, éventuellement, épuisera la victime.

Imaginez une pizzeria qui reçoit un appel d’un client qui commande une pizza pour emporter. Le restaurant prend la commande, prépare la pizza et attend que le client vienne la chercher. Le restaurant reçoit plusieurs autres appels de commandes pour emporter, mais personne ne vient chercher les pizzas. Éventuellement, le restaurant sera pris avec plusieurs pizzas non vendues.

Comment peut-on contrer les attaques par DDOS?

Comme vous pouvez le constater, les attaques par DDOS impliquent un éventail de méthodes et de techniques. La complexité de l’attaque dicte la complexité de l’intervention.

Pour en savoir plus sur les façons de protéger votre entreprise contre les attaques par DDOS, contactez-nous dès aujourd’hui.