Qu'est-ce qu'une attaque DDoS ?

Les quatre principaux types d'attaques sont les suivants :

• Les attaques au niveau de la couche application
• Les attaques de protocole
• Les attaques par réflexion/amplification DNS 
• Les attaques volumétriques

Les attaques DDoS au niveau de la couche applicative

Les attaques DDoS au niveau de la couche applicative (attaques DDoS de couche 7) ciblent des vulnérabilités spécifiques dans les applications Web afin d'empêcher l'application de fonctionner comme prévu. Ces attaques DDoS ciblent souvent les protocoles de communication impliqués dans l'échange de données entre deux applications sur Internet. Bien qu'elles soient difficiles à prévenir et à atténuer, elles font partie des attaques DDoS les plus faciles à lancer.

• Floods HTTP. Les attaques HTTP Flood exploitent le protocole Internet HTTP utilisé pour charger des pages Web ou envoyer du contenu sur Internet. Les attaques HTTP Flood provoquent le ralentissement ou la panne d'un serveur, d'un site ou d'une application Web en le submergeant d'un grand nombre de requêtes HTTP GET ou POST.
• Attaque de type « low-and-slow ». Une attaque de type « low-and-slow » est un type d'attaque par déni de service (DoS) conçue pour échapper à la détection en envoyant du trafic et des requêtes HTTP qui semblent légitimes à un rythme très lent. Les attaques de type « low-and-slow » nécessitent peu de bande passante et peuvent être lancées à partir d'un seul ordinateur ou avec un botnet. Le trafic d'une attaque de type « low-and-slow » est difficile à détecter car il semble s'agir d'un trafic de couche 7 légitime et son taux d'envoi ne déclenche pas d'alertes de sécurité.
• Slowloris. Une attaque DDoS Slowloris est conçue pour saturer un serveur Web en ouvrant et en maintenant de nombreuses connexions HTTP simultanées vers un serveur cible. Slowloris monopolise les ressources du serveur en envoyant des requêtes HTTP qui semblent plus lentes que d'habitude, mais ont l'apparence d'un trafic standard légitime. Les pirates tirent parti d'une caractéristique unique du protocole HTTP : la possibilité pour les clients de diviser les requêtes GET ou POST en plusieurs paquets. Une attaque Slowloris compromet un serveur Web ciblé en ouvrant plusieurs connexions et en les maintenant ouvertes le plus longtemps possible. Pour ce faire, il suffit d'envoyer des requêtes HTTP partielles qui ne sont jamais terminées.

Attaques DDoS de protocole

Les attaques de protocole ciblent les faiblesses et les vulnérabilités des protocoles de communication Internet dans les couches 3 et 4 du modèle OSI. Ces attaques tentent de consommer et d'épuiser la capacité de calcul de diverses ressources de l'infrastructure du réseau, comme les serveurs ou les pare-feu, en envoyant des demandes de connexion malveillantes qui exploitent les protocoles TCP (Transmission Control Protocol, protocole de contrôle de transmission) ou ICMP (Internet Control Message Protocol, protocole de messages de contrôle Internet).

• SYN flood. L'un des principaux moyens de se connecter aux applications Internet est le protocole TCP. Cette connexion nécessite une poignée de main à trois voies de la part d'un service TCP (comme un serveur Web) et implique l'envoi d'un paquet SYN (synchronisation) de l'endroit où l'utilisateur se connecte au serveur, qui renvoie ensuite un paquet SYN-ACK (accusé de réception de synchronisation), auquel on répond finalement par une communication ACK (accusé de réception) finale pour terminer l'établissement de liaison TCP. Lors d'une attaque SYN flood, un client malveillant envoie un grand nombre de paquets SYN (première partie de l'établissement de liaison habituel) mais n'envoie jamais l'accusé de réception pour terminer l'établissement de liaison. Le serveur attend alors une réponse à ces connexions TCP semi-ouvertes et finit par ne plus pouvoir accepter de nouvelles connexions pour les services qui suivent l'état des connexions. 
  
  Si nous devions utiliser ici l'analogie du covoiturage, pensez à une situation où des milliers, voire des centaines de milliers de fausses demandes sont faites à une société de covoiturage. Les taxis attendent que les passagers montent et que le trajet démarre, mais cela ne se produit jamais, ce qui finit par épuiser tous les taxis disponibles et rendre le service indisponible pour les trajets légitimes.

• Attaques DDoS Smurf (par rebond). Le nom de cette attaque DDoS repose sur le concept selon lequel des attaquants minuscules et nombreux peuvent submerger un adversaire beaucoup plus grand par leur volume, tout comme la colonie fictive de petits humanoïdes bleus qui lui a donné son nom (les « Smurfs » sont les Schtroumpfs en anglais). Dans une attaque DDos de type Smurf, un grand nombre de paquets ICMP dont l'adresse IP source est usurpée, sont diffusés sur un réseau informatique à l'aide d'une adresse de diffusion IP. Par défaut, la plupart des appareils d'un réseau répondent en envoyant une réponse à l'adresse IP source. En fonction du nombre de machines sur le réseau, l'ordinateur de la victime peut être ralenti par l'inondation de trafic.

Attaques DDoS par amplification/réflexion DNS

Les attaques par amplification/réflexion DNS ou système de nom de domaine sont un type spécifique de vecteur d'attaque DDoS volumétrique où les pirates usurpent l'adresse IP de leur cible pour envoyer de grandes quantités de requêtes à des serveurs DNS ouverts. En réponse, ces serveurs DNS répondent aux requêtes malveillantes par l'adresse IP usurpée, créant ainsi une attaque sur la cible visée par un flot de réponses DNS. Très rapidement, l'important volume de trafic créé par les réponses DNS submerge les services de l'organisation victime, les rendant indisponibles et empêchant le trafic légitime d'atteindre sa destination.

Pour expliquer ce type d'attaque à l'aide de l'analogie du covoiturage, imaginez que des centaines ou des milliers de demandes de covoiturage soient effectuées pour envoyer des taxis à l'adresse d'une victime. Ces taxis de covoiturage encombrent à présent les rues menant à la maison de la victime, empêchant les visiteurs légitimes d'atteindre l'adresse de l'individu. Cette analogie peut également être étendue pour expliquer les attaques DDoS volumétriques dans la section suivante. 

Attaques DDoS volumétriques

Les attaques DDoS basées sur le volume sont dirigées contre les couches 3 et 4 du modèle OSI, submergeant une cible d'un flux de trafic provenant de plusieurs sources et qui finit par consommer toute la bande passante disponible de la cible, entraînant son ralentissement ou son plantage. Les attaques volumétriques sont souvent utilisées pour détourner l'attention d'autres types d'attaques DDoS ou de cyberattaques plus dangereuses.

• UDP floods. Les UDP floodssont souvent choisis pour les attaques DDoS à large bande passante. Les attaquants tentent de submerger les ports de l'hôte ciblé avec des paquets IP contenant le protocole UDP sans état. L'hôte victime recherche alors les applications associées aux paquets UDP et, si elles ne sont pas trouvées, renvoie un message « Destination inaccessible » à l'expéditeur. Les adresses IP sont souvent usurpées pour rendre l'attaquant anonyme, et une fois que l'hôte ciblé est inondé de trafic d'attaque, le système ne répond plus et n'est plus disponible pour les utilisateurs légitimes.
• ICMP floods. Le protocole ICMP (Internet Control Message Protocol) est principalement utilisé pour la messagerie d'erreur et n'échange généralement pas de données entre les systèmes. Les paquets ICMP peuvent accompagner les paquets de protocole de contrôle de transmission (TCP, Transmission Control Protocol) qui permettent aux programmes d'application et aux terminaux informatiques d'échanger des messages sur un réseau, lors de la connexion à un serveur. Un ICMP flood est une méthode d'attaque DDoS d'infrastructure de couche 3 qui utilise des messages ICMP pour surcharger la bande passante du réseau ciblé.

Les organisations peuvent se protéger contre les attaques DDoS et limiter les perturbations qu'elles provoquent en mettant en place une stratégie DDos solide, des services d'atténuation des attaques DDoS supérieurs et des contrôles de cybersécurité avancés supérieurs.

Les solutions basées sur le cloud offrent une protection contre les attaques DDoS à haute capacité, hautes performances et permanente qui peut empêcher le trafic malveillant d'atteindre un site Web ou de perturber les communications avec les API Web, ce qui limite l'impact de l'attaque, tout en permettant au trafic normal de passer pour que les activités se poursuivent normalement.

Services de lutte contre les attaques DDoS

Face à des attaques en constante évolution, la protection contre les attaques DDoS par un prestataire de services de mitigation qui adopte une approche de défense en profondeur peut assurer la sécurité des organisations et des utilisateurs finaux. Un service de mitigation des attaques DDoS détectera et bloquera les attaques DDoS aussi rapidement que possible, idéalement en zéro ou quelques secondes à partir du moment où le trafic d'attaque atteint les centres de nettoyage du prestataire de mitigation. Étant donné que les vecteurs d'attaque ne cessent de changer et que la taille des attaques ne cesse de croître, pour obtenir la meilleure protection contre les attaques DDoS, un prestataire doit continuellement investir dans sa capacité de défense. Pour faire face à des attaques complexes et de grande ampleur, il faut disposer des technologies adéquates pour détecter le trafic malveillant et mettre en place des contre-mesures défensives robustes afin d'atténuer rapidement les attaques.

Les prestataires de services de mitigation des attaques DDoS filtrent le trafic d'attaque pour l'empêcher d'atteindre l'actif ciblé. Le trafic d'attaque est bloqué par un service de protection Web basé sur un réseau de diffusion de contenu (CDN), un service de nettoyage DDoS ou un service DNS basé sur le cloud.

• Défenses DDos basées sur un réseau de diffusion de contenu (CDN). Un réseau de diffusion de contenu (CDN) avancé correctement configuré peut contribuer à la défense contre les attaques DDoS. Lorsqu'un prestataire de services de protection de sites Web utilise son CDN pour accélérer spécifiquement le trafic utilisant les protocoles HTTP et HTTPS, toutes les attaques DDoS ciblant cette URL peuvent alors être abandonnées en bordure de réseau. Cela signifie que les attaques DDoS des couches 3 et 4 sont instantanément atténuées, car ce type de trafic n'est pas destiné aux ports Web 80 et 443. En tant que proxy basé sur le cloud, le réseau se place devant l'infrastructure informatique du client et achemine le trafic des utilisateurs finaux vers les sites Web et les applications. Comme ces solutions fonctionnent en ligne, les actifs orientés vers le Web sont protégés à tout moment contre les attaques DDoS au niveau du réseau, sans interaction humaine.
• Nettoyage dans le cloud d'une attaque DDoS. Le nettoyage DDoS peut assurer le bon fonctionnement de votre service ou de votre activité en ligne, même pendant une attaque. Un service de nettoyage basé sur le cloud peut rapidement atténuer les attaques qui ciblent les actifs non Web, comme l'infrastructure réseau, de manière évolutive. Contrairement à la mitigation basée sur le réseau de diffusion de contenu (CDN), un service de nettoyage DDoS peut protéger tous les ports, protocoles et applications du centre de données, y compris les services Web et IP. Les entreprises dirigent le trafic de leur réseau vers l'infrastructure de nettoyage du prestataire de services de mitigation de deux manières : via un changement d'annonce de route BGP (Border Gateway Protocol) ou une redirection DNS (enregistrement A ou CNAME). Le trafic est surveillé et inspecté pour détecter toute activité malveillante, et des mesures de mitigation sont appliquées lorsque des attaques DDoS sont identifiées. En général, ce service peut être disponible à la fois dans des configurations à la demande et en permanence, en fonction de la posture de sécurité préférée de l'entreprise, bien que de plus en plus d'entreprises s'orientent vers un modèle de déploiement en permanence pour obtenir la réponse défensive la plus rapide.
• Web Application Firewall. Pour une défense spécifique à la couche application, les entreprises devraient déployer un Web Application Firewall (WAF) pour lutter contre les attaques avancées, y compris certains types d'attaques DDoS comme les requêtes http, HTTP GET et les floods HTTP POST, qui visent à perturber les processus d'application de la couche 7 du modèle OSI.
• Protection contre les attaques DDoS sur site. La protection contre les attaques DDoS sur site ou sur le réseau implique des équipements physiques et/ou virtuels qui résident dans le centre de données d'une entreprise et s'intègrent à ses routeurs périphériques pour bloquer les attaques DDoS malveillantes à la périphérie de son réseau. Cela s'avère particulièrement utile lorsque les cybercriminels utilisent des attaques « low-and-slow » ou « small-and-fast » conçues pour éviter d'être détectées. En outre, la protection contre les attaques DDoS sur site permet aux entreprises d'éviter les coûts opérationnels liés au réacheminement du trafic vers un centre de nettoyage dans le cloud lorsqu'elles ne sont pas la cible d'attaques volumétriques. La protection contre les attaques DDoS sur site est également utile aux entreprises qui ont besoin d'une latence ultra-faible pour leur trafic réseau. Parmi les exemples de ce type de cas d'utilisation figurent les entreprises qui fournissent des plateformes de conférence vocale et vidéo, des services multimédias et des plateformes de jeux, ou d'autres services qui ont des exigences de latence en temps quasi réel. 
• Protection contre les attaques DDoS hybrides. Une solution de protection contre les attaques DDos hybride combine les capacités et les avantages d'une protection DDoS sur site et dans le cloud. Une solution DDoS hybride protège l'infrastructure réseau d'un client contre la grande majorité des petites attaques grâce à des équipements sur site ou sur le réseau, mais utilise l'évolutivité et la capacité d'un centre de nettoyage dans le cloud comme sauvegarde pour les attaques volumétriques de grande envergure.
• Signalement dans le cloud. Le signalement dans le cloud est un terme de l'industrie qui indique que les équipements sur site transfèrent automatiquement l'empreinte de l'attaque, la signature et d'autres informations pertinentes aux centres de nettoyage dans le cloud lorsqu'une redirection de ce type devient nécessaire pour protéger de manière optimale les actifs et l'infrastructure réseau d'un client contre une attaque DDoS.

Avantages d'un service de lutte contre les attaques DDoS

Pendant la mitigation, votre prestataire de protection DDoS déploie une série de contre-mesures visant à arrêter et à diminuer l'impact d'une attaque par déni de service distribué. Les attaques actuelles devenant plus sophistiquées, la protection par mitigation des attaques DDoS basée sur le cloud permet d'assurer une défense en profondeur à l'échelle, en maintenant l'infrastructure dorsale et les services Internet disponibles et fonctionnant de manière optimale.

Grâce aux services de protection contre les attaques DDoS, les entreprises peuvent :

• Réduire la surface d'attaque et les risques commerciaux associés aux attaques DDoS
• Éviter les interruptions de service ayant un impact sur l'entreprise
• Éviter la mise hors ligne de pages Web
• Accélérer la réponse à un événement DDoS et optimiser les ressources de réponse aux incidents
• Réduire le temps nécessaire à la compréhension et à l'investigation d'une interruption de service
• Éviter toute baisse de productivité des employés
• Déployer plus rapidement des contre-mesures de défense contre une attaque DDoS
• Éviter de nuire à la réputation de la marque et aux résultats financiers
• Maintenir le temps de fonctionnement et les performances des applications sur l'ensemble du parc numérique
• Limiter les coûts associés à la sécurité du Web
• Se défendre contre l'extorsion, les ransomwareset autres nouvelles menaces en constante évolution

Akamai fournit des services de lutte et de défense DDoS en profondeur grâce à un maillage transparent de défenses dédiées en bordure de l'Internet, de DNS distribués et de nettoyage dans le cloud. Ces services cloud spécialement conçus sont destinés à renforcer les postures de sécurité DDoS et réseau tout en réduisant les surfaces d'attaque, en améliorant la qualité de la mitigation et en réduisant les faux positifs, tout en augmentant la résilience contre les attaques les plus importantes et les plus complexes. En outre, ces solutions peuvent être adaptées aux besoins spécifiques de vos applications Web et de vos services en ligne.

• Défense en bordure de l'Internet avec l'App & API Protector. App & API Protector d'Akamai est une solution unique qui réunit des technologies de pare-feu d'applications Web, d'atténuation des bots, de sécurité d'API et de protection DDoS de couche 7. Elle identifie rapidement les vulnérabilités et atténue les menaces observées sur l'ensemble de vos domaines Web et d'API. Et pour une fois, les architectures distribuées les plus complexes ne sont pas laissées de côté. Reconnue comme la solution incontournable de détection des attaques, la solution App & API Protector est facile à mettre en œuvre et à utiliser. Elle propose des mises à jour automatiques pour les protections de sécurité et offre une visibilité globale du trafic et des attaques.
• Défense du DNS avec Edge DNS. Le service DNS de référence d'Akamai, Edge DNS,filtre également le trafic en bordure de l'Internet. Contrairement aux autres solutions DNS, Akamai a spécifiquement conçu Edge DNS dans une optique de disponibilité et de résilience face aux attaques DDoS. Edge DNS offre des performances supérieures, avec des redondances architecturales à plusieurs niveaux, notamment les serveurs de noms, les points de présence, les réseaux et même les clouds IP anycast segmentés.
• Protection complète contre les attaques DDos avec Prolexic. Akamai Prolexic se décline en trois options : sur site, dans le cloud et hybride. Il offre une protection complète contre les attaques DDoS aux centres de données et infrastructures hybrides d'un client, sur tous les ports et protocoles. Qu'il s'agisse d'une solution autonome ou d'une sauvegarde hybride vers Prolexic On-Prem, la protection contre les attaques DDoS dans le cloud de Prolexic est alimentée par plus de 36 centres de nettoyage dans le cloud répartis dans 32 centres métropolitains mondiaux, offrant plus de 20 Tbit/s de défense DDoS dédiée. Cette capacité est conçue pour maintenir la disponibilité des actifs en ligne, une pierre angulaire de tout programme de sécurité de l'information. En tant que service entièrement géré, Prolexic permet de développer des modèles de sécurité positifs et négatifs. Le service combine des défenses automatisées avec une mitigation experte de l'équipe mondiale d'Akamai, composée de plus de 225 intervenants SOCC de première ligne. Prolexic propose également un accord de niveau de service (SLA) de mitigation à zéro seconde, à la pointe du secteur, via des contrôles défensifs proactifs, afin de maintenir la protection et la haute disponibilité de l'infrastructure du centre de données et des services basés sur Internet.

• Qu'est-ce que la protection DoS ?
• Qu'est-ce qu'une attaque ICMP flood ?
• Qu'est-ce qu'une attaque DDoS Memcached ?
• Que sont les attaques DDoS SYN Flood ?
• Qu'est-ce qu'une attaque DDoS Slowloris ?
• Qu'est-ce qu'une attaque DDoS UDP Flood ?
• Qu'est-ce qu'une attaque DDoS au niveau de la couche applicative ?
• Qu'est-ce qu'une attaque par amplification DNS ?
• Qu'est-ce qu'une attaque DDoS SSDP ?
• Qu'est-ce qu'une attaque DDoS par réflexion CLDAP ?