Comment fonctionnent les attaques DDoS

‍

Une attaque DDoS commence par botnet. Un botnet est un réseau d'ordinateurs infectés par des logiciels malveillants conçus pour des attaques DDoS et d'autres utilisations malveillantes. Les utilisateurs peuvent être incités à télécharger le logiciel infecté par le biais d'e-mails de phishing, de sites Web infectés et même de réseaux sociaux en profitant d'exploits connus dans les logiciels et les systèmes d'exploitation.

Une fois ces ordinateurs infectés, le botnet « wrangler » peut contrôler toutes ces machines à distance à l'insu de l'utilisateur à partir d'une seule application. Une fois que le botnet a atteint une taille suffisante, le réseau peut être utilisé pour lancer une attaque contre n'importe quelle cible.

Une fois qu'un botnet est prêt, l'attaquant peut envoyer une commande de démarrage qui permettra à chaque machine du botnet d'envoyer un flot de requêtes à la cible visée. Si l'attaque dépasse les défenses, elle peut rapidement prendre le dessus sur la plupart des systèmes, provoquant des pannes de service et éventuellement des serveurs en panne.

De nombreux attaquants qui ont créé des botnets proposent leurs services à un prix sur les places de marché en ligne et sur le darknet, ce qui permet à quiconque de lancer une attaque DDoS.

Types d'attaques DDoS

Les attaques DDoS se présentent sous de nombreuses formes, en fonction de ce que l'attaquant essaie de faire. Les attaques basées sur les volumes, les attaques de protocole et les attaques de couche application sont trois catégories principales.

‍

Attaque basée sur le volume

Ce type d'attaque tente d'utiliser toute la bande passante disponible entre la cible et Internet. Cela se fait notamment par amplification, qui consiste à inonder un serveur DNS d'une adresse IP usurpée (l'adresse IP de la cible), ce qui déclenche des réponses DNS beaucoup plus importantes à la cible. Les protocoles SNMP et NTP sont également utilisés dans les attaques basées sur les volumes. À terme, les réponses reçues par la cible obstrueront le réseau et bloqueront le trafic entrant.

‍

Attaque de protocole

Les attaques de protocole perturbent un service en épuisant les ressources des équipements réseau tels que les équilibreurs de charge et les pare-feux. Ces attaques ciblent les couches réseau et liaison de données de la pile de protocoles. Un type d'attaque de protocole est appelé SYN flood. Ce type d'attaque utilise le handshake TCP pour inonder un réseau. Le botnet envoie à la cible une quantité massive de paquets SYN de demande de connexion initiale TCP en utilisant des adresses IP falsifiées. Les ressources de la machine cible sont épuisées, attendant la dernière étape de toutes ces requêtes qui n'arriveront jamais.

‍

Attaque de la couche applicative

Ce type d'attaque DDoS cible les applications qui s'exécutent sur votre réseau, en particulier les applications Web qui répondent à des requêtes HTTP. Les requêtes HTTP sont légères pour un client mais peuvent nécessiter de nombreuses ressources de la part du serveur pour générer la réponse. Une requête peut impliquer l'exécution de code, plusieurs demandes d'images et des requêtes de base de données. Un botnet utilisant une attaque de couche applicative peut arrêter un serveur en accédant simplement à la même page Web depuis chacun de ses nœuds en même temps.

‍

Symptômes d'une attaque DDoS

L'un des symptômes d'une attaque DDoS est un site ou un service qui, de toute évidence, est devenu lent ou ne répond plus, mais tous les sites lents ne sont pas attaqués. Les pics de trafic et les problèmes légitimes des serveurs peuvent entraîner le même type de non-réponse.

Pour déterminer si vous êtes victime d'une attaque DDoS, vous devrez approfondir vos recherches à l'aide d'outils d'analyse du trafic afin de déterminer quel type de trafic vous recevez, d'où il vient et où il va. Voici quelques signes d'une attaque DDoS :

• Des volumes anormaux de trafic provenant d'une seule adresse IP ou d'une plage d'adresses
• Des pics de trafic étranges qui se produisent à des moments étranges de la journée, pendant une durée limitée, ou qui suivent un schéma
• Un afflux soudain de trafic vers une seule page Web ou un seul service
• Un afflux de trafic provenant d'utilisateurs ayant un profil similaire, comme la géolocalisation, la version du navigateur ou le type d'appareil

‍

Prévenir les attaques DDoS

Protéger un réseau contre une attaque DDoS n'est pas la tâche la plus simple. Ce n'est pas comme les logiciels malveillants ou les virus que vous pouvez supprimer des systèmes infectés. Les attaques DDoS proviennent de l'extérieur d'un réseau et peuvent sembler être du trafic normal jusqu'à ce que vous examiniez les détails. Il est important d'agir rapidement une fois qu'une attaque DDoS est détectée, car ce type d'attaque peut entraîner la fermeture d'un site Web ou d'un service en quelques minutes.

‍

Sécurisez votre routeur

Votre routeur est la passerelle d'entrée et de sortie de votre réseau. Si les robots d'un botnet ne peuvent pas passer par le routeur, ils ne peuvent affecter aucun des services qu'il contient. Il s'agit de votre première ligne de défense et doit être configuré pour filtrer le trafic par priorité et bloquer toute donnée ou tout trafic menaçant.

‍

Appareils IoT sécurisés

De nombreuses personnes qui sécurisent leurs ordinateurs portables et leurs téléphones n'hésitent pas à laisser le mot de passe par défaut sur leurs appareils IoT. De nombreux appareils IoT exécutent des systèmes d'exploitation Linux complets qui peuvent être ciblés et ont été ciblés par des malwares qui en feront un bot dans un botnet. C'est pour cette raison qu'ils constituent une cible privilégiée. La sécurisation de vos appareils IoT à l'aide d'un mot de passe sécurisé les empêchera de devenir un autre bot d'un botnet.

‍

Utilisez l'apprentissage automatique

La détection d'une attaque DDoS implique une analyse du trafic. Il est possible de le faire manuellement, mais la technologie d'apprentissage automatique permet de détecter rapidement le trafic malveillant. Le trafic peut être analysé en temps réel à la recherche de modèles et d'anomalies DDoS connus, et tout trafic suspect peut être bloqué avant qu'il ne ralentisse un service ou un site Web.

‍

Conclusion

Une attaque par déni de service distribué ou DDoS est une tentative de bloquer l'accès à un site Web ou à un service en l'inondant de requêtes visant à surcharger le système. Les attaquants y parviennent en infectant une armée de machines avec des malwares qu'ils peuvent utiliser pour cibler le site ou le service de leur choix. Le dépannage et la prévention des attaques DDoS ne sont pas simples et impliquent d'analyser le trafic pour détecter les anomalies, mais avec les bons outils, les attaques DDoS peuvent être marginalisées ou empêchées.