Comment se protéger d’une attaque DDOS ou attaque par déni de service ?

Qu’est-ce qu’une cyberattaque DDOS ?

Avec les différents confinements dus à la pandémie de coronavirus, l'utilisation d’Internet a nettement augmenté. Riches de temps d’écran personnel plus longs, les cybercriminels ont amplifié le volume de leurs assauts. Pour se protéger efficacement de ces cyberattaques, il faut donc savoir les identifier.

Définition d’une attaque DDoS

Une attaque DDoS se définit comme une cyberattaque “par déni de service distribué”. L'abréviation “DDoS” vient ainsi de l’anglais “Distributed Denial of Service attack”. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) définit l’attaque DDoS comme une “action ayant pour effet d’empêcher ou de limiter fortement la capacité d’un système d’information à fournir le service attendu”.

Dans le détail, une attaque par déni de service distribué consiste donc en une cyberattaque destinée à perturber le trafic internet d’un serveur, d’un service ou d'un réseau donné. Elle submerge pour cela l’infrastructure cible d’un flot de trafic. Cette cyberattaque repose souvent sur l’action croisée de plusieurs systèmes informatiques malveillants, sources d’un trafic polluant qui bloque l’arrivée du trafic normal.

Fonctionnement et cibles d’une attaque par déni de service

Pour mener à bien une cyberattaque DDoS, les hackers s’appuient sur un réseau de machines en ligne. Il peut s'agir d'ordinateurs, de serveurs ou de dispositifs IdO, Internet des objets, c’est-à-dire d'objets connectés. Le cyberpirate affecte l’ensemble de ces supports informatiques grâce à des logiciels malveillants, les “malwares”.

Ces machines deviennent ainsi ce qu’on appelle des “bots”, ou “zombies”. Le hacker les contrôle à distance comme un seul et même groupe, surnommé “botnet”. Il lui suffit dès lors de donner à ce botnet une adresse IP cible pour que toutes les machines lui envoient des dizaines de milliers de requêtes internet. Le site ou le serveur qui subit l’attaque DDoS n'est alors pas en mesure d’éponger un tel trafic. Se produit ainsi ledit “déni de service” du trafic habituel.

La cyberattaque DDoS réussit son objectif quand le service en ligne est instable ou indisponible. Les sites e-commerce et les casinos en ligne incarnent des cibles privilégiées de cette cybermenace. Une des attaques DDoS les plus médiatisées date ainsi de février 2000. Menée par le cyberpirate Mafiaboy, ou Michael Calce, elle a impacté les plateformes en ligne d’Amazon, eBay, E-Trade et ZDNet.

‍

‍

Quelle forme peut prendre une cyberattaque DDoS ?

Il existe différents types d’attaques DDoS, définis en fonction des composants de la connexion réseau visée. Les connexions réseau internet se constituent effectivement de plusieurs couches distinctes, chacune exerçant un rôle différent.

Le modèle OSI, de l’anglais Open System Interconnexion, théorise ces différentes couches. Sans trop entrer dans les détails techniques, il comprend 7 couches, certaines dédiées aux applications, d’autres à la communication. Ces couches de connexion réseau font le lit de différentes attaques DDoS, qu’il convient de maîtriser pour établir une cartographie des risques cyber fiable.

Les attaques des couches d’application

Les attaques visant les couches du serveur dédiées aux applications se surnomment souvent “attaques DDoS de la couche 7”. On compte parmi elles des cyberattaques comme l’“HTTP Flood”.

Le terme anglais “flood”, ou inondation, caractérise le fonctionnement de ce type de déni de service. Il consiste à saturer les serveurs cible de requêtes HTTP. Cette cyberattaque peut viser une seule URL ou s’attaquer à un ensemble de pages web aléatoires. Elle s’avère particulièrement compliquée à atténuer, car la victime peine à différencier le trafic malveillant du trafic normal.

Les attaques des ressources systèmes ou attaques “protocolaires”

On compte parmi les attaques protocolaires les plus connues le SYN flood, le Ping Flood et l’UDP Flood. Ces cyberattaques, aussi appelées “attaques par épuisement des tables de connexion”, visent les couches 3 et 4 du modèle OSI. Elles s’appuient donc sur des couches dites de “communication”, qui permettent à des ordinateurs de se connecter en réseau.

L’inondation SYN ou Attaque Land

Pour comprendre l’attaque SYN Flood, il faut avoir en tête que pour se connecter en réseau, deux ordinateurs exploitent la “négociation TCP”. Ce processus consiste, pour un ordinateur, à envoyer des "requêtes de connexion initiales" sous forme de “paquets SYN” à un autre ordinateur. Celui-ci répond à la sollicitation, et attend confirmation pour passer à la connexion réseau.

Dans le cadre d’une “Attaque Land”, ou “inondation SYN”, l’ordinateur pirate envoie de nombreuses “requêtes de connexion initiale”. Cette démarche pousse la machine victime à répondre à toutes ces demandes de connexion via paquets SYN/ACK. Elle entame ainsi un processus de négociation TCP très lourd, sans que celui-ci n'aboutisse jamais. Elle épuise donc ses ressources, et notamment ses équilibres de charge.

Le Ping of Death et l’UDP Flood

Les autres attaques protocolaires fonctionnent selon un schéma comparable.

Le Ping Flood, ou Ping of Death, s’appuie sur des paquets ICMP, les Internet Control Message Protocol. Il s’agit, pour faire simple, d’un protocole d’information particulièrement actif en cas d’erreur réseau. Les “requêtes Ping” utilisent ainsi l’ICMP Request pour stimuler des réponses “reply” d’un serveur. Les pirates multiplient donc massivement le flux de requêtes Ping à l’attention de la page web cible de l’attaque DDoS, et stimulent ainsi une avalanche de réponses “reply”. Le réseau victime finit par ne plus fonctionner. On appelle donc aussi cette attaque l’IMCP Flood.

Dans le cas de l’UDP Flood, les hackers se servent du protocole de connexion UDP (User Datagram Protocol). Celui-ci permet de transférer des données d’une machine à l’autre sans passer par une négociation de connexion, à l’inverse, donc, de la transmission TCP. Le système victime de cette attaque reçoit un grand nombre de paquets UDP, dont il ne réussit pas à identifier l’origine. Il envoie alors des messages de "destination inaccessible" par centaines, ce qui surcharge ses ressources et bloque, in fine, son système.

Les attaques par amplification, ou attaques volumétriques de la bande passante

On compte parmi les attaques DDoS par amplification les "amplification NTP” et les “amplification DNS”. Dans les deux cas, il s’agit de passer par un service - NTP, DNS ou autre - pour amplifier le trafic vers une cible. La cyberattaque réussit donc quand la victime voit sa bande passante saturée par le nombre de requête.

L’attaque DDoS par amplification NTP consiste à passer par le protocole NTP, Network Time Protocol, pour procéder à l’amplification des requêtes. Ce protocole sert traditionnellement à la synchronisation temporelle des machines sur un même réseau IP. Utilisé avec de mauvaises intentions, il permet d’amplifier le trafic à destination de la cible jusqu’à la rendre inaccessible.

L’attaque DDoS par amplification DNS a déjà touché les sites internet de grandes marques comme la BBC, Microsoft ou Sony. Elle fonctionne elle aussi par “inondation”, le serveur DNS servant d’amplificateur.

Un DNS, ou Domain Name Server, a effectivement pour principal avantage de convertir des URLs en adresses IP. Un pirate peut donc se servir de son botnet pour envoyer aux DNS de multiples requêtes de recherche à partir d’une adresse IP falsifiée, celle de la victime. Chaque serveur DNS va alors générer de gros volumes de trafic en réponse à ses requêtes, et faire capoter le réseau internet cible.

Comment se protéger d’une attaque par déni de service distribué ?

Pour assurer la protection de son réseau face aux différents types d’attaques DDoS, il faut réussir à repérer les signes qui les caractérisent. Il faut aussi connaître les mesures efficaces pour en réduire l’impact.

Identifier rapidement une attaque par déni de service

Il existe plusieurs symptômes classiques de la cyber attaque DDoS. Tout l’enjeu consiste à différencier un pic de trafic légitime d’une lenteur de réseau anormale. Les services informatiques doivent donc s’appuyer sur leurs analyses du trafic pour identifier les signes inquiétants :

- des schémas de trafic inhabituels ;

- des flots de trafic émis par une seule adresse IP ou par une seule et même plage d'adresses IP ;

- un pic de requêtes à destination d’une seule page web ;

- un trafic inexpliqué, émis par des machines aux comportements identiques, agissant possiblement sur le même type de navigateurs.

Comment atténuer une attaque DDoS ?

On parle plus d’atténuation de l'attaque DDoS, ou de “mitigation DDoS”, que de suppression, tant il reste difficile de distinguer le trafic légitime du trafic piraté. Une organisation victime d’une attaque DDoS a donc tout intérêt à se référer à un plan de continuité d’activité (PCA). Tout l’enjeu consiste effectivement à continuer de traiter le trafic légitime, tout en jugulant celui créé de toutes pièces par les pirates.

L’autre grande difficulté inhérente à l’ambition de stopper une attaque DDoS relève de son degré de complexité. Certains pirates n'hésitent pas à procéder à une attaque "multi-vecteurs". Celle-ci combine différentes catégories d’attaques DDoS, et vise plusieurs couches du modèle OSI. L’atténuation d’une attaque DDoS multi-vecteurs réclame donc le croisement de diverses techniques : des stratégies multi-couches.

Le pare-feu applicatif web ou WAF

Un pare-feu applicatif web (WAF) se définit comme un outil qui filtre les requêtes censées déstabilisées la couche 7 d’une connexion réseau. Il agit comme un proxy inverse, qui empêche les pirates de cibler vos adresses IP. Ce pare-feu s’appuie sur des règles qui identifient les DDoS, pour protéger un serveur donné des trafics illégitimes.

Les limitations de taux de requête

Pour se protéger des attaques DDoS, les propriétaires des serveurs peuvent aussi faire le choix de limiter le taux de requêtes qu’ils acceptent sur certaines périodes. Cette stratégie ne suffit pas à stopper les attaques DDoS multi-vecteurs. Elle a cependant le mérite d’atténuer leur impact, et d’empêcher le déroulement de cyberattaques conjointes, du type vols de données.

La limitation du taux de requête a cependant pour conséquence logique de limiter les performances des serveurs. Un manque d’efficacité qui répond peu aux besoins des businesses en ligne, dont la productivité est synonyme de revenus. Cette stratégie n’empêche par ailleurs pas complètement le risque de surcharge du serveur. Pour contourner ce problème, de nombreuses entreprises prévoient un site internet bis, sur lequel se reporte le trafic légitime en cas d’attaque.

Délayer le trafic sur un réseau Anycast

La plupart des professionnels de la cybersécurité anti-DDoS proposent à leurs clients l’utilisation d’un réseau Anycast. On parle aussi dans ce cas d’outil d’”aspiration”. Il s’agit d’un réseau de serveurs libres pour éponger le trafic malveillant et libérer l’expression du trafic légitime. Il s’appuie souvent sur différents datacenters, répartis dans plusieurs localisations. Effectivement, plus le réseau Anycast est grand, plus l’attaque DDoS s’atténue rapidement.

Le dernier recours : le trou noir

Face à une attaque DDoS, le réseau victime peut faire le choix de renvoyer tout le trafic du site internet vers un trou noir. Ce système fait difficilement la distinction entre trafic réseau légitime ou malveillant. Cette technique relève donc d'une forme d’auto-sabordage.

‍