Types d’attaques DDoS et moyens de les prévenir

Blog

|15 septembre 2023

tyler burke

Par Tyler Burke, Chef de produit IP et DDoS

Combien de types d’attaques DDoS existe-t-il ? Des dizaines, en fait. Dans ce blog, je les ai classées en trois grandes catégories : les attaques volumétriques, les attaques de la couche applicative et les attaques de la couche protocolaire. Et j’explique pourquoi le type d’attaque qui cible votre entreprise n ‘a pas d’importance.

Qu’est-ce qu’une attaque DDoS ?

Une attaque par déni de service distribué (DDoS) – quel qu’en soit le type – est une cyberattaque délibérée et ciblée qui vise à submerger les ressources Internet de votre organisation. La motivation de l’attaquant peut aller du profit à la politique, de l’ennui à la vantardise, de la vengeance à la rançon.

Une attaque réussie perturbe votre présence en ligne. Vos clients ne peuvent pas accéder à vos sites web. Vos systèmes sont hors service. Votre entreprise est à l’arrêt. Et récupérer les revenus, la productivité et la réputation de la marque perdus à la suite d’une attaque n’est pas donné. Les entreprises dépensent en moyenne 200 000 dollars pour se remettre d’une seule attaque.

Une attaque réussie révèle également à l’attaquant les faiblesses de votre organisation en matière de sécurité. Vous pouvez penser que l’attaque de trois minutes que vous avez subie la semaine dernière n’était pas si grave. Mais votre attaquant sait maintenant où frapper pour la prochaine attaque, plus dommageable.

Si vous êtes matheux, les chances ne sont pas en votre faveur.

Nous avons constaté une forte augmentation du nombre d’attaques DDoS rien que cette année. Dans tous les secteurs d’activité, le nombre d ‘attaques DDoS a augmenté de 387 % au deuxième trimestre par rapport au premier.

Pourquoi cette augmentation ? La sophistication de l’automatisation élimine les limites humaines de l’activité. Les réseaux de zombies peuvent être achetés sur le web pour moins de 1 000 dollars. L’attaquant le plus amateur peut désormais facilement lancer une attaque et tirer profit des dommages causés.

La fréquence, l’ampleur et la durée des attaques DDoS ne cessent de s’aggraver.

Les 3 types d’attaques DDoS

Les attaques DDoS deviennent de plus en plus chirurgicales. Plutôt que d’engorger l’ensemble de votre espace IP avec du faux trafic, les attaques peuvent désormais cibler une application ou un protocole particulier.

Examinons les différents types d’attaques que vous pouvez subir :

1. Attaques DDoS volumétriques – saturation de la couche réseau

Historiquement les plus courantes, mais les moins “élégantes” des attaques DDoS, les attaques volumétriques se produisent au niveau de la couche réseau. L’intention de l’attaquant est de submerger la bande passante de votre réseau IP avec une grande quantité de trafic illégitime. Lorsque cela se produit, vos utilisateurs et vos clients (tout le trafic légitime) ne peuvent pas vous atteindre.

Comment savoir si vous êtes victime d’une attaque DDoS volumétrique ?

Sans que l’on connaisse la cause de l’augmentation du trafic sur l’ensemble de votre réseau (et pas seulement pour une seule application) que vous subissez :

  • Augmentation soudaine et importante du trafic
  • Vos clients ne peuvent pas accéder à votre site web ou à vos services
  • Vos utilisateurs subissent des retards dans les services du réseau
  • Votre pare-feu ou vos systèmes IPS/IDS envoient des alarmes.
  • Si vous pouvez voir la source du trafic entrant, c’est qu’il provient tous du même endroit.

Il s’agit d’attaques faciles à réaliser avec une force brute particulière. Elles utilisent des méthodes simples, nécessitent peu de compréhension de la technologie impliquée et peuvent être achetées à bas prix en ligne.

L’automatisation rend les attaques volumétriques plus préjudiciables – elles durent plus longtemps, utilisent plus de bande passante et se produisent plus fréquemment. Les attaques par botnet cherchent et trouvent des faiblesses, peuvent être facilement amplifiées et sont peu coûteuses à exécuter.

Exemple concret d’une attaque volumétrique

Activision Blizzard a subi une attaque DDoS volumétrique qui a inondé ses serveurs d’authentification, rendant ses jeux les plus populaires – dont World of Warcraft et Call of Duty – inaccessibles aux joueurs.

2. Attaques DDoS visant les applications – ciblez vos applications en ligne

Les attaques DDoS au niveau de l’application sont plus difficiles à détecter que les attaques volumétriques, mais elles sont également plus difficiles à réaliser pour l’attaquant. Ces attaques sophistiquées ciblent une application en ligne individuelle afin de perturber les services en ligne qu’elle fournit.

Pour réussir une attaque de la couche applicative, l’attaquant doit créer des requêtes (comme le remplissage de formulaires sur votre site web) qui ressemblent à du trafic légitime. Pour ce faire, il doit comprendre en profondeur le comportement, la logique et les faiblesses de l’application cible.

Ces attaquants comprennent et manipulent les sessions, les cookies et les jetons d’authentification. Et comme les vulnérabilités potentielles sont différentes pour chaque application, l’attaquant doit avoir des connaissances techniques sophistiquées sur un large éventail d’applications.

Comment savoir si vous êtes victime d’une attaque DDoS au niveau de la couche applicative ?

Étant donné que le trafic d’attaque imite le trafic légitime des utilisateurs, il est plus difficile de savoir si vous êtes victime d’une attaque au niveau de la couche applicative. Recherchez les signes suivants :

  • Des pics soudains dans le trafic d’applications spécifiques sans cause réelle
  • Beaucoup d’erreurs signalées – en particulier des codes d’état 5xx (erreurs 502, 503 ou 504) – signe que votre réseau a du mal à gérer l’augmentation de la charge de trafic.
  • Comportements étranges tels que des tentatives de connexion ou des soumissions de formulaires répétitives
  • Comportement tendu du serveur, tel que l’utilisation de la mémoire ou de l’unité centrale qui semble ne pas pouvoir répondre à la demande.

Exemple d’une attaque DDoS au niveau de l’application

Nous constatons une augmentation des attaques d’applications multi-vectorielles – où une attaque vise simultanément plusieurs composants des applications de la victime (par exemple en attaquant simultanément les ressources web HTTP et les opérations de base de données), pivotant vers différents composants lorsque l’attaquant détecte des mesures de sécurité protectrices en place.

3. Attaques DDoS du protocole – désactiver les règles de la conversation

Des trois types d’attaques DDoS, les attaques de la couche protocole sont les plus récentes, les plus difficiles à détecter et potentiellement les plus perturbatrices. Les attaques de protocole ciblent les protocoles que les appareils et les serveurs de votre réseau utilisent pour communiquer. Étant donné que les protocoles définissent les règles de la communication entre machines, leur interruption peut affecter de nombreux services et applications qui reposent sur le protocole ciblé.

Les attaques DDoS par protocole sont généralement moins sophistiquées que les attaques DDoS par couche applicative, ce qui les rend de plus en plus courantes. Les protocoles de réseau de couche inférieure attaqués, tels que TCP/IP, ICMP et DNS, ont un comportement bien défini, dont les faiblesses peuvent être facilement exploitées. Les attaquants n’ont pas besoin de connaître les subtilités du comportement de la couche application pour inonder un protocole vulnérable de trafic malveillant.

Comment savez-vous que vous êtes victime d’une attaque DDoS au niveau du protocole ?

Ces attaques ciblent des ressources protocolaires spécifiques telles que le processeur, la mémoire ou les limites de connexion. Recherchez :

  • Augmentation inexpliquée de l’utilisation des ressources
  • des réponses inhabituelles, telles que des codes d’erreur 4xx ou 5xx excessifs
  • Augmentation du trafic ICMP ping
  • Paquets TCP SYN anormalement élevés ou autre comportement inhabituel du protocole
  • Pics de trafic, augmentation de la latence, augmentation de la perte de paquets

Exemple d’une attaque DDoS au niveau du protocole

Dans les attaques de type “DNS water torture”, l’attaquant inonde les résolveurs DNS de requêtes DNS, surchargeant ainsi le réseau, ce qui peut à son tour se répercuter sur d’autres couches.

Ce n’est n’a pas d’importance Quel type d’attaque DDoS vous vise ?

Si le type d’attaque DDoS lancé par l’attaquant peut lui tenir à cœur, cela ne fait guère de différence pour la victime, et ce pour deux raisons principales :

Tous les types d’attaques DDoS visent à perturber, et (sans protection) ils y parviennent

Vous avez probablement remarqué que les “symptômes” de chaque type d’attaque décrit ci-dessus sont similaires, quelle que soit la tactique utilisée par l’attaquant. En outre, votre présence en ligne étant une machine complexe composée de pièces qui communiquent entre elles, une clé jetée dans la machine, où qu’elle se trouve, provoquera une perturbation.

Un programme solide d’atténuation des attaques DDoS peut les arrêter toutes.

La réponse globale aux attaques DDoS (toutes) est la même : établir une base de référence des modèles de trafic “normaux” pour votre organisation, identifier lorsque votre trafic s’écarte de son comportement normal et atténuer les dommages que l’attaque tente de causer. Les services d’atténuation des attaques DDoS sont efficaces contre les trois types d’attaques décrits dans ce blog.

Si les motivations de l’attaquant, les conséquences néfastes d’une attaque DDoS et les méthodes pour la contrer sont similaires, il n’est pas nécessaire de prendre des précautions spécifiques contre un type d’attaque en particulier. En revanche, il est essentiel de protéger votre organisation contre les attaques DDoS dans leur ensemble.

Comment prévenir les attaques DDoS

Vous pouvez garder une longueur d’avance sur les attaquants DDoS en prenant un certain nombre de mesures pour protéger votre organisation. S’il est une chose qui vaut mieux prévenir que guérir, c’est bien la protection contre les attaques DDoS.

1. Souscrivez à la protection contre les attaques DDoS de votre fournisseur de réseau

Recherchez un service Protection DDoS présentant les éléments suivants :

  • Le fournisseur offre un service basé sur le réseau et dispose d’une capacité de backbone suffisante pour atténuer les attaques les plus importantes.
  • Le fournisseur arrête et détourne le trafic d’attaque avant qu’il n’ait un impact sur votre entreprise.
  • Le fournisseur utilise BGP Flowspec (par opposition aux tunnels GRE) afin de protéger vos adresses IP individuelles. Les fournisseurs qui utilisent des tunnels GRE prendront l’ensemble du /24 (les 253 adresses IP) et le nettoieront. Cela se traduit par une plus grande latence, même pour le trafic légitime.
  • Le fournisseur atténue tous les types d’attaques DDoS.

La combinaison d’un système de protection en ligne et d’un service de protection contre les attaques DDoS basé sur l’informatique dématérialisée vous offrira une couverture complète.

2. Distribuer le trafic entrant

Lorsque vous distribuez le trafic de manière stratégique, aucun serveur ne peut tout gérer. Pour ce faire, vous devez mettre en œuvre :

  • L’équilibrage de la charge : Lorsque vous équilibrez la charge de votre trafic, vous répartissez les demandes entre plusieurs serveurs d’application dans plusieurs centres de données.
  • CDN : Si vous avez investi dans un réseau de distribution de contenu (CDN), vous disposez d’une solution entièrement gérée qui offre une certaine protection contre les attaques DDoS. Étant donné que les CDN masquent l’adresse IP de l’hôte et distribuent le trafic à l’aide de la mise en cache vers des serveurs périphériques géographiquement dispersés, vous êtes naturellement protégé contre les attaques DDoS. Toutefois, ces adresses IP hôtes sont parfois découvertes, de sorte que même avec un CDN, une protection supplémentaire serait judicieuse.

3. Restreindre le trafic entrant

Les outils qui limitent le nombre de requêtes entrantes ou le niveau de trafic entrant permettent d’identifier et d’atténuer le trafic d’attaque. Ces outils sont notamment les suivants

Bien qu’inadéquats en tant que protection autonome contre les attaques DDoS, les pare-feu peuvent constituer un premier niveau de défense s’ils sont correctement configurés :

  • Filtrage du contenu pour identifier et bloquer les schémas d’attaque connus, en particulier pour les attaques au niveau de la couche d’application
  • Limitation du débit pour limiter le débit du trafic entrant provenant d’une source unique, mais veillez à ne pas bloquer le trafic légitime.
  • Stateful Packet Inspection pour rejeter les paquets qui n’appartiennent pas à des connexions ou à des sessions établies.
  • L’équilibrage des charges permet d’éliminer les points de défaillance uniques en répartissant le trafic entrant entre plusieurs serveurs ou centres de données.
  • Détection des anomalies qui identifie les modèles de trafic inhabituels et alerte le réseau pour qu’il prenne des mesures contre une éventuelle attaque DDoS.
  • Liste noire d’adresses IP pour empêcher le trafic en provenance de mauvaises adresses IP connues, et liste blanche d’adresses IP pour n’autoriser que le trafic en provenance d’adresses IP connues et fiables.

Conçus pour distinguer les humains des ordinateurs, les CAPTCHA peuvent constituer une ligne de défense efficace contre les attaques de robots, en particulier sur les sites web et les pages populaires. Veillez à trouver le juste équilibre entre une bonne sécurité et la possibilité de gêner vos clients.

4. Tester, former et planifier régulièrement

Étant donné qu’une combinaison stratégique de méthodes d’atténuation offrira la meilleure protection, préparez-vous à l’attaque inévitable :

  • Tester votre sécurité en y perçant des trous – trouver des vulnérabilités potentielles
  • Réduire votre surface d’attaque en désactivant les protocoles, pages, formulaires et autres points d’entrée en ligne inutilisés pour une attaque.
  • Simulation d’attaques DDoS dans le cadre d’un exercice d’entraînement en équipe
  • Créer et tester votre plan de continuité des activités afin que votre équipe sache comment réagir pour minimiser les dommages causés par une attaque DDoS.

Conclusion

Je sais qu’il est tentant d’économiser de l’argent et de gagner du temps, en n’envisageant une protection DDoS que lorsque vous subissez une attaque active, mais lorsque l’entreprise moyenne dépense plus de 200 000 dollars pour se remettre d’une seule attaque, nous savons également que les avantages de la protection dépassent de loin les coûts.

Qui est susceptible d’être attaqué ? Sachez que rien qu’au cours du premier semestre 2023, les auteurs d’attaques DDoS ont pris pour cible :

  • Entreprises de tous les secteurs d’activité
  • Très grandes et très petites entreprises
  • Aéroports, hôpitaux, services publics et autres infrastructures critiques
  • Gouvernements fédéral, d’État et locaux – y compris les écoles
  • Entreprises de télécommunications et d’informatique dématérialisée
  • Beaucoup plus

Et ils attaquent les organisations vulnérables à plusieurs reprises. N’attendez pas d’être attaqué pour protéger votre organisation, découvrez Zayo Protection DDoS.

Consultez notre aperçu des attaques DDoS

Découvrez quelles sont les organisations attaquées en 2023 et pourquoi.

Télécharger maintenant