Qu'est-ce qu'une attaque par déni de service distribué (DDoS) et quel danger représente-t-elle pour le serveur ?

5

0

Lire 13 min.

De plus en plus de rapports sont publiés sur les activités des pirates informatiques et les tentatives de piratage de logiciels. Les attaques DDoS sont souvent mentionnées dans ces rapports. Malheureusement, elles sont souvent mentionnées sans expliquer ce que sont les attaques DDoS et comment elles peuvent nuire aux serveurs.

Dans cet article, nous verrons ce que sont exactement les attaques DDoS et pourquoi elles ont constitué jusqu'à présent une préoccupation majeure pour les professionnels de la sécurité sur Internet. En outre, vous apprendrez comment fonctionnent les attaques DDoS et comment les arrêter.

Qu'est-ce qu'une attaque DDoS ?

Le terme "attaque DDoS" vient de l'abréviation "Distributed Denial of Service", qui signifie "attaque par déni de service distribué". L'objectif d'une attaque DDoS est de perturber le fonctionnement normal d'un serveur, d'un service ou d'un réseau local. L'objectif principal d'une telle attaque est de faire échouer votre service ou de rendre l'accès à votre service difficile pour les utilisateurs réguliers. Pour ce faire, un flot de trafic Internet est généré, ce qui est trop important pour un système informatique normal.

Le trafic d'attaque est généré par plusieurs ordinateurs, réseaux locaux et appareils IoT. Les actions malveillantes d'un individu ou d'un groupe génèrent de nombreuses requêtes vers le système attaqué, ce qui permet aux attaquants d'obtenir un accès non autorisé à des informations précieuses. Il peut s'agir d'une base de données sensible, d'un code de programme ou d'une version de logiciel.

Dans la vie de tous les jours, une attaque DDoS est comparable à un embouteillage causé par de nombreux véhicules. Les automobilistes ordinaires ne peuvent donc pas se rendre à leur destination.

Comment se déroule une attaque par déni de service distribué ?

Seuls les systèmes informatiques disposant d'une connexion à l'internet peuvent faire l'objet d'une attaque par déni de service distribué. Un réseau mondial est constitué d'un grand nombre d'ordinateurs et d'autres appareils disposant d'une connexion à l'internet.

Il existe de nombreuses façons d'introduire un logiciel malveillant (virus) dans un réseau informatique. Les attaques DDoS sont efficaces lorsqu'elles utilisent plusieurs systèmes informatiques compromis comme sources de trafic d'attaque. Les machines exploitées sont souvent appelées "zombies" en argot, et leurs groupes sont respectivement appelés "botnet".

Immédiatement après avoir créé un réseau de zombies, un pirate informatique a la possibilité d'organiser une attaque DDoS, qui se déroule de la manière suivante.

• Une instruction spéciale est élaborée pour chaque bot, qui lui est transmise via le réseau.
• Après l'avoir reçue, l'ordinateur ou le système géré commence à former et à envoyer des requêtes aux adresses IP du réseau local ou du serveur attaqué.
• Le traitement du trafic s'en trouve ralenti et l'équipement surchargé commence à tomber en panne. En conséquence, tout le trafic est refusé, y compris celui des utilisateurs ordinaires.

Le principal problème pour contrer les attaques DDoS distribuées est qu'il est extrêmement difficile de distinguer le trafic d'attaque du trafic normal. Tous les robots utilisés par les pirates sont des appareils Internet légitimes et il est extrêmement difficile de distinguer les requêtes malveillantes des requêtes ordinaires.

Les principaux signes d'une attaque DDoS sur le serveur

Un ralentissement soudain du serveur, l'impossibilité d'accéder au service ou à un site distinct peuvent indiquer des actions illégales de la part des pirates. Dans le même temps, les difficultés peuvent résulter de causes naturelles comme, par exemple, une forte augmentation du trafic normal.

Les services d'analyse accessibles au public permettent d'identifier une attaque DDoS grâce à un certain nombre d'éléments caractéristiques :

• Une quantité importante de trafic en provenance d'une ou plusieurs adresses IP appartenant à la même plage.
• Un grand nombre d'utilisateurs qui reçoivent des demandes d'accès aux pages web analysées ont les mêmes profils comportementaux (géolocalisation, version du navigateur ou type d'appareil).
• Une forte augmentation du trafic à certains intervalles, par exemple toutes les deux ou trois heures ou selon un calendrier différent.
• une augmentation explosive du nombre de demandes adressées à l'un des services internet ou à l'une des pages web.

En outre, il existe d'autres signes inhérents à certains types d'attaques DDoS distribuées. Dans ces cas, les capacités des outils d'analyse Internet conventionnels peuvent ne pas suffire et des logiciels spécialisés seront nécessaires pour les identifier.

Classification des attaques DDoS : les types les plus courants

Les pirates utilisent divers outils pour s'introduire dans les sites web. Certains types d'attaques DDoS ciblent des composants spécifiques des ressources Internet, des serveurs ou des ordinateurs. Pour comprendre le fonctionnement de leurs algorithmes, il faut savoir comment fonctionne une connexion réseau spécifique.

Un logiciel spécial assure la connexion à l'internet, qui se compose de nombreux éléments appelés "couches". Chaque composant est conçu pour servir un objectif spécifique et, ensemble, ils sont capables de former le modèle. Il s'agit par exemple de soutenir, de supporter et d'entourer des structures en cours de construction.

Le modèle OSI à sept niveaux est utilisé pour décrire la structure de connexion du réseau :

• La couche applicationCeniveau est utilisé par les clients de messagerie, les messagers et les navigateurs pour traiter directement les données.
• Le niveaudes vues L'objectif de la préparation des données (compression, traduction et cryptage) est de préparer les données en vue de leur utilisation dans les applications.
• Niveau session Il établit un canal de communication entre deux appareils du réseau et le ferme à la fin de la durée de la session.
• Niveau transport Il est responsable de la gestion des flux de données et du contrôle des erreurs entre des dispositifs spécifiques, ainsi que de la garantie d'une communication de bout en bout entre des dispositifs spécifiques.
• La couche réseau facilite le transfert de données entre des dispositifs appartenant à des réseaux différents. Cette couche assure un routage optimal, la séparation des informations en paquets qui sont ensuite assemblés au point de destination.
• Le niveau du canal de transmission des données Similaire à la couche réseau, il facilite l'échange de données entre les appareils au sein d'un réseau.
• Le niveau physique Il comprend les équipements utilisés pour l'échange de données entre les appareils (câbles, commutateurs, etc.). À ce niveau, les paquets d'informations sont transformés en un flux de bits et les signaux sont appariés.

La plupart des attaques DDoS visent à surcharger un serveur ou un réseau spécifique. En fonction du nombre et de la nature des vecteurs d'attaque, ces actions peuvent être classées en trois catégories :

• l'unique ;
• multiples ;
• cyclique.

Cette dernière est principalement utilisée en réponse à des contre-actions visant à protéger une ressource Internet.

Attaques DDoS menées au niveau de l'application

Sur la base du modèle ci-dessus, de telles attaques sont appelées attaques DDoS de septième niveau. Leur but est de surcharger le site et de créer des conditions dans lesquelles il devient impossible d'assurer le trafic normal.

Les attaques de pirates de ce type sont menées au niveau où la page web est formée sur le serveur. Les attaques sont transmises en réponse à des requêtes HTTP. Du côté du client, ces requêtes ne nécessitent pas d'énormes ressources pour créer et traiter les informations. Dans le même temps, le serveur doit utiliser d'importantes ressources informatiques. Au cours de ce processus, de nombreuses demandes de bases de données peuvent être traitées sur le serveur cible et plusieurs fichiers peuvent être téléchargés pour créer la page web demandée.
Il est difficile de se protéger contre les attaques distribuées de 7e niveau car il n'est pas facile de distinguer le trafic malveillant du trafic normal.

Inondation HTTP

Une attaque de ce type simule de multiples mises à jour d'un navigateur web, qui sont effectuées simultanément sur plusieurs ordinateurs. C'est comme si un grand nombre d'utilisateurs appuyaient constamment sur le bouton de réinitialisation, ce qui entraîne un grand nombre de requêtes HTTP. Le serveur est alors surchargé, ce qui entraîne des pannes de service. Selon le niveau de complexité de l'attaque, les attaques DDoS de type "HTTP flood" peuvent être classées comme suit :

• Les attaques simples. Dans ce type d'attaque DDoS, des actions coordonnées à partir d'adresses IP de même portée sont utilisées pour fournir un accès non autorisé au même URL, qui est mis en œuvre en utilisant les mêmes agents utilisateurs et les mêmes sources de transition.
• Lesattaques complexes. Pour pirater plusieurs pages web simultanément, l'attaquant utilise à la fois des adresses IP provenant de sources de trafic aléatoires et des agents utilisateurs.

La gestion d'attaques DDoS complexes nécessite des ordinateurs aux caractéristiques appropriées ainsi que des logiciels gourmands en ressources.

Attaque par protocole

Les spécialistes qualifient ce type de piratage d'attaque et d'épuisement. En consommant trop de ressources serveur ou d'équipements réseau spécifiques, les attaques de protocole peuvent perturber le fonctionnement de différents services. Dans ce cas, les attaquants ciblent généralement les équilibreurs de charge ou les pare-feu.

Pour rendre la page web cible inaccessible, l'attaque de protocole exploite les vulnérabilités des couches 3 et 4 (pile de protocole).

Inondation SYN

Lors d'une telle attaque, un grand nombre de paquets TCP avec de fausses adresses IP sont envoyés par des robots. Ces paquets SYN sont destinés à initier des connexions réseau. La machine cible répond à ces demandes et attend une confirmation qu'elle ne reçoit pas. En conséquence, les ressources de la page web attaquée sont épuisées et elle cesse de répondre aux demandes entrantes.

Le SYN-flood peut être comparé au travail d'un grand magasin, dans lequel les employés du service d'approvisionnement reçoivent des instructions de la salle des marchés pour la livraison d'un produit particulier. Ils se rendent à l'entrepôt, trouvent ce dont ils ont besoin, mais sans recevoir de confirmation de commande, ils ne comprennent pas ce qu'il faut faire ensuite. Le résultat est qu'ils arrêtent de travailler jusqu'à ce que les circonstances soient clarifiées.

Attaques DDoS de type "bulk

Dans ce cas, les actions des pirates visent à créer une telle charge que la totalité de la bande passante disponible de la connexion internet est utilisée. Lors de la mise en œuvre d'attaques DDoS à grande échelle, de gros paquets de données sont envoyés à la ressource cible en utilisant divers moyens pour générer un trafic important ou d'autres moyens d'amplification. Au cours de l'attaque, des robots individuels ou des réseaux entiers de robots sont utilisés, à partir desquels de nombreuses requêtes sont générées vers la page web ou le serveur cible.

Renforcement du DNS

Lors d'une attaque de pirates, des requêtes sont envoyées à des serveurs DNS publics contenant l'adresse IP de l'appareil cible. Ce dernier répond par un paquet censé contenir des données importantes. En conséquence, un grand nombre de ces fausses requêtes sont générées, ce qui provoque une surcharge des cibles et un déni de service.

Un exemple d'amplification du DNS est celui d'une personne qui appelle un restaurant ou un supermarché pour demander la livraison de nourriture ou de marchandises et qui demande à être rappelée. Entre-temps, elle reçoit le numéro de téléphone de son voisin. Un grand nombre d'utilisateurs passent de tels appels à la cible, ce qui surcharge définitivement le service de livraison.

Méthodes de prévention des attaques DDoS

Pour se protéger contre les attaques de pirates informatiques, il est essentiel de faire la distinction entre le trafic de l'attaquant et le trafic normal. Lors de campagnes publicitaires pour de nouveaux produits, de nombreux utilisateurs peuvent visiter le site web du développeur. Cela peut entraîner un arrêt d'urgence du trafic et des erreurs. Si cette ressource web connaît un afflux de trafic en provenance de groupes de pirates connus, il est nécessaire de prendre des mesures pour réduire l'impact d'une attaque DDoS distribuée.

Les tentatives de piratage peuvent prendre diverses formes, de la plus simple avec une seule source de trafic suspect à la plus complexe avec des effets multi-vectoriels. Dans ce dernier cas, plusieurs types d'attaques DDoS sont utilisés simultanément pour forcer la partie défenderesse à disperser ses forces et ses fonds.

Un exemple d'impact multi-vectoriel est une attaque DDoS simultanée qui se produit à plusieurs niveaux. Un tel effet est obtenu au moyen d'un renforcement du DNS combiné à un grand nombre de requêtes HTTP. Pour prévenir de telles attaques, vous devez utiliser plusieurs stratégies de contre-action à la fois.

Lorsque les attaquants utilisent des attaques par déni de service distribué en combinant différentes méthodes d'attaque, la complexité de la lutte contre ces attaques augmente considérablement.

Les pirates ont tendance à mélanger autant que possible le trafic d'attaque avec le trafic normal afin de réduire l'efficacité des mesures de protection à des indicateurs proches de zéro.

Les tentatives visant à simplement désactiver ou restreindre le trafic sans filtrage aboutissent rarement à un résultat positif. Dans le même temps, l'attaque DDoS s'adapte et cherche des moyens de contourner les contre-mesures prises. Dans ce cas, la meilleure solution consiste à utiliser une stratégie de protection à plusieurs niveaux.

Routage des trous noirs

L'une des méthodes de protection contre les attaques DDoS les plus accessibles aux administrateurs de réseau consiste à créer un "trou noir" pour le trafic suspect. Dans sa forme la plus simple, le routage Blackhole consiste à rediriger toutes les demandes, sans les diviser en demandes normales et malveillantes, vers une route zéro, puis à supprimer ces demandes du réseau. Si une attaque DDoS est détectée sur un certain site, le fournisseur a la possibilité d'annuler tout le trafic comme mesure de protection. Cette solution n'est pas la meilleure, car l'attaquant atteint son objectif et rend toutes les ressources indisponibles.

Limiter la vitesse d'une attaque DDoS

Chaque serveur peut recevoir et traiter un certain nombre de requêtes pendant une période de temps déterminée. Limiter la vitesse d'une attaque DDoS permet de réduire considérablement son efficacité. En même temps, il faut comprendre que cette méthode permet de ralentir considérablement le vol de contenu et de code de programme par les analyseurs web et de bloquer les tentatives de connexion par force brute. Cependant, elle n'est pas suffisamment efficace contre les attaques complexes combinées par déni de service.

Caractéristiques de l'utilisation des pare-feu pour applications web

L'utilisation de logiciels spéciaux permet d'atténuer considérablement les attaques DDoS du septième niveau. Il existe un pare-feu (WAF) entre l'internet et le serveur protégé, qui fonctionne comme un proxy inverse. Il est utilisé pour bloquer le trafic malveillant de certains types. Les requêtes entrantes sont filtrées en fonction des règles établies, ce qui permet d'identifier les outils DDoS et de prévenir les attaques de septième niveau. L'un des principaux avantages de cette méthode est la possibilité de définir ses propres règles pour contrer une attaque.

Principes de la distribution Anycast sur le réseau

Cette méthode réduit les conséquences néfastes des attaques DDoS en redistribuant le trafic sur le réseau de serveurs.

Si un même serveur reçoit de nombreuses requêtes en même temps, il sera surchargé de trafic et ne pourra pas répondre efficacement aux requêtes supplémentaires. Dans le réseau Anycast, au lieu qu'un seul serveur source prenne le gros du trafic, la charge sera répartie entre d'autres centres de données disponibles, chacun d'entre eux ayant des serveurs capables de traiter et de répondre à une demande entrante. Cette méthode de routage peut empêcher l'expansion de la capacité du serveur source et éviter d'interrompre le service des clients qui lui demandent du contenu.

La meilleure analogie de la méthode de distribution Anycast sur le réseau est la séparation du flux d'une grande rivière avec un fort courant le long de branches distinctes. Grâce à la redistribution du trafic d'une attaque DDoS, sa capacité destructrice est réduite au minimum et elle devient tout à fait gérable.