Qu'est-ce qu'une attaque DDoS ?

Il existe de nombreux types d'attaques DDoS et les hackers en utilisent souvent plusieurs pour infliger des ravages à leurs cibles. Les trois principaux types d'attaques sont les attaques volumétriques, protocolaires et au niveau de la couche applicative. L'objectif de toutes les attaques est de ralentir fortement ou d'empêcher le trafic légitime d'atteindre sa destination. Par exemple, cela peut consister à empêcher un utilisateur d'accéder à un site Web, d'acheter un produit ou un service, de regarder une vidéo ou d'interagir sur les médias sociaux. En outre, en rendant les ressources indisponibles ou en diminuant les performances, les attaques DDoS peuvent entraîner un arrêt de l'activité. Cela peut avoir pour conséquence d'empêcher les employés d'accéder au courrier électronique, aux applications Web ou de mener leurs activités comme d'habitude.

Pour mieux comprendre le fonctionnement des attaques DDoS, examinons les différentes voies que les hackers peuvent emprunter. Le modèle d'interconnexion des systèmes ouverts (OSI) est une structure par couches pour diverses normes de réseau. Elle contient sept couches différentes. Chaque couche du modèle OSI a un but unique, comme les étages d'un immeuble de bureaux qui abritent les différentes fonctions d'une entreprise. Les attaquants ciblent différentes couches en fonction du type de ressource Web ou Internet qu'ils souhaitent perturber.

L'objectif d'une attaque DDoS basée sur le volume est de submerger un réseau avec des quantités massives de trafic en saturant la bande passante de la ressource victime visée. Les grandes quantités de trafic d'attaque empêchent les utilisateurs légitimes d'accéder à l'application ou au service, empêchant le trafic d'entrer ou de sortir. Selon la cible, l'arrêt du trafic légitime peut signifier qu'un client d'une banque ne peut pas payer sa facture à temps, que les acheteurs en ligne ne peuvent pas effectuer de transactions en ligne, qu'un patient d'un hôpital ne peut pas accéder à son dossier médical ou qu'un citoyen ne peut pas consulter son dossier fiscal auprès d'une agence gouvernementale. Quelle que soit l'organisation, le fait de bloquer des personnes pour un service qu'elles comptent utiliser en ligne a un impact négatif.

Les attaques volumétriques utilisent des botnets créés à partir d'armées de systèmes et de dispositifs individuels infectés par des logiciels malveillants. Contrôlés par un attaquant, les bots sont utilisés pour provoquer la congestion d'une cible et d'Internet en général avec un trafic malveillant qui sature toute la bande passante disponible.

Un afflux imprévu de trafic de bots peut ralentir considérablement ou empêcher l'accès à une ressource Web ou à un service en ligne. Comme les bots prennent le contrôle de dispositifs légitimes pour amplifier les attaques DDoS à forte intensité de bande passante, souvent à l'insu de l'utilisateur, le trafic malveillant est difficile à détecter pour l'entreprise victime.

Les agresseurs utilisent un large éventail de vecteurs d'attaque DDoS volumétriques. Nombre d'entre eux exploitent les techniques d'attaque de réflexion et d'amplification pour submerger un réseau ou un service cible.

Les UDP floods sont souvent choisis pour les attaques DDoS à large bande passante. Les attaquants tentent de submerger les ports de l'hôte ciblé avec des paquets IP contenant le protocole UDP sans état. L'hôte victime recherche alors les applications associées aux paquets UDP et, si elles ne sont pas trouvées, renvoie un message « Destination inaccessible » à l'expéditeur. Les adresses IP sont souvent usurpées pour rendre l'attaquant anonyme, et une fois que l'hôte ciblé est inondé de trafic d'attaque, le système ne répond plus et n'est plus disponible pour les utilisateurs légitimes.

Qu'est-ce qu'une attaque DDoS par réflexion/amplification du DNS (système de noms de domaine) ?

Les attaques par réflexion du système de noms de domaine ou DNS sont un type de vecteur d'attaque courant où les cybercriminels ou pirates usurpent l'adresse IP de leur cible pour envoyer de grandes quantités de requêtes aux serveurs DNS ouverts. En réponse, ces serveurs DNS répondent aux requêtes malveillantes par l'adresse IP usurpée, créant ainsi une attaque sur la cible visée par un flot de réponses DNS. Très rapidement, l'important volume de trafic créé par les réponses DNS submerge les services de l'organisation victime, les rendant indisponibles et empêchant le trafic légitime d'atteindre sa destination.

Le protocole ICMP (Internet Control Message Protocol) est principalement utilisé pour la messagerie d'erreur et n'échange généralement pas de données entre les systèmes. Les paquets ICMP peuvent accompagner les paquets de protocole de contrôle de transmission (TCP, Transmission Control Protocol) qui permettent aux programmes d'application et aux terminaux informatiques d'échanger des messages sur un réseau, lors de la connexion à un serveur. Un ICMP flood est une méthode d'attaque DDoS d'infrastructure de couche 3 qui utilise des messages ICMP pour surcharger la bande passante du réseau ciblé.

Les attaques de protocole tentent de consommer et d'épuiser la capacité de calcul de diverses ressources de l'infrastructure du réseau, comme les serveurs ou les pare-feu, par le biais de demandes de connexion malveillantes qui exploitent les communications protocolaires. Les floods SYN (synchronisation) et les attaques DDoS de type Smurf sont deux types courants d'attaques DDoS basées sur des protocoles. Les attaques de protocole peuvent être mesurées en paquets par seconde (pps) ainsi qu'en bits par seconde (bps).

L'un des principaux moyens de se connecter aux applications Internet est le protocole de contrôle de transmission (TCP). Cette connexion nécessite une poignée de main à trois voies de la part d'un service TCP (comme un serveur Web) et implique l'envoi d'un paquet SYN (synchronisation) de l'endroit où l'utilisateur se connecte au serveur, qui renvoie ensuite un paquet SYN-ACK (accusé de réception de synchronisation), auquel on répond finalement par une communication ACK (accusé de réception) finale pour terminer l'établissement de liaison TCP.

Lors d'une attaque SYN flood, un client malveillant envoie un grand nombre de paquets SYN (première partie de l'établissement de liaison habituel) mais n'envoie jamais l'accusé de réception pour terminer l'établissement de liaison. Le serveur attend alors une réponse à ces connexions TCP semi-ouvertes qui finissent par ne plus pouvoir accepter de nouvelles connexions pour les services qui suivent l'état des connexions. 

Une attaque SYN flood ressemble à une terrible farce réalisée par l'ensemble de la classe de terminale d'un très grand lycée, où chaque élève appelle la même pizzeria et commande une pizza au même moment. Puis, lorsque le livreur s'apprête à les emballer, il se rend compte qu'il y a trop de pizzas pour qu'elles tiennent dans son véhicule et qu'il n'y a pas d'adresse sur les commandes, ce qui interrompt toutes les livraisons.

Le nom de cette attaque DDoS repose sur le concept selon lequel des attaquants minuscules et nombreux peuvent submerger un adversaire beaucoup plus grand par leur volume, tout comme la colonie fictive de petits humanoïdes bleus qui lui a donné son nom (les « Smurfs » sont les Schtroumpfs en anglais).

Dans une attaque par déni de service distribué de type Smurf, un grand nombre de paquets ICMP (Internet Control Message Protocol, protocole de messages de contrôle Internet), dont l'adresse IP source est usurpée, sont diffusés sur un réseau informatique à l'aide d'une adresse de diffusion IP. Par défaut, la plupart des appareils d'un réseau répondent en envoyant une réponse à l'adresse IP source. En fonction du nombre de machines sur le réseau, l'ordinateur de la victime peut être ralenti par l'inondation de trafic.

Les attaques de la couche application, consistant à inonder les applications de requêtes malveillantes, sont mesurées en requêtes par seconde (RPS). Également appelées attaques DDoS de couche 7, elles ciblent et perturbent des applications Web spécifiques, et non des réseaux entiers. Bien qu'elles soient difficiles à prévenir et à atténuer, elles font partie des attaques DDoS les plus faciles à lancer.

Pour comparer, il est facile de pousser un troupeau de chevaux à charger, mais il est presque impossible de le maîtriser à nouveau. Les attaques au niveau de la couche applicative sont semblables à cela : faciles à mettre en œuvre, difficiles à ralentir ou à arrêter, et spécifiques à une cible.

En mettant en place une stratégie et un plan d'exécution solides, les organisations peuvent se protéger contre les attaques DDoS et limiter les perturbations qu'elles provoquent. La protection contre les attaques DDoS à haute capacité, hautes performances et permanente des solutions basées sur le cloud peut empêcher le trafic malveillant d'atteindre un site Web ou de perturber les communications avec les API Web. Un service de nettoyage basé sur le cloud peut rapidement atténuer les attaques qui ciblent les actifs non Web, comme l'infrastructure réseau, de manière évolutive.

Face à des attaques en constante évolution, la protection contre les attaques DDoS par un prestataire de services de mitigation qui adopte une approche de défense en profondeur peut assurer la sécurité des organisations et des utilisateurs finaux. Un service de mitigation des attaques DDoS détectera et bloquera les attaques DDoS aussi rapidement que possible, idéalement en zéro ou quelques secondes à partir du moment où le trafic d'attaque atteint les centres de nettoyage du prestataire de mitigation. Étant donné que les vecteurs d'attaque ne cessent de changer et que la taille des attaques ne cesse de croître, pour obtenir la meilleure protection contre les attaques DDoS, un prestataire doit continuellement investir dans sa capacité de défense. Pour faire face à des attaques complexes et de grande ampleur, il faut disposer des technologies adéquates pour détecter le trafic malveillant et mettre en place des contre-mesures défensives robustes afin d'atténuer rapidement les attaques.

Les prestataires de services de mitigation des attaques DDoS filtrent le trafic malveillant pour l'empêcher d'atteindre l'actif ciblé. Le trafic d'attaque est bloqué par un service de nettoyage DDoS, un service DNS basé sur le cloud ou un service de protection Web basé sur un réseau de diffusion de contenu (CDN). La mitigation basée sur le cloud supprime le trafic d'attaque avant qu'il n'atteigne la cible.

Le nettoyage DDoS peut assurer le bon fonctionnement de votre service ou votre activité en ligne, même pendant une attaque. Contrairement à la mitigation basée sur le réseau de diffusion de contenu (CDN), un service de nettoyage DDoS peut protéger tous les ports, protocoles et applications du centre de données, y compris les services Web et IP. 

Les entreprises dirigent le trafic de leur réseau de deux manières : via un changement d'annonce de route BGP (Border Gateway Protocol) ou une redirection DNS (enregistrement A ou CNAME) vers l'infrastructure de nettoyage du prestataire de services de mitigation. Le trafic est surveillé et inspecté pour détecter toute activité malveillante, et des mesures de mitigation sont appliquées si des attaques DDoS sont identifiées. En général, ce service peut être disponible à la fois dans des configurations à la demande et en permanence, en fonction de la posture de sécurité préférée de l'entreprise, bien que de plus en plus d'entreprises s'orientent vers un modèle de déploiement en permanence pour obtenir la réponse défensive la plus rapide.

Un réseau de diffusion de contenu (CDN) avancé correctement configuré peut contribuer à la défense contre les attaques DDoS. Lorsqu'un prestataire de services de protection de sites Web utilise son CDN pour accélérer spécifiquement le trafic utilisant les protocoles HTTP et HTTPS, toutes les attaques DDoS ciblant cette URL peuvent alors être abandonnées en bordure de réseau. 

Cela signifie que les attaques DDoS des couches 3 et 4 sont instantanément atténuées, car ce type de trafic n'est pas destiné aux ports Web 80 et 443. En tant que proxy basé sur le cloud, le réseau se place devant l'infrastructure informatique du client et achemine le trafic des utilisateurs finaux vers les sites Web et les applications. Comme ces solutions fonctionnent en ligne, les actifs orientés vers le Web sont protégés à tout moment contre les attaques DDoS au niveau du réseau, sans interaction humaine. 

Pour une défense spécifique à la couche application, les entreprises devraient envisager de déployer un Web Application Firewall pour lutter contre les attaques avancées, y compris certains types d'attaques DDoS comme les requêtes http, HTTP GET et les floods HTTP POST, qui visent à perturber les processus d'application de la couche 7 du modèle OSI.

Les entreprises peuvent réduire leur surface d'attaque tout en limitant les risques d'interruption de service et de perturbation de l'activité en déployant des contrôles de cybersécurité spécifiques aux attaques DDoS. Ce type de défense permet de déjouer une attaque tout en autorisant les visiteurs légitimes à accéder à votre organisation en ligne comme ils le feraient normalement. La protection contre les attaques DDoS empêche le trafic malveillant d'atteindre sa cible, ce qui limite l'impact de l'attaque, tout en permettant au trafic normal de passer pour que les activités se poursuivent normalement.

Pendant la mitigation, votre prestataire de protection DDoS déploie une série de contre-mesures visant à arrêter et à diminuer l'impact d'une attaque par déni de service distribué. Les attaques actuelles devenant plus sophistiquées, la protection par mitigation des attaques DDoS basée sur le cloud permet d'assurer une défense en profondeur à l'échelle, en maintenant l'infrastructure dorsale et les services Internet disponibles et fonctionnant de manière optimale.

Grâce aux services de protection contre les attaques DDoS, les entreprises peuvent :

• Réduire la surface d'attaque et les risques commerciaux associés aux attaques DDoS
• Éviter les interruptions de service ayant un impact sur l'entreprise
• Éviter la mise hors ligne de pages Web
• Accélérer la réponse à un événement DDoS et optimiser les ressources de réponse aux incidents
• Réduire le temps nécessaire à la compréhension et à l'investigation d'une interruption de service
• Éviter toute baisse de productivité des employés
• Déployer plus rapidement des contre-mesures de défense contre une attaque DDoS
• Éviter de nuire à la réputation de la marque et aux résultats financiers
• Maintenir le temps de fonctionnement et les performances des applications sur l'ensemble du parc numérique
• Limiter les coûts associés à la sécurité du Web
• Se défendre contre l'extorsion, les ransomwares et autres nouvelles menaces en constante évolution

Akamai fournit une défense DDoS en profondeur grâce à un maillage transparent de défenses dédiées en bordure de l'Internet, de DNS distribués et de nettoyage dans le cloud. Ces services cloud spécialement conçus sont destinés à renforcer les postures de sécurité DDoS tout en réduisant les surfaces d'attaque, en améliorant la qualité de la mitigation et en réduisant les faux positifs, tout en augmentant la résilience contre les attaques les plus importantes et les plus complexes.

En outre, ces solutions peuvent être adaptées aux besoins spécifiques de vos applications Web et de vos services en ligne.

Akamai a conçu la plateforme cloud et en bordure de l'Internet la plus distribuée au monde comme un proxy inverse qui n'accepte que le trafic des ports 80 et 443. Toutes les attaques DDoS au niveau de la couche réseau sont instantanément neutralisées en bordure de l'Internet grâce à un accord de niveau de service (SLA) immédiat. Cela signifie que les attaquants qui lancent des attaques DDoS au niveau de la couche réseau n'ont aucune chance.

Kona Site Defender détecte et atténue les attaques DDoS au niveau de la couche application, y compris celles lancées via les API, tout en permettant l'accès aux utilisateurs légitimes.

Le service DNS de référence d'Akamai, Edge DNS, filtre également le trafic en bordure de l'Internet. Contrairement aux autres solutions DNS, Akamai a spécifiquement conçu Edge DNS dans une optique de disponibilité et de résilience face aux attaques DDoS. Edge DNS offre également des performances supérieures, avec des redondances architecturales à plusieurs niveaux, notamment les serveurs de noms, les points de présence, les réseaux et même les clouds IP anycast segmentés.