Qu'est-ce qu'une attaque DDoS QUIC Flood ?

Une attaque QUIC Flood est une attaque par déni de service distribué (DDoS) cherchant à submerger un serveur ciblé avec des données envoyées via le protocole QUIC. Comme elle utilise des ressources pour traiter de grands volumes de données QUIC, le serveur ciblé connaît des performances plus lentes et peut finir par planter. Les attaques QUIC Flood sont difficiles à atténuer car elles utilisent des paquets UDP, qui offrent très peu de détails pouvant être utilisés par le serveur ciblé pour bloquer l'attaque. Les attaques QUIC Flood cryptent également les données des paquets, ce qui rend difficile de déterminer la légitimité ou non d'un paquet.

Dans une attaque DDoS, un acteur malveillant tente de perturber ou de faire planter un serveur, un site Web ou un réseau en le submergeant d'importantes quantités de trafic indésirable ou illégitime. Pour ce faire, les attaquants utilisent un botnet, à savoir un ensemble de milliers ou de millions de terminaux ayant été infectés par des logiciels malveillants, ce qui leur permet de les contrôler. Lorsque des attaquants ordonnent à ces machines compromises d'envoyer d'énormes volumes de trafic vers un terminal ciblé, ce terminal finit par épuiser ses ressources ou par utiliser toutes ses connexions pour traiter le trafic malveillant ou y répondre. Par conséquent, le terminal peut planter ou connaître des performances plus lentes, ce qui l'empêche de répondre au trafic et aux utilisateurs légitimes.

QUIC est un nouveau protocole de transport crypté et orienté connexion développé par Google, conçu pour permettre des connexions Internet plus rapides et plus sécurisées. Il s'agit d'un potentiel remplaçant du protocole de transport TCP et des protocoles de cryptage TLS. Fondé sur le protocole UDP (User Datagram Protocol), QUIC est conçu comme un protocole de transport à faible latence pour les applications et les services nécessitant des connexions en ligne rapides. Pour permettre des connexions en ligne plus rapides, QUIC remplace la longue négociation TLS à trois voies (utilisée pour établir une connexion TLS) par une négociation unique. QUIC utilise le multiplexage pour envoyer plusieurs flux de données à la fois, ce qui réduit la latence due à la perte potentielle de données et la logique traditionnelle de requêtes et de réponses HTTP. QUIC crypte automatiquement toutes les données en intégrant le chiffrement TLS au processus de communication standard.

Le protocole QUIC est particulièrement vulnérable aux attaques DDoS utilisant la réflexion. Cette technique consiste à usurper l'adresse IP du serveur ciblé lors de la demande d'informations à partir de plusieurs serveurs. Lorsque les serveurs répondent, toutes les données sont transférées vers le système ciblé plutôt que vers les terminaux des attaquants. Dans une attaque par réflexion QUIC, les attaquants utilisent le message « hello », qui initie une connexion QUIC. Puisque le protocole QUIC combine le protocole de transport UDP et le cryptage TLS, le serveur ciblé doit inclure son certificat TLS dans sa réponse, ce qui entraîne une réponse initiale beaucoup plus volumineuse que le premier message de l'attaquant. Lorsque cela est multiplié sur de grands volumes de réponses, le serveur ciblé peut être submergé par de grandes quantités de données indésirables.

Les attaques QUIC Flood peuvent perturber considérablement les opérations commerciales, en particulier celles qui dépendent fortement des services et applications en ligne. Lorsqu'un serveur est submergé par un flot de données QUIC, cela peut entraîner un ralentissement des performances et même des plantages. Cela peut entraîner des interruptions pour les sites Web, les applications et les services en ligne, affectant à la fois la productivité et l'expérience client.

Par exemple, les plateformes de commerce électronique peuvent subir des interruptions dans leurs processus de transaction, entraînant des pertes de ventes et l'insatisfaction des clients. De même, les fournisseurs de services en ligne, tels que les plateformes de streaming ou les services logiciels basés sur le cloud, peuvent être confrontés à des interruptions de service qui affectent leur base d'utilisateurs et leur réputation.

Les secteurs qui dépendent fortement d'Internet pour leurs opérations sont les plus exposés aux attaques QUIC Flood. Il s'agit notamment des secteurs du commerce électronique, de la finance et des technologies. Les entreprises de commerce électronique sont particulièrement vulnérables, car leurs opérations se font entièrement en ligne. Une attaque QUIC Flood réussie peut entraîner des pertes financières importantes en raison de transactions interrompues et de ventes perdues.

Le secteur de la finance, y compris les services bancaires en ligne et les sociétés de technologie financière, représente un autre secteur à risque. Ces entreprises traitent des données sensibles de leurs clients et dépendent de la disponibilité 24 h/24, 7 j/7 de leurs services. Toute perturbation peut non seulement entraîner des pertes financières, mais également nuire à la confiance des clients.

Les attaques QUIC Flood peuvent être vues comme une forme d'attaque par amplification, où une entrée limitée est utilisée pour générer une importante sortie perturbatrice. Elles exploitent l'utilisation de l'UDP par le protocole QUIC, à la façon des protocoles DNS et ICMP, qui sont également sensibles aux attaques par amplification.

L'authentification joue un rôle crucial dans l'atténuation de ces attaques. En vérifiant la source du trafic, les entreprises peuvent filtrer les paquets malveillants. Cependant, le cryptage utilisé dans les attaques QUIC Flood rend cela difficile.

Les attaques DoS, y compris les attaques QUIC Flood, visent à submerger un système de trafic, le rendant indisponible. Les pare-feux peuvent aider à atténuer ces attaques en surveillant le trafic entrant et en bloquant les activités suspectes. Cependant, l'efficacité des pare-feux traditionnels est limitée en raison du chiffrement du trafic QUIC. Cela met en évidence la nécessité de mesures de sécurité avancées, telles que des services de mitigation DDoS, en mesure de gérer des attaques sophistiquées telles que les attaques QUIC Flood.

Les équipes de sécurité peuvent prévenir ou atténuer les attaques QUIC Flood en suivant les meilleures pratiques.

• Limitation du débit. Les mécanismes de limitation de débit peuvent limiter le nombre de paquets QUIC autorisés à partir d'une adresse IP source unique ou d'un sous-réseau spécifique.
• Taille minimale du message client initial. Définir une taille minimale pour le message « hello » initial exige que les attaquants utilisent des quantités importantes de bande passante pour envoyer de faux messages « hello », ce qui pourrait décourager les attaques.
• Services de lutte contre les attaques DDoS. Les équipes de sécurité peuvent faire appel à un service d'atténuation des attaques DDoS offrant diverses techniques d'atténuation de la détection tout en fournissant un accès à des réseaux suffisamment vastes pour absorber les attaques DDoS les plus importantes.

Akamai sécurise et fournit des expériences digitales pour les plus grandes entreprises du monde. En maintenant les décisions, les applications et les expériences au plus près des utilisateurs tout en éloignant les attaques et les menaces, nous permettons à nos clients et à leurs réseaux d'être rapides, intelligents et sécurisés.

Nos solutions de protection de bout en bout contre les attaques DoS et DDoS offrent une approche complète qui constitue la première ligne de défense. Grâce à des stratégies dédiées d'atténuation pour le réseau cloud, de DNS distribué et en bordure de l'Internet, nos technologies de protection contre les attaques DDoS empêchent les dommages collatéraux et les points de défaillance uniques afin de fournir à nos clients une résilience accrue, une capacité de nettoyage dédiée et une atténuation de meilleure qualité.

App & API Protector offre un ensemble complet de protections performantes et automatisées en fonction du client. Bien que cette solution propose certaines des fonctions d'automatisation sécurité des applications de la sécurité des applications les plus avancées sur le marché, elle reste simple à utiliser. Son nouveau moteur de sécurité adaptatif et ses technologies fondamentales de pointe garantissent une protection contre les attaques DDoS, la sécurité des API, une atténuation des attaques de bots et un Web Application Firewall efficace, sans complexité excessive. 

Prolexic bloque les attaques DDoS avec la défense la plus rapide et efficace à grande échelle. Offrant un accord de niveau de service (SLA) de protection immédiate contre les attaques DDoS, Prolexic réduit de manière proactive les services d'attaque et adapte les contrôles d'atténuation au trafic réseau pour bloquer les attaques instantanément. Un SOCC entièrement géré complète vos programmes de cybersécurité existants et vous aidera à réduire le délai de résolution grâce à des expériences éprouvées.

Edge DNS empêche les pannes DNS grâce à la plus grande plateforme en bordure de l'Internet, offrant aux entreprises l'assurance d'une disponibilité DNS garantie et permanente. Solution basée dans le cloud, Edge DNS garantit une disponibilité DNS 24 h/24, 7 j/7 tout en améliorant la réactivité et en protégeant contre les attaques DDoS les plus importantes.

• Qu'est-ce que la protection DoS ?
• Qu'est-ce qu'une attaque ICMP flood ?
• Qu'est-ce qu'une attaque DDoS Memcached ?
• Que sont les attaques DDoS SYN Flood ?
• Qu'est-ce qu'une attaque DDoS Slowloris ?
• Qu'est-ce qu'une attaque DDoS UDP Flood ?
• Qu'est-ce qu'une attaque DDoS au niveau de la couche applicative ?
• Qu'est-ce qu'une attaque par amplification DNS ?
• Qu'est-ce qu'une attaque DDoS SSDP ?
• Qu'est-ce qu'une attaque DDoS par réflexion CLDAP ?