Types d'attaques DDoS et moyens de les prévenir

Blog

Différents types d'attaques DDoS ont fait des ravages dans le monde numérique - Voyons ce qu'ils sont et comment les prévenir.

par Ahona Rudra

Dernière mise à jour :
10 10 min de lecture
Types d'attaques DDoS et moyens de les prévenir
Table des matières-

De toutes les cybermenaces, les attaques par déni de service distribué (DDoS) et leurs types sont parmi les plus insidieux et les plus répandus. Selon un rapport, l'année 2022 a vu une augmentation de 74 % d'augmentation de 74 % du nombre d'attaques DDoS par rapport aux années précédentes. Même à un stade naissant, les organisations devraient prendre des mesures pour prévenir les attaques DDoS. La protection contre les attaques DDoS est importante car elle permet à des acteurs malveillants d'inonder un réseau de trafic, provoquant son arrêt permanent ou temporaire. La surcharge du trafic perturbe la connectivité, empêchant les utilisateurs légitimes de visiter votre site web.

Fondamentalement, une attaque DDoS (Distributed Denial of Service) est un acte de cybercriminalité par lequel des pirates informatiques tentent de faire tomber un réseau ou un serveur en le surchargeant avec du faux trafic. Le pic imprévu de messages, de demandes de connexion ou de paquets de données submerge le système ciblé, le ralentissant ou l'arrêtant. Le motif des auteurs ou des hacktivistes des différents types d'attaques DDoS est souvent de submerger le réseau ou le système de la cible de demandes afin d'entraver les opérations commerciales ou de rendre le site web ou l'application inaccessible aux utilisateurs prévus.

D'autres motifs peuvent inclure la manipulation des cibles pour qu'elles paient une rançon élevée, l'interruption du service pour des raisons de rivalité professionnelle, l'atteinte à l'image de marque ou la distraction de l'équipe de réponse à l'incident pour tenter une attaque de plus grande envergure. Ces attaques ont évolué au fil des ans, ce qui les rend plus difficiles à combattre. Toutefois, une stratégie adéquate et une bonne compréhension de ces attaques permettent d'en atténuer l'impact. Cela peut conduire à d'autres formes de cybercriminalité comme le phishing et le spoofing, qui peuvent être atténués si vous utilisez SPF, DKIM et DMARC.

Dans cet article, nous allons vous présenter les différents types d'attaques DDoS et les stratégies permettant de protéger vos actifs numériques et de maintenir des opérations commerciales ininterrompues dans le monde hyperconnecté d'aujourd'hui. Les conséquences d'une attaque IP DDoS peuvent être considérables : perte de revenus, atteinte à la réputation, voire responsabilité juridique. En outre, la fréquence et l'intensité de ces attaques augmentant, il est essentiel que les administrateurs de réseau et les professionnels de la sécurité en comprennent la nature et les conséquences.

Points clés à retenir

  1. Les attaques DDoS exploitent différentes couches du réseau (Application, Protocole, Volumétrique) en utilisant des techniques telles que les inondations SYN, les inondations UDP et les attaques par réflexion pour submerger les systèmes.
  2. Une défense efficace nécessite une approche multicouche comprenant la réduction de la surface d'attaque (WAF, CDN), la surveillance du réseau, la redondance des serveurs et des pratiques de sécurité robustes.
  3. La détection des attaques par déni de service implique l'établissement de lignes de base du trafic, la surveillance des anomalies (comme la communication avec le serveur C&C) et la mise en œuvre d'une analyse en temps réel.
  4. Un plan de réponse DDoS complet, comprenant une équipe formée et des protocoles clairs, est essentiel pour minimiser les temps d'arrêt et les dommages.
  5. Les coûts des attaques DDoS vont au-delà des temps d'arrêt et se traduisent par d'importantes pertes financières, de réputation et opérationnelles, ce qui souligne la nécessité d'une sensibilisation et d'une prévention proactives en matière de cybersécurité.

Les différents types d'attaques DDoS

Si le principe de base de toutes les attaques DDoS est le même, à savoir engorger l'infrastructure informatique de la victime avec du trafic et entraver les opérations, elles peuvent être exécutées de différentes manières. Ces différents types d'attaques DDoS sont classés en fonction des couches de connexion réseau qu'ils ciblent, ce qui peut modifier considérablement la façon dont ils sont détectés et défendus. Elles se répartissent généralement en trois grandes catégories : Les attaques volumétriques, les attaques de protocole et les attaques de couche d'application.

  • Attaques volumétriques : Elles visent à consommer toute la bande passante disponible entre la cible et l'internet au sens large. Elles réduisent la bande passante de votre site web en utilisant des techniques d'amplification. Il est difficile de les détecter car le trafic semble provenir de plusieurs adresses IP. Les exemples incluent les inondations UDP et les inondations ICMP.
  • Attaques de protocole : Elles visent à consommer les ressources du serveur ou les ressources des équipements de communication intermédiaires tels que les pare-feu et les équilibreurs de charge. Les exemples incluent les inondations SYN et les attaques Ping of Death.
  • Attaques au niveau de l'application : Elles ciblent des applications ou des services spécifiques en exploitant des vulnérabilités (comme SIP, les services vocaux, BGP) ou en les submergeant de demandes apparemment légitimes, ce qui empêche l'application de fournir du contenu. Les inondations HTTP en sont un exemple courant.

Voici quelques exemples courants de types d'attaques DDoS spécifiques et leurs exemples concrets :

Attaque par réflexion CLDAP

Une attaque par reflection CLDAP est l'un des types d'attaques DDoS les plus courants et les plus mortels, l'impact des nouveaux exploits ayant été multiplié par 70 ces dernières années. 70 fois ces dernières années. L'attaque vise le protocole CLDAP (Connectionless Lightweight Directory Access Protocol), qui est une alternative au protocole LDAP (Lightweight Directory Access Protocol).

Dans cette attaque, l'attaquant utilise une adresse IP d'expéditeur usurpée de la victime pour lancer des requêtes vers un serveur LDAP vulnérable. Le serveur vulnérable répond alors à l'adresse IP de la victime par des réponses amplifiées, provoquant ainsi une attaque par réflexion. Il s'agit d'un type d'attaque volumétrique.

L'attaque DDoS d'AWS : 2020

En 2020, Amazon Web Services Inc. a révélé qu'elle a réussi à esquiver un déni de service distribué de 2,3 téraoctets par seconde, le plus grand coup porté dans l'histoire des attaques DDoS. Selon le rapport d'AWS, cette attaque était basée sur une attaque par réflexion CLDAP DDoS, orchestrée pour perturber les opérations de l'application ou du site web en inondant la cible d'un volume massif de requêtes.

Attaque DDoS de Memcached

Comme tout autre type d'attaque DDoS, une attaque DDoS Memcached est une attaque dans laquelle l'acteur de la menace submerge le serveur de la cible avec du trafic internet. 

Dans cette attaque, l'attaquant utilise une adresse IP usurpée pour exploiter un serveur memcached UDP vulnérable avec de petites requêtes pour obtenir des réponses amplifiées dirigées vers l'adresse IP de la victime, donnant l'impression que les requêtes proviennent de la victime elle-même. Il s'agit là d'un autre exemple d'attaque volumétrique par réflexion.

L'attaque DDoS de GitHub : 2018

En 2018, une attaque DDoS a ciblé GitHub, une plateforme de gestion de code en ligne utilisée par les développeurs du monde entier. L'attaque a mis les serveurs de GitHub en ébullition avec un trafic impressionnant de 1,2 Tbps de trafic, envoyé à un taux de 126,9 millions par seconde.. La source de l'attaque a été localisée dans plus d'un millier de systèmes autonomes distincts (ASN) répartis sur des dizaines de milliers de points d'extrémité individuels.

Attaque DDoS HTTPS

Une attaque par inondation HTTP, également connue sous le nom d'attaque DDoS de couche 7 (attaque de couche applicative), utilise une requête HTTP GET ou POST apparemment légitime pour peser sur un serveur ou une application. Au lieu d'envoyer de gros paquets, un attaquant envoie de nombreuses requêtes par le biais d'une connexion HTTP/HTTPS. Il en résulte une forte utilisation de l'unité centrale et de la mémoire sur l'hôte cible, car celui-ci doit traiter ces demandes avant de répondre, éventuellement par un message d'erreur indiquant que le serveur est trop occupé ou que la ressource n'est pas disponible. Ces types d'attaques DDoS s'appuient sur un botnet, c'est-à-dire un réseau d'ordinateurs compromis contrôlés par une seule entité. Comme l'attaquant utilise des requêtes URL standard, le trafic falsifié est presque impossible à distinguer du trafic valide. 

L'attaque de Google : 2022

Un exemple notable d'attaque DDoS par HTTPS est celle dont a été victime Google le 1er juin 2022. L'infrastructure et les services de Google ont été perturbés lorsque l'attaquant a utilisé plusieurs adresses pour générer plus de 46 millions de requêtes par seconde, soit 76 % de plus que le record précédemment signalé.

Attaque par inondation SYN

Une attaque par inondation SYN (un type d'attaque de protocole) est l'un des types d'attaques les plus courants sur votre réseau. Dans le cadre de cette attaque, un attaquant envoie un flot de paquets SYN (qui font partie de la poignée de main TCP) à votre serveur, souvent avec des adresses IP source usurpées. Le serveur répond par un paquet SYN-ACK à chaque demande SYN, en attendant le dernier paquet ACK qui n'arrive jamais de l'adresse usurpée. Cela laisse de nombreuses connexions semi-ouvertes, consommant les ressources du serveur jusqu'à ce qu'il ne puisse plus traiter les demandes légitimes.

Attaque par inondation UDP

Dans une attaque par inondation UDP (attaque volumétrique), l'attaquant envoie un grand nombre de paquets UDP (User Datagram Protocol) à des ports aléatoires du serveur cible. Le serveur tente de traiter ces paquets, en vérifiant si des applications écoutent sur ces ports. S'il n'en trouve aucune, il répond par un paquet ICMP "Destination inaccessible". Le simple volume de paquets UDP entrants et de réponses ICMP sortantes peut épuiser les ressources du serveur et la bande passante du réseau, entraînant une interruption de service.

Attaque des schtroumpfs

Une attaque Smurf (un type d'attaque volumétrique/de réflexion) utilise des demandes d'écho ICMP (pings) usurpées. L'attaquant envoie ces pings à l'adresse de diffusion d'un réseau, en utilisant l'adresse IP de la victime comme adresse IP source. Tous les appareils du réseau de diffusion répondent alors par des réponses ICMP echo à l'adresse usurpée de la victime. L'ordinateur cible est ainsi inondé de milliers de pings par seconde, ce qui risque de le submerger.

Attaque par ping de la mort

L'attaque Ping of Death (une attaque de protocole) est l'une des plus anciennes attaques DDoS qui exploite la fragmentation IP. Un attaquant envoie un paquet IP plus grand que la taille maximale autorisée (65 535 octets) en le fragmentant. Lorsque le système cible tente de réassembler le paquet surdimensionné, il peut provoquer des débordements de mémoire tampon et des pannes de système sur les systèmes anciens non corrigés. Bien que moins efficace aujourd'hui en raison d'une meilleure gestion des systèmes d'exploitation, le principe de l'exploitation des vulnérabilités des protocoles reste pertinent.

Protection contre les attaques par déni de service distribué 

La gravité et la fréquence des différents types d'attaques DDoS devenant des questions pressantes pour les organisations et leurs équipes de sécurité, il est crucial qu'elles adoptent une approche stratégique pour esquiver et atténuer l'impact de ces attaques malveillantes. L'adoption d'un plan de cybersécurité bien conçu permet non seulement aux entreprises de renforcer leur infrastructure réseau, mais aussi de préserver l'intégrité de leur site web ou de leur application. 

Voici quelques moyens de prévenir les attaques DDoS et de garantir à vos utilisateurs une expérience en ligne transparente :

Réduire l'exposition à la surface d'attaque

L'une des premières étapes pour assurer la résilience de l'infrastructure numérique consiste à limiter les points de vulnérabilité que les attaquants peuvent cibler. Protégez vos documents importants, vos applications, vos ports, vos protocoles, vos serveurs et autres points d'entrée potentiels. Pour ce faire, vous pouvez vous appuyer sur un pare-feu d'application web (WAF) ou un service CDN pour empêcher les acteurs de la menace d'accéder directement à vos ressources numériques hébergées sur le serveur ou l'application. Un CDN met en cache le contenu au niveau mondial et sert les requêtes, tandis qu'un WAF filtre les requêtes malveillantes. Vous devez également utiliser des répartiteurs de charge pour distribuer le trafic et protéger les serveurs web. Nettoyez régulièrement les sites web ou les applications en éliminant les services non pertinents ou les ports ouverts que les pirates pourraient exploiter.

Surveiller et analyser le trafic sur le réseau

Si vous remarquez des activités inhabituelles ou des anomalies dans le trafic de votre réseau, c'est le signe qu'il faut les analyser et y répondre rapidement. Un moyen efficace d'y parvenir est d'établir une base de référence ou un point de repère sur le comportement typique du réseau (analyse du trafic de référence). Tout ce qui s'écarte de manière significative de cette ligne de base peut indiquer une violation potentielle de la sécurité. Soyez attentifs aux signaux d'alerte tels qu'une mauvaise connectivité, des performances lentes, un trafic excessif vers un point d'accès spécifique, des pannes fréquentes ou des schémas de trafic inhabituels provenant d'une seule adresse IP ou d'un seul groupe d'adresses IP. Les attaques de faible volume et de courte durée peuvent également être dangereuses. Il est indispensable de procéder à une détection précoce grâce à un profilage continu du trafic et des paquets. Rechercher les communications avec des serveurs de commande et de contrôle (C&C) connus, utilisés par des réseaux de zombies. Il est essentiel de réagir en temps réel, par exemple en utilisant des systèmes de corrélation d'événements basés sur des règles qui détectent automatiquement les activités suspectes et y réagissent.

Assurer une sécurité robuste du réseau

Mettre en œuvre plusieurs couches de sécurité réseau pour détecter rapidement les attaques et en limiter l'impact. Utiliser des pare-feu et des systèmes de détection d'intrusion (IDS) pour filtrer le trafic. Utiliser des programmes antivirus et antimalware. Utiliser des outils pour empêcher l'usurpation d'adresse IP en vérifiant les adresses sources (par exemple, filtrage à l'entrée). S'assurer que tous les points d'extrémité du réseau (ordinateurs de bureau, ordinateurs portables, appareils mobiles) sont sécurisés, car ils sont souvent exploités. Envisager la segmentation du réseau pour diviser les systèmes en sous-réseaux, afin de limiter le rayon d'action en cas de compromission d'un segment. Limiter la diffusion sur le réseau peut également s'avérer utile ; restreindre ou désactiver le transfert de diffusion et désactiver les services inutiles tels que echo et chargen dans la mesure du possible.

Redondance des serveurs

L'utilisation de plusieurs serveurs distribués complique la tâche des attaquants qui veulent toucher tous les serveurs en même temps. Si un dispositif d'hébergement est attaqué, les autres peuvent rester opérationnels et prendre en charge la charge de trafic jusqu'à ce que le système ciblé se rétablisse. Héberger les serveurs dans des centres de données ou des installations de colocation géographiquement diversifiés afin d'éviter les goulets d'étranglement du réseau. Un réseau de diffusion de contenu (CDN) fournit également une redondance inhérente en distribuant le contenu sur de nombreux serveurs.

Passer à des solutions basées sur l'informatique en nuage et tirer parti des capacités des fournisseurs

Les solutions basées sur l'informatique en nuage garantissent non seulement une évolutivité transparente des ressources, mais elles sont aussi souvent plus sûres et plus fiables que les installations traditionnelles sur site. Les fournisseurs de services en nuage disposent généralement d'une largeur de bande beaucoup plus importante que les organisations individuelles, ce qui rend les attaques volumétriques plus difficiles à mener à bien. La nature distribuée de l'infrastructure en nuage réduit aussi intrinsèquement la vulnérabilité. En outre, les fournisseurs d'accès à Internet (FAI) et les fournisseurs de services en nuage jouent un rôle crucial. Les FAI peuvent bloquer le trafic malveillant en amont, surveiller les activités suspectes, fournir une bande passante à la demande pendant les attaques et distribuer le trafic d'attaque. De nombreux fournisseurs de services en nuage offrent des services spécialisés de protection contre les attaques DDoS, tirant parti de leur envergure et de leur expertise pour détecter et atténuer les attaques de manière efficace.

Mettre en place un plan d'intervention

Un plan d'intervention bien conçu est indispensable à toute organisation pour gérer efficacement les incidents, minimiser les dommages et assurer la continuité des activités en cas d'attaque. Plus votre infrastructure est complexe, plus le plan doit être détaillé. Votre plan d'intervention en cas d'attaque DDoS doit comprendre les éléments suivants :

  • Une liste de contrôle des systèmes
  • Une équipe d'intervention bien formée
  • Mesures/protocoles de détection et d'alerte
  • Stratégies d'atténuation complètes (comment activer les défenses, contacter les fournisseurs, etc.)
  • Plans de communication pour les parties prenantes internes et externes (y compris une liste des personnes à informer)
  • Procédures pour maintenir les activités de l'entreprise pendant une attaque
  • Une liste des systèmes critiques

Évaluer la vulnérabilité

L'évaluation des vulnérabilités permet aux organisations de passer systématiquement en revue et d'examiner les failles de leurs réseaux, systèmes et applications avant qu'un attaquant ne les exploite. Il s'agit notamment d'évaluer les réseaux et les réseaux sans fil, d'examiner les politiques et de vérifier si les applications web et le code source présentent des failles, souvent à l'aide d'outils de balayage automatisés. L'évaluation des risques, la production de rapports complets et le travail continu sur l'évaluation contribuent à une stratégie de cybersécurité solide et aident à assurer la continuité des opérations. Cette approche aide les organisations à atténuer les dangers des attaques DDoS et de leurs types.

Développer et mettre en pratique de bonnes habitudes en matière de cyber-hygiène

Votre équipe doit être formée aux bonnes pratiques d'hygiène cybernétique afin d'éviter que les systèmes ne soient compromis et potentiellement utilisés dans des réseaux de zombies. Il s'agit notamment de

  • Définissez des mots de passe forts et uniques (au moins 12 caractères avec des chiffres, des symboles, des lettres majuscules et minuscules) et changez-les régulièrement.
  • Évitez de partager et de réutiliser les mots de passe.
  • Utilisez l'authentification à deux facteurs (2FA) dans la mesure du possible pour ajouter une couche de sécurité supplémentaire.
  • Utiliser le chiffrement des ordinateurs portables, des tablettes, des smartphones, des disques externes et du stockage en nuage.
  • Maintenir les logiciels et les systèmes à jour avec les derniers correctifs de sécurité.

Les coûts des attaques DDoS

Les attaques DDoS sont de plus en plus longues, sophistiquées et importantes, ce qui augmente considérablement les coûts pour les entreprises. Selon une étude de l'institut Ponemon, le coût moyen par minute d'indisponibilité due à une attaque DDoS peut être considérable et atteindre 22 000 dollars. Les coûts exacts dépendent de facteurs tels que le secteur d'activité, la taille de l'entreprise, la durée de l'attaque et la réputation de la marque. Cependant, le coût réel va bien au-delà des pertes financières immédiates :

  • Coûts directs : Consommation de bande passante, dommages ou remplacement du matériel, frais de service d'atténuation.
  • Coûts juridiques : Poursuites judiciaires potentielles ou amendes réglementaires en cas de compromission de données sensibles ou de non-respect des accords sur les niveaux de service.
  • Pertes de propriété intellectuelle : Si l'attaque sert d'écran de fumée pour le vol de données.
  • Pertes de production et d'exploitation : Ventes perdues, baisse de la productivité, perte de clientèle due à l'indisponibilité du service.
  • Atteinte à la réputation : Perte de confiance de la part des clients, des partenaires et des investisseurs, ce qui peut avoir des effets durables.
  • Les pertes dues aux techniques de récupération : Le coût de la mise en œuvre et de la maintenance des centres d'épuration, du matériel spécialisé et des efforts de réponse aux incidents.

En bref 

Maintenant que vous savez que l'impact des attaques par déni de service distribué (DDoS) est beaucoup plus coûteux et perturbateur que jamais, il est essentiel de reconnaître l'urgence de la situation et de prendre des mesures proactives pour protéger l'identité de votre marque et maintenir des opérations commerciales sans faille. L'avenir des attaques DDoS par IP reste incertain, mais elles continueront à représenter une menace importante. Au fur et à mesure que la technologie progresse, les attaquants auront accès à des outils plus sophistiqués, ce qui rendra la défense de plus en plus difficile. C'est pourquoi les organisations doivent adopter une approche proactive de la cybersécurité. En adoptant des outils complets d'évaluation des vulnérabilités, des protocoles proactifs de réponse aux incidents, des outils de surveillance du réseau, la redondance des serveurs, une sécurité réseau robuste, des solutions en nuage et en encourageant une forte sensibilisation à la cybersécurité parmi les employés, votre organisation peut contrer l'augmentation sans précédent du trafic qui se manifeste sous la forme de différents types d'attaques DDoS.

Pour défendre vos actifs contre le piratage illégal et pour une protection globale contre les cyberattaques par courrier électronique, faites confiance aux experts de PowerDMARC. Grâce à nos connaissances approfondies et à notre vaste expérience, nous veillons à ce que vos actifs numériques restent sécurisés et à ce que vos opérations se déroulent sans heurts, même face à des adversaires. Pour en savoir plus sur nos solutions de cybersécurité, contactez-nous avec nous dès aujourd'hui !

Derniers messages de Ahona Rudra (voir tous)
Dernière mise à jour :
Attaques d'hameçonnage des cadres - Conseils pratiques et strat...Executive-Phishing - L'e-mail de votre PDG est-il un faux ?Rester à l'écart de l'hameçonnage - Défendre contre l'hameçonnage par les anglicistesRester à l'écart de l'hameçon : Se défendre contre l'hameçonnage des pêcheurs à la ligne