Attaque DDoS
Le pire cauchemar d'une organisation

Les DoS et DDoS sont des attaques courantes qui peuvent rendre votre serveur indisponible, si elles ne sont pas prises au sérieux. Dans les deux scénarios d’attaque, le principe de base est que les cybercriminels privent les utilisateurs légitimes du service dont ils ont besoin en rendant votre système inaccessible. Dans les sections suivantes, nous allons comprendre leurs principales différences, l’impact, les raisons du DDoS et les types d’attaques.

 

Attaque par déni de service (DoS)

Dans cette attaque, l’attaquant effectue un nombre massif de requêtes (paquets de protocole UDP ou TCP) pour étouffer le serveur de la victime, avec de fausses adresses IP. Progressivement, l’ensemble des ressources du serveur attaqué (CPU, mémoire, etc.) sont consommées. Il s’agit d’un type courant d’attaque par déni de service (DoS), appelé « flooding ». Il existe également d’autres formes, comme le déni de service applicatif, où les cybercriminels envoient un bug de serveur dans un paquet légitime spécialement conçu pour rendre la cible spécifique indisponible. Le principe de l’attaque par déni de service (DoS) est de réfuter l’accès normal de l’utilisateur au serveur hôte et de perturber le fonctionnement habituel du système. Lorsque des utilisateurs légitimes ne peuvent plus accéder au site web, cela provoque une défaillance du serveur.

 

Attaques par déni de service distribué (DDoS)

Le nombre d’attaques par déni de service distribué (DDoS) ne cesse d’augmenter chaque année. Alors que le DoS est une attaque entre deux machines individuelles, le DDoS utilise un groupe de machines coordonnées à différents endroits (botnet) pour attaquer l’hôte. D’où le nom « distribué ». Il est donc plus difficile de détecter et de bloquer de telles attaques en raison des bombardements provenant de sources multiples dans un délai aussi court.

Pour le pirate informatique, il est moins coûteux et plus facile de mener une attaque par déni de service (DoS).

 

DoS and DDoS attacks
Attaque DoS vs attaque DDoS

 

Quelles sont les conséquences d’une attaque DDoS ? Quelles sont les cibles spécifiques ?

L’attaque DDoS est plus rapide et son intensité sur le serveur hôte est beaucoup plus critique et dévastatrice. Si votre site web cesse de fonctionner pendant trop longtemps, vous risquez de perdre au delà de votre connexion réseau, vos précieux clients au profit de concurrents. Vous perdrez votre classement SEO et vos liens internes. Sans parler du temps nécessaire pour réorganiser votre site web et des conséquences financières sur vos revenus. Cela pourrait également nuire à votre réputation générale sur le marché et vous pourriez devoir fermer votre entreprise pour de bon.

En tant que service, le botnet cible généralement les sites relativement importants et les sites web des organismes gouvernementaux. Les secteurs du commerce en ligne sont une cible principale de ces attaques DDoS. Si vous avez un site web florissant, vous serez probablement la cible d’une attaque DDoS à un moment donné.

 

Qui mène des attaques DDoS et pourquoi ?

De nombreux hackers peuvent former des groupes actifs pour mener des attaques DDoS afin d’exprimer leurs opinions sur un certain sujet (politique, éthique, etc.) ou de venger une organisation. Parfois, des personnes qui font partie de groupes criminels organisés le font pour obtenir une énorme rançon.

Aujourd’hui, les pirates DDoS sont disponibles à bas prix sur le dark Web. Parfois, les entreprises engagent ces attaquants et lancent de telles attaques, pour perturber les services de leurs concurrents et rediriger le trafic vers leur propre site web.

Il arrive également que les agresseurs mènent de telles attaques juste pour montrer leurs compétences.

 

Types de DoS et DDoS

Il existe deux types d’attaques.

Les attaques volumétriques

L’attaquant consomme toute la bande passante pour créer un encombrement du réseau avec des volumes de trafic massifs, de sorte que les clients légitimes ne peuvent pas accéder au réseau cible spécifique. La plupart des attaques DDoS sont volumétriques. Leur volume peut aller de 20 gigaoctets par seconde à 2 téraoctets par seconde.

Attaques de la couche applicative

L’attaquant profite des erreurs de programmation dans l’application et attaque la couche applicative ou la couche 7 du modèle OSI. Ils ont tendance à diversifier ces types d’attaques pour maximiser leur impact sur la cible spécifique.

 

Exemples d’attaques spécifiques

SYN flood

Dans ce scénario d’attaque volumétrique (figure 2), les auteurs ne tentent pas d’exploiter une faille de sécurité sur votre site web, mais de l’amener à rompre avec un volume élevé de demandes. Ils inondent la cible spécifique de plusieurs paquets de synchronisation (SYN) provenant simultanément de différentes machines. La victime renvoie des paquets légitimes d’accusé de réception (SYN-ACK). Cependant, l’attaquant n’envoie pas de paquet ACK en réponse pour compléter la poignée de main à trois, et fait attendre la victime jusqu’à ce que le serveur de la victime épuise l’ensemble de ses ressources. Cela entraîne une baisse considérable des performances du serveur web de la victime.

 

SYN flood attacks
Figure 2 : SYN flood attacks

 

Attaques par amplification

Le but d’une attaque par amplification est d’utiliser un facteur d’amplification qui maximise l’impact possible. Les attaquants utilisent une technique légèrement différente (figure 3) pour paralyser la bande passante du réseau de la victime en élargissant le flux de trafic sortant. Ils manipulent les serveurs de systèmes de noms de domaine (DNS) ouverts en envoyant de fausses petites requêtes (avec l’adresse IP de la cible spécifique). Le serveur prend la machine cible pour la source des demandes et lui envoie un message de réponse amplifié. L’amplification du DNS est un exemple populaire d’attaque par amplification. Cependant, toutes les attaques d’amplification n’exploitent pas le DNS. L’attaque peut cibler également un routeur. Par exemple, l’attaque Smurf est un autre type d’attaque par amplification qui repose sur le routeur desservant un réseau de diffusion.

 

Attaque par amplification
Figure 3 : Attaques par amplification

Attaque Slowloris

Slowloris est une attaque de la couche applicative dans laquelle le cybercriminel envoie périodiquement des requêtes HTTP GET incomplètes mais légitimes au serveur web ciblé. Il maintient ainsi les connexions ouvertes et dévore lentement et méticuleusement les prises de connexion du serveur web, brouillant ainsi toutes les autres demandes légitimes.

 

Slowloris attack
Figure 4 : Attaque Slowloris

 

Comment savoir si votre site est sous attaque DDoS ?

Outre les pressions des hackers, il pourrait y avoir plusieurs autres signes d’une attaque DDoS. Par exemple, lorsque des clients se plaignent que votre site web est resté inaccessible (perte de connexion réseau) pendant une période prolongée ou si vous observez dans vos journaux un pic irrégulier dans le trafic du site web. Il est en effet difficile à dire, car ce dernier pourrait également être dû à des requêtes légitimes.

 

Protégez-vous contre les attaques DDoS

La dernière attaque DDoS notable en 2020, celle d’AWS, a duré près de 3 jours et a culminé à 2,3 téraoctets par seconde. Les attaques DDoS sont sans aucun doute un problème de sécurité important pour votre entreprise. Par conséquent, vous devez surveiller votre système de manière approfondie, adopter de bonnes pratiques, vous préparer à l’aide d’un puissant pare-feu applicatif web (avec l’option Anti-DDoS) et développer un meilleur système de défense global pour atténuer une attaque DDoS. N’attendez pas votre première attaque ! Faites-le maintenant, avant que cela n’affecte vos clients et votre image de marque ! 

 

Demandez vos 14 jours d'essai gratuit

Cela ne prend que 60 secondes pour protéger vos sites et applications web.
Qu’attendez-vous pour essayer ?