Glossaire relatif à la confidentialité

Attaque DDoS

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce que attaque DDoS ?

Une attaque DDoS (abréviation de attaque par déni de service distribué) est un type de cyberattaque qui perturbe un site web ou un réseau au point qu’il ne peut plus effectuer ses fonctions habituelles. Une attaque DDoS est une attaque simple et directe qui submerge les serveurs de la cible avec des demandes de données ou de fausses informations d’identification (telles qu’une adresse IP incorrecte). Le résultat souhaité d’une attaque DDoS est de réduire considérablement la capacité de la cible à répondre aux affaires légitimes, ou de faire planter les serveurs totalement.

Une attaque DDoS est une variante d’une attaque par déni de service (DoS). Une attaque DoS utilise un seul point d’attaque, comme un ordinateur, ce qui peut en limiter l’efficacité. Tandis qu’une attaque DDoS est une attaque coordonnée à partir de nombreux ordinateurs ou appareils connectés en même temps. Des sources multiples d’attaque génèrent plus de trafic entrant, ce qui peut signifier une attaque plus rapide, plus efficace, et plus durable sur le réseau cible. Là où une attaque DoS peut être stoppée en bloquant tout le trafic provenant de l’unique ordinateur causant l’attaque, il est beaucoup plus difficile de se défendre contre une attaque DDoS car l’attaque provient de multiples endroits. Cela rend plus difficile de distinguer les ordinateurs des utilisateurs normaux des ordinateurs de l’attaquant.

Une attaque DDoS peut avoir plusieurs motivations, comme le désir de perturber les fonctionnalités d’un site ou d’un service, la guerre informatique, la vengeance, le chantage ou l’hacktivisme. Plus récemment, les attaques DDoS ont été utilisées comme distraction pour d’autres cyberattaques. Tandis que les systèmes et le personnel de sécurité réseau sont occupés à traiter l’attaque DDoS, il y a moins de surveillance et de défense contre d’autres formes d’attaque.

Comment fonctionne une attaque DDoS ?

Dans une attaque DDoS, plusieurs ordinateurs sont programmés pour contacter simultanément un réseau ciblé (souvent un site web). En submergeant la cible avec plus de trafic qu’elle n’est conçue pour gérer, les ordinateurs coordonnés épuisent la bande passante du réseau ciblé ou d’autres ressources système.

Un outil fréquemment utilisé pour lancer une attaque DDoS est un botnet. Les botnets sont souvent créés à partir d’appareils IdO compromis, de routeurs ou d’ordinateurs infectés par des logiciels malveillants pouvant être déclenchés à distance pour attaquer en même temps. Un grand botnet peut attaquer une cible à partir de centaines de milliers d’appareils uniques dans différentes locations (épuisant les ressources de la cible plus efficacement qu’un seul appareil utilisant des exploits logiciels spécialisés). C’est-à-dire une attaque DoS. Un botnet est particulièrement efficace pour utiliser la bande passante, créant un goulot d’étranglement où le trafic légitime ne peut pas passer. Il peut être difficile de distinguer le trafic DDoS d’un botnet du trafic légitime, ce qui rend difficile l’arrêt d’une attaque en bloquant le trafic provenant d’une adresse IP particulière.

Il existe de nombreuses variantes du concept de base d’une attaque DDoS (telles que : embrouiller un serveur avec des données incomplètes, attaquer de manière persistante sur plusieurs jours, et attaquer par vagues). Cela oblige un réseau à ajuster à plusieurs reprises le niveau de ressources, gaspillant ainsi de l’argent et du temps du personnel. Mais il existe trois formes relativement courantes d’attaque DDoS :

Attaques volumétriques DDoS

Ces types d’attaques DDoS reposent sur l’envoi de quantités massives de données inutilisables ou de pings au serveur. Le serveur consacre des ressources soit à essayer de déterminer que faire avec les données inutilisables, soit à répondre aux pings.

Attaques de protocole DDoS

Ce type d’attaque DDoS cible les faiblesses des protocoles Internet. Un exemple de ceci est appelé « inondation SYN » Dans une connexion typique entre un site web et un utilisateur, une synchronisation en trois parties a lieu : Premièrement, l’utilisateur contacte un site web (techniquement, le navigateur envoie un paquet SYN, d’où le nom d’inondation SYN) ; le site web reconnaît alors l’utilisateur ; et enfin, l’utilisateur finalise la connexion.

Dans une attaque DDoS par inondation SYN, l’attaquant initie des connexions comme pourrait le faire un utilisateur légitime, mais fournit une fausse adresse IP dans le paquet SYN. Ainsi, lorsque le site web ciblé envoie son message de réponse, il est envoyé à la fausse adresse IP. Le dispositif à la fausse adresse IP n’a aucune trace d’avoir initié une connexion avec le site web, et donc ne répond jamais avec le troisième message nécessaire pour compléter la poignée de main. Le canal (ou port) sur le site web ciblé reste ouvert, attendant une réponse qui ne viendra pas. Les ports s’ouvrent et ne se referment pas, les rendant indisponibles pour que des utilisateurs légitimes puissent initier et terminer une connexion.

Attaques DDoS au niveau des applications

Ce type d’attaque DDoS se concentre sur une application spécifique sur un site web. Faire des appels fréquents et répétés à la même donnée d’application (par exemple, une page web spécifique à afficher) consomme les ressources du serveur web du site. C’est particulièrement efficace lorsque la demande de contenu du site web inclut une connexion, une recherche ou une requête nécessitant que le serveur prépare un contenu personnalisé. Si le serveur web est submergé par ces demandes, il n’a plus de capacité pour répondre aux utilisateurs légitimes.

Comment les organisations protègent-elles leurs réseaux contre les attaques DDoS ?

Les attaques DDoS sont coûteuses pour les victimes, tant en termes de pertes financières que de dommages à leur réputation. Pour les attaquants, une attaque DDoS est plus facile à mener et relativement peu coûteuse si un attaquant souhaite louer l’accès à un service DDoS. Cela les rend de plus en plus populaires comme vecteur d’attaque. Les attaques DDoS sont également utilisées comme distraction pour une véritable attaque visant à voler des données, ou installer un rançongiciel (ransomware). Ainsi, un bon programme de cybersécurité doit inclure des processus pour se défendre contre les attaques DDoS.

Un domaine de la cybersécurité, appelé sécurité réseau, défend contre les attaques DDoS principalement en surveillant le trafic, en essayant de le classer comme légitime ou illégitime, et en bloquant cette dernière catégorie. Pour bloquer le trafic illégitime, un réseau peut faire plusieurs choses, comme :

  • Filtrer pour détourner tout le trafic vers un service de protection DDoS séparé qui évalue le trafic. Seul le trafic légitime est ensuite acheminé vers le réseau de destination prévu.
  • Placer du matériel à la périphérie d’un réseau pour bloquer le trafic illégitime d’accéder aux ressources du réseau.
  • Utiliser un pare-feu pour les applications web afin de surveiller les demandes d’accès avant de les envoyer au serveur web. Au niveau de l’application, le pare-feu surveille chaque demande d’accès et la compare aux activités courantes d’un véritable utilisateur. Les demandes d’accès suspectes ou anormales sont bloquées.

La limitation de débit est une autre tactique défensive. Elle limite la quantité de trafic pouvant entrer dans le système à partir d’une source particulière (généralement catégorisée par adresse IP) dans un laps de temps particulier. En ralentissant le trafic excessif, la limitation de débit empêche un serveur d’être surchargé par une seule source. Comme les attaques DDoS sont souvent lancées à partir de nombreuses adresses IP uniques, la limitation de débit peut ne pas être très efficace pour se défendre contre une attaque DDoS.

Une présence Internet dispersée (également appelée réseau de diffusion de contenu ou CDN) augmente la capacité du réseau et répartit la charge en cas d’attaque. Si une attaque parvient à désactiver un serveur, les autres peuvent rester en ligne et maintenir un bon service pour les utilisateurs légitimes.

Les attaques DDoS peuvent-elles affecter les individus ?

Les attaques DDoS sont destinées à perturber les réseaux et les serveurs ; en général, elles ne représentent pas une menace directe pour les individus. Cependant, si quelqu’un essaie d’accéder à un réseau ou à un site web actuellement attaqué, il pourrait trouver difficile voire impossible de se connecter ou d’obtenir les informations qu’il cherche. Lorsque cela se produit, l’individu devient une victime secondaire. En fonction de la raison pour laquelle il souhaite se connecter (par exemple, s’il s’agit d’un besoin médical ou bancaire urgent), le problème pour l’individu peut varier d’un inconvénient mineur à un très gros problème. Malheureusement, il n’y a rien qu’un utilisateur puisse faire dans ce genre de situation, à part attendre que le système ciblé résolve l’attaque.

Cependant, les individus peuvent participer à la défense contre les attaques DDoS en s’assurant que leurs appareils connectés (tels que les routeurs, les ordinateurs et les dispositifs IdO) sont sécurisés. En maintenant le logiciel et le firmware de vos dispositifs à jour, et en changeant les mots de passe par défaut des usines en mots de passe forts et uniques, vous pouvez empêcher vos appareils de devenir partie d’un botnet.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.