Pixel IT > Blog > Entreprise > Protection contre les attaques DDoS: comment cela fonctionne
ddos
Entreprise Sécurité

Protection contre les attaques DDoS: comment cela fonctionne

by 28 novembre 2023

La fréquence des attaques DDoS connaît une augmentation spectaculaire: non seulement leur nombre augmente, mais aussi leur puissance et leur complexité. Ces attaques deviennent plus puissantes et sophistiquées , et les algorithmes qu’elles emploient ciblent une variété toujours plus large de vecteurs. Pour les entreprises qui s’appuient fortement sur les services informatiques et la digitalisation, cette escalade des menaces représente un défi majeur. En conséquence, il devient essentiel pour les professionnels de la cybersécurité d’élargir et de renforcer leurs compétences pour faire face à cette nouvelle réalité.

Dans cet article, nous proposons une vue d’ensemble sur les attaques DDoS et nous vous guidons sur la façon de mettre en place une défense efficace pour réduire la vulnérabilité de votre infrastructure informatique.

Connaître l’ennemi en face : qu’est-ce qu’une attaque DDoS ?

DDoS (Distributed Denial of Service), ou en français « Attaque par Déni de Service Distribué », est une cyberattaque visant à perturber le fonctionnement d’un système informatique ou de ses composants individuels. Cela est réalisé en surchargeant les ressources allouées et les capacités par l’envoi d’un flux massif de requêtes.

Par exemple, une attaque DDoS peut viser à :

  1. Épuiser les ressources informatiques d’un serveur ;
  2. Saturer entièrement la bande passante internet allouée ;
  3. Provoquer un dépassement de la limite des connexions simultanées et des sessions utilisateur dans les applications.

La cible d’une telle cyberattaque peut être n’importe quel système informatique : un site web, une application, un serveur, et même la téléphonie IP, qui peut être surchargée par un flot d’appels fictifs.

Il est important de souligner que la défaillance d’un site, d’une application ou d’un service en raison d’une surcharge n’indique pas forcément une cyberattaque délibérée. L’effet Slashdot, également appelé effet Habrahabr, se réfère à un arrêt causé par une augmentation soudaine et inattendue du trafic organique. Cela peut arriver lorsque le nombre réel d’utilisateurs excède les prévisions, surpassant les capacités disponibles. Par exemple, imaginez le lancement d’une application conçue pour 1000 utilisateurs, mais suite à une campagne marketing non coordonnée, 10 000 nouveaux utilisateurs se connectent simultanément, provoquant sans le vouloir une surcharge qui paralyse le système.

« Quatre cibles » : les principaux objectifs des attaques DDoS

Le principal moyen de division de tous les composants et cycles de transmission de données est le modèle OSI (Open System Interconnection). Il se compose de sept niveaux (Layers), couvrant tous les principaux types de communication.

Cependant, le modèle OSI, en ce qui concerne le réseau « Internet », est plutôt théorique. En pratique, c’est le modèle TCP/IP qui est utilisé, car il reflète plus précisément le fonctionnement du réseau « Internet » du point de vue des applications en lien avec les protocoles réseau utilisés. Ce modèle implique également une division en niveaux, mais seulement en quatre.

  1. Le niveau d’accès au réseau (L1-L2 dans le modèle OSI) décrit comment les paquets de données sont transmis au niveau physique et définit la manière dont les dispositifs échangent des informations. Ce premier niveau décrit également le médium de transmission des données (type de câble ou de canal) et le principe de transmission des données (par exemple, modulation, amplitude et fréquence des signaux, temps d’attente de réponse et autres paramètres). L’objectif principal des attaques sur l’infrastructure est de perturber le fonctionnement normal des routeurs, des pare-feu, et d’autres équipements de service ou intermédiaires.
  2. Le niveau réseau (L3 dans le modèle OSI) est responsable de la création d’un réseau global à partir de multiples réseaux locaux. En même temps, il gère l’adressage des hôtes, l’encapsulation des paquets et les fonctions de routage. Les principaux protocoles du niveau réseau sont IP, ARP, ICMP, IGMP. L’objectif principal des attaques sur le L3 est d’épuiser la capacité de transmission à tous les niveaux et étapes. En fait, le L3 est une cible facile pour les cybercriminels, car pour organiser une attaque DDoS, il n’est même pas nécessaire d’établir une connexion TCP avec les ressources attaquées.
  3. Le niveau de transport (L4 dans le modèle OSI) est responsable de fournir au niveau applicatif des services de communication de session et de datagrammes. Les principaux protocoles du niveau de transport sont TCP et UDP, qui, grâce à l’utilisation de ports, permettent la transmission multiplexée de données entre deux adresses. TCP assure également une transmission fiable et stable de données de différents volumes.Souvent, les attaques sur le L4 affectent différents cycles de connexion TCP, qui possèdent des « goulots d’étranglement » vulnérables tels que les algorithmes d’établissement et de fermeture de la connexion TCP. Par exemple, dans les cyberattaques sur L4, des techniques telles que SYN Flood, ACK Flood, TCP Connection Flood peuvent être utilisées.
  4. Le niveau d’application (L7 dans le modèle OSI) est responsable de la création de paquets de données, de la fourniture d’accès aux données et des protocoles utilisateurs. En fait, c’est au niveau de l’application que la livraison des données à l’utilisateur se produit. Les principaux protocoles du niveau d’application sont FTP, HTTP, POP3, SMTP, IMAP, DNS. Les attaques sur le L7 ciblent spécifiquement l’application et ses vulnérabilités. Elles peuvent impliquer non seulement HTTP, mais aussi, par exemple, HTTPS, DNS, VoIP, SMTP, FTP. Actuellement, les attaques au niveau de l’application deviennent plus fréquentes — leur proportion dans le volume des attaques DDoS augmente constamment. Le danger de ces cyberattaques réside non seulement dans la complexité de leur parage, mais aussi dans le fait qu’elles sont souvent complexes, incluant :

des attaques lentes de faible volume (Low and Slow) ;

des attaques utilisant des masses de requêtes « poubelles » arbitraires ;

des attaques qui imitent le comportement de vrais utilisateurs.

Les attaques DDoS peuvent être menées à chacun de ces niveaux.

Variétés et types de protection contre les DDoS

Les mesures de lutte contre les cyberattaques se divisent en trois catégories principales :

  1. Par Type :
    • Solutions On-Premise : Déployées sur le matériel du client, elles garantissent une intégration flexible dans l’infrastructure informatique existante. Ces solutions permettent une configuration de protection approfondie et sur mesure. Toutefois, elles nécessitent une équipe de spécialistes dédiée et des ressources conséquentes.
    • Solutions dans le Cloud : Elles offrent des fonctionnalités similaires aux solutions locales, avec la particularité que les ressources Anti DDoS sont partagées entre tous les utilisateurs du cloud. Ces solutions, moins coûteuses, proposent en plus de la protection standard, une protection des sites web contre les attaques de bots, ainsi qu’un support technique pendant les attaques DDoS. Leur inconvénient principal est une latence plus élevée.
    • Options Hybrides : Combinant les avantages des solutions On-Premise et Cloud, elles offrent une protection fiable à un coût modéré.
  2. Par Niveau de Protection :
    • Protection L3 et L4 : Cette stratégie vise principalement à filtrer le flood de paquets au niveau des couches de transport et réseau.
    • Protection L3–L7 : L’objectif ici est de se prémunir contre le flood de paquets aussi bien au niveau réseau qu’au niveau applicatif.
    • Protection contre les inondations de données (flood) et les attaques DDoS sophistiquées aux niveaux L3 à L7 : Cette stratégie vise à renforcer la sécurité des composantes les plus exigeantes en ressources des applications, en s’appuyant notamment sur l’utilisation de pare-feu.
  3. Par Format de Connexion :
    • Protection Symétrique : Elle filtre à la fois le trafic entrant et sortant, offrant une vision complète du trafic et permettant ainsi de détecter efficacement les menaces.
    • Protection Asymétrique : Axée uniquement sur le trafic entrant, cette méthode est idéale pour protéger les réseaux des fournisseurs lorsque le filtrage du trafic sortant n’est pas viable.

Ces différentes approches permettent une protection adaptée à divers contextes et exigences, assurant ainsi une défense efficace contre les cyberattaques DDoS.

Que faire pour la protection

  1. Restreignez l’accès aux information: Minimiser l’accès des attaquants à des informations confidentielles rendra plus difficile pour eux de comprendre votre architecture et vos protocoles, de découvrir des vulnérabilités, de cibler leurs attaques et d’évaluer les dommages potentiels. Limiter la divulgation d’informations peut amener l’attaquant à opter pour plusieurs petites attaques DDoS plutôt qu’une grande attaque, diminuant ainsi les risques et facilitant la détection d’activités suspectes.
  2. Communiquez clairement avec votre fournisseur de sécurité informatique : Que ce soit un service interne ou un fournisseur externe, il est essentiel qu’ils aient une compréhension détaillée de l’architecture de vos systèmes, des interactions entre vos services, des protocoles utilisés et des services impliqués. Ces détails les aideront à établir une protection sur mesure et efficace pour votre environnement informatique.
  3. Augmentez les capacités de votre infrastructure IT : Prévoyez des capacités excédentaires et une marge de performance pour garantir une opération stable, même avec une augmentation mineure de la charge ou du trafic. Reconnaître la nécessité de ce surplus est crucial, car même les meilleures mesures anti-DDoS ne filtrent pas toujours 100% du trafic illégitime. En cas de parage d’une attaque conséquente, une légère surcharge sur vos services est envisageable, et sans cette marge, les conséquences pourraient être graves.
  4. Identifiez les interdépendances et les points faibles : Les vulnérabilités se situent souvent aux endroits où l’interaction entre les composants du système est la plus faible. Mettez en place des plans d’urgence pour ces points. Par exemple, si votre site web est connecté à une application mobile qui requiert des données, assurez-vous que l’application puisse fonctionner au moins partiellement si le site est indisponible suite à une attaque DDoS.

Le Cloud est-il sécurisé ?

En termes de protection contre les attaques DDoS, la migration vers le cloud offre la possibilité de surmonter en partie les problèmes. Cela est principalement dû à la spécificité de l’interaction entre le fournisseur de cloud et le client, où le fournisseur est responsable de la sécurité de l’infrastructure physique et des réseaux, du contour externe de protection des services et d’autres mesures. De plus, en cas de travail dans le cloud, c’est le fournisseur qui bloque les requêtes suspectes, redistribue la charge, connecte les canaux de secours, alloue des ressources supplémentaires, etc.

En outre, divers outils de protection auxiliaires peuvent être déployés dans le cloud.

  • Équilibreur de charge : Cet outil permet de répartir le trafic entrant entre les serveurs, offrant ainsi une évolutivité et une résilience aux applications fonctionnant sur des machines virtuelles choisies. Cela réduit la charge sur chaque instance individuelle et élimine un point de défaillance unique.
  • CDN (Content Delivery Network) : Grâce à l’utilisation de réseaux de distribution de contenu, les données sont transmises de manière distribuée, ce qui réduit la charge sur le serveur et diminue les latences. Ainsi, le serveur peut gérer plus facilement une augmentation des requêtes sortantes provoquées par une attaque DDoS.
  • Services Anti-DDoS complexes : Les fournisseurs de cloud offrent des services de protection complets qui utilisent de nombreuses technologies de sécurité et permettent de résister aux attaques DDoS à différents niveaux.
  • WAF (Web Application Firewall) : Cet outil peut filtrer le trafic réseau, protéger les applications contre les attaques et les intrusions, scanner les composants pour détecter d’éventuelles vulnérabilités, et également contrôler les requêtes réseau via les protocoles HTTP ou HTTPS.

Résumons

Les attaques DDoS (Distributed Denial of Service) sont des attaques provenant de nombreux appareils visant à surcharger un système informatique pour le mener à l’échec, créant ainsi des conditions où les utilisateurs réels ne peuvent pas accéder aux sites web, applications, services et serveurs. Les attaques DDoS ciblent différents niveaux des systèmes d’information avec des algorithmes variés et exploitent différentes vulnérabilités. En conséquence, la protection doit être globale – il n’y a pas de mesures excessives en matière de cyber-résilience.

Dans le cloud, il est plus facile de protéger les services et les applications car le fournisseur assure la majorité des mesures de sécurité : il bloque les activités suspectes, identifie les modèles dangereux, redistribue la charge, connecte des canaux de secours et échelonne les ressources.

Tags:
Share via
Call Now Button
Send this to a friend