Perturber le trafic d'un serveur peut avoir de lourdes conséquences. Avec une attaque DDoS, les cybercriminels forcent les sites à se déconnecter et les rendent donc inaccessibles. En envoyant du trafic artificiellement gonflé, ils parviennent à bloquer des applications et même à mettre hors service de grands sites d'information. Alors, comment fonctionne une attaque DDoS, et peut-on l'éviter ?
Contenu
Lors d'une attaque par déni de service distribué (DDoS), l'auteur tente de perturber un site ou une application au point que les utilisateurs ne puissent plus y accéder. Cela peut être réalisé en exploitant les points faibles du système et en submergeant les serveurs avec des quantités massives de trafic.
La plupart des attaques DDoS créent un véritable embouteillage en ligne qu'il est impossible de franchir. Cela entraîne une surcharge de la capacité du site pour répondre à de nouvelles demandes, même légitimes.
Qu'il s'agisse de cybercriminels qui ciblent des entreprises ou de gouvernements qui sabotent les applications de messagerie d'opposants, il existe de multiples façons de lancer ce type d'attaque. Par exemple, ils peuvent exploiter des erreurs de codage ou faire transiter le trafic par un botnet. Cependant, l'objectif reste identique : perturber et endommager les performances d'un serveur.
Qu'est-ce qu'un botnet ?
L'une des stratégies DDoS les plus faciles à comprendre est l'attaque volumétrique, une approche qui s'appuie sur un botnet. Il s'agit de réseaux de dispositifs qui peuvent être utilisés pour envoyer des dizaines, voire des centaines de milliers de requêtes à un serveur.
Pour construire un botnet, le malfaiteur va installer de force des programme malveillant sur plusieurs appareils. La plupart du temps, les utilisateurs ne se rendront même pas compte que leurs téléphones et ordinateurs sont infectés. Cela peut se faire par le biais de malvertising, d{link2} et dautres méthodes illicites.
Dès qu'une personne télécharge le logiciel malveillant du pirate, son appareil est prêt à devenir un maillon d'un botnet. Le hacker peut laisser ce logiciel malveillant sur son appareil sans se faire remarquer jusqu'à l'éventuelle attaque DDoS.
Quand le moment sera venu, et que suffisamment d'appareils hébergeront le malware, l'attaquant pourra lancer son assaut contre un serveur.
Voici quelques principes de base à respecter pour éviter que votre téléphone ou votre ordinateur ne fasse partie d'un botnet :
Méfiez-vous des courriels suspects qui comportent des liens.
Sur Internet, évitez de cliquer sur des publicités, même lorsqu'elles sont diffusées sur des sites fiables.
Utilisez un service comme CyberSec pour détecter les contenus à risque.
Mettez à jour vos logiciels aussi souvent que possible.
Les différents types d'attaques DDoS
Bien que le résultat final soit généralement le même, il existe de multiples façons de mener une attaque DDoS.
SYN flood ou vol de session TCP
Ce type d'attaque exploite la connexion TCP "handshake", c'est-à-dire l'établissement d'une liaison. Dans un handshake normal, le dispositif de l'utilisateur envoie une demande à un serveur, qui répond en préparant les éléments de la page demandée. Ensuite, le serveur renvoie un message à l'appareil de l'utilisateur, confirmant qu'il est prêt. Enfin, une troisième communication doit être transmise au serveur afin d'achever le processus et charger la page.
Cependant, dans le cadre d'une attaque DDoS, cette troisième étape est omise. Le serveur consacre alors ses ressources à la préparation des éléments de la page, mais le message final indispensable n'arrive jamais pour achever le processus. À la place, un autre connexion handshake est initiée, puis une autre, encore une autre, etc. Au bout du compte, le serveur dépense toutes ses ressources pour préparer des éléments qui ne sont jamais présentés à l'utilisateur. Et enfin, il reste au point mort.
Attaque de la couche d'application
Les attaques de la couche d'application, aussi connues sous le nom d'attaques de la couche 7, ne touchent pas un réseau ou un serveur entier. Elles ciblent en fait des fonctions ou des éléments spécifiques de la page. En surchargeant certaines caractéristiques d'une page, le cybercriminel peut provoquer le plantage ou le dysfonctionnement de parties d'une application.
En plus d'avoir un impact préjudiciable sur les performances d'un site, cette méthode fut utilisée dans le passé comme une technique de distraction. Elle oblige les propriétaires et les techniciens du site à se concentrer sur la fonction ciblée tandis qu'une autre atteinte, plus grave, se produit ailleurs sur le serveur.
Attaque volumétrique
C'est ici qu'un botnet entre en jeu. L'agresseur déclenche le logiciel malveillant disséminé sur plusieurs appareils et achemine un flux de trafic à travers chacun d'eux. Ensuite, ils attaqueront la cible avec des séries de requêtes simultanées.
Comme son nom l'indique, cette attaque repose sur le volume considérable d'utilisateurs artificiels qui tentent d'accéder à un site. En accaparant l'intégralité de la bande passante disponible du serveur, le hacker peut empêcher tout utilisateur légitime d'accéder au site, le rendant alors inutilisable.
Attaque par fragmentation
Lorsque les informations circulent entre les sites et les serveurs, elles sont en principe décomposées en petits morceaux, envoyées sous la forme de "paquets", puis réorganisées par le récepteur. Cela crée une opportunité d'attaque par fragmentation.
Les assaillants envoient délibérément des paquets de données surchargés qui sont trop volumineux pour être réassemblés correctement. Ils tirent ainsi parti d'un bug dans le code de réassemblage IP de certains systèmes qui peut rapidement aboutir à un déni de service.
Comment éviter les attaques DDoS ?
Comme souvent en matière de cybersécurité, il n'existe pas de solution miracle pour stopper complètement ces attaques, mais vous pouvez tout de même agir. En adoptant de bonnes habitudes, en vous préparant soigneusement et en appliquant une stratégie de sécurité efficace, vous pouvez limiter les risques et atténuer les dégâts.
Créez des canaux de débordement
Commencez par de la prévention. Assurez-vous que vous disposez de serveurs alternatifs en réserve pour faire face aux débordements. Vous réduirez ainsi le risque que l'un d'entre eux tombe en panne. La création de ces moyens supplémentaires signifie que, si des niveaux de trafic anormalement élevés submergent les serveurs, le flux peut être réacheminé. Ainsi, les opérations sur le serveur principal se poursuivront afin que les véritables utilisateurs puissent continuer à y accéder.
Veillez aux mises à jour et aux correctifs de sécurité
Les attaques DDoS profitent souvent de systèmes obsolètes et d'un manque de correctifs de sécurité. Individuellement, plus les utilisateurs mettent à jour leurs appareils, moins ils risquent de faire partie d'un botnet. La raison est simple : les logiciels malveillants utilisés pour ces actions s'appuient souvent sur des logiciels obsolètes comme porte d'entrée.
Limitez le nombre de requêtes
Imposez un plafond au nombre de requêtes simultanées qu'un serveur peut traiter. Avec cette limite, il pourra bloquer une attaque avant de devenir hors service. Bien que cela puisse entraîner un déni de service temporaire, il sera beaucoup plus facile de remettre votre site ou votre application en ligne.