Une attaque DDos se produit lorsqu’un attaquant inonde intentionnellement la bande passante d’un réseau, en le submergeant avec ses propres demandes entrantes. Ce volume massif de trafic signifie que les visiteurs légitimes ne peuvent plus atteindre ni utiliser le site.
Cet article examine en profondeur ce que sont ces attaques. Vous découvrirez le fonctionnement des attaques DDoS, quels en sont les modèles les plus courants et comment les détecter. Plus important, vous découvrirez comment votre organisation peut prévenir les attaques DDoS.
Chaque réseau a des ressources limitées. Par exemple, l’infrastructure qui soutient le site web de votre organisation n’a pas la capacité pour gérer un nombre infini de requêtes ou de trafic simultanés.
Lors d’une attaque DDoS, un hacker inonde votre réseau ou votre serveur avec un afflux de requêtes. Leur but est de dépasser sa capacité et de le rendre incapable de répondre aux demandes légitimes provenant des utilisateurs internes ou des acheteurs en ligne.
Les attaques DDoS peuvent interrompre totalement votre service ou le faire fonctionner si lentement que les employés ou les personnes voulant faire affaire avec vous ne le puissent pas. Le personnel ne peut pas faire son travail efficacement lorsque votre réseau est coupé ou ralentit jusqu’au point mort. Des clients potentiels ne peuvent pas aller sur votre site du tout ou le quittent car ils sont trop frustrés par la lente réponse du site.
Comme vous pouvez l’imaginer, si un hacker empêche votre site web ou votre réseau de fonctionner correctement, il peut paralyser votre entreprise pendant plusieurs heures, jours ou plus encore. Il pourrait vous coûter plusieurs milliers de dollars par heure en raison des transactions manquées si les acheteurs ne peuvent pas vous joindre.
Ceux qui réalisent des attaques DDoS peuvent cibler n’importe quel type d’organisation, mais les cibles typiques incluent les suivantes :
Les sites de e-commerce
Les casinos en ligne
N’importe quelle entreprise s’appuyant sur une connexion en ligne pour son activité ou pour fournir des services
La raison pour laquelle un attaquant s’en prend à une organisation peut varier. Un attaquant pourrait être :
Un concurrent malveillant cherchant à perturber votre capacité à faire des transactions.
Un attaquant essayant d’endommager la réputation de votre organisation en interrompant vos services.
Un criminel cherchant à extorquer une somme importante en échange de la fin de l’attaque.
Une attaque DoS (par déni de service) plus simple peut être réalisée par un seul utilisateur avec un seul ordinateur utilisé pour inonder le réseau ciblé avec des demandes. Un DoS peut également se produire sans qu’un large volume de trafic soit envoyé à un service. Plutôt, il peut s’agir d’un bug dans le code de l’application qui le conduirait à ne plus avoir de ressources. Par exemple, si un appel d’API en particulier entraîne une boucle infinie en raison d’une erreur de programmation, un DoS a lieu avec une seule demande.
Toutefois, les hackers ont généralement recours à une attaque par déni de service distribué. Cela signifie qu’ils utilisent tout un réseau d’appareils, ce qui leur permet d’augmenter le volume du trafic qu’ils peuvent utiliser pour inonder le serveur qu’ils ciblent. Le réseau d’un attaquant peut être constitué de n’importe quel nombre d’ordinateurs ou d’appareils de l’Internet des Objets (IdO).
L’attaquant DDoS élabore son réseau d’attaque en commençant par recruter une armée d’appareils en les infectant avec un malware qui permet à l’attaquant de les contrôler à distance. Une fois que son botnet est en place, l’attaquant peut lancer une attaque DDoS en ordonnant à chaque bot d’envoyer des demandes à l’adresse IP ciblée, en inondant le réseau ou le serveur de la victime. Le DoS rend le site web de la victime inutilisable.
Une forme populaire de DDoS est l’amplification d’un DNS (Domain Name Server), lorsque des attaquants utilisent des serveurs DNS publics pour submerger le système d’une victime avec un trafic de réponse DNS. En savoir plus sur l’amplification du DNS auprès de l’US Cybersecurity & Infrastructure Security Agency.
Si une attaque DDoS réussit, le résultat évident sera le ralentissement jusqu’au point mort d’un site web ou d’un service, ou bien que l’un ou l’autre devienne indisponible. Parfois, toutefois, l’augmentation d’un trafic légitime peut entraîner des problèmes similaires. Si vous soupçonnez que vous êtes victime d’une attaque DDoS, l’analyse du trafic peut vous aider à obtenir des réponses. Il existe des signes plus spécifiques selon le type d’attaque DDoS, mais voici quelques points à surveiller :
Des schémas étranges, comme des pics de trafic qui ont lieu en dehors des heures habituelles ou des pics répétés dans des schémas inhabituels.
Un poussée soudaine du trafic provenant d’utilisateurs avec un profil commun, comme l’emplacement ou le type d’appareil.
Un trafic important provenant d’une adresse IP ou d’une plage d’adresses IP.
Un déluge soudain de demandes vers une seule terminaison ou une seule page.
La difficulté réelle pour réduire les attaques DDoS réside dans la capacité à faire la différence entre le trafic légitime et le trafic des attaques. Le trafic DDoS peut prendre plusieurs formes différentes, allant d’une source unique sans usurpation d’identité à des attaques multivecteurs qui s’adaptent à vos mesures de protection. La difficulté pour faire la différence entre un trafic DDoS et un trafic normal, augmente au même rythme que la complexité des attaques, ce qui accroît aussi la possibilité de les réduire.
Si vous voulez contrecarrer aussi vite que possible une attaque DDoS, vous ne voulez pas limiter ou bloquer aveuglément le trafic. C’est la raison pour laquelle une approche de la réduction des DDoS avec plusieurs degrés est votre meilleure chance.
En utilisant la limitation de débit, vous pouvez mettre un socle sur le nombre de demandes (comme le nombre de tentatives) que votre serveur accepte pendant une période prédéterminée. Il trace les demandes vers l’adresse IP depuis lesquelles elles proviennent et identifie la proximité entre ces demandes. Si trop de demandes sont faites trop rapidement par la même adresse IP, la limitation de débit ne permettra pas aux demandes des adresses IP d’être remplies pendant une durée déterminée.
La limitation de débit est utile car elle peut réduire certains types d’attaques par bot et contribuer à empêcher une inondation de données d’enliser la capacité de votre réseau. Elle peut aussi entraver le chemin des attaquants cherchant à voler du contenu et empêcher les tentatives de connexion par force brute.
La nature de la limitation de débit la rend également utile contre la surutilisation des API (application programming interface). Si la surutilisation des API n’est pas toujours le fruit de l’activité d’un bot ou d’actes malveillants, il est important de l’empêcher.
La limitation de débit est exécutée au sein d’une application, et non sur le serveur web. Utilisée seule, elle ne suffirait probablement pas à éliminer une attaque DDoS complexe, mais il s’agit d’un élément utile pour une stratégie de sécurité et de réduction des DDoS plus complète.
En dernier recours pour éviter une attaque DDoS, les administrateurs d’un réseau ont généralement l’option de créer un routage blackhole (également appelé « null route ») par lequel faire passer le trafic d’un site web. Une fois mis en place, tout trafic passant par le routage blackhole sera évincé du réseau.
En cas de protocoles sans connexion comme l’UDP (User Datagram Protocol), aucune information ne sera renvoyée à la source au sujet des données évincées. Mais avec des protocoles tels que le protocole TCP (Transmission Control Protocol) qui nécessite une connexion handshake avec le réseau ciblé, une notification de data-drop vers la source sera envoyée.
Un routage blackhole peut être mis en place sans critère restreignant le type de flux de trafic le traversant. Cela signifie que le trafic légitime sera évincé du réseau de même que le trafic malveillant.
Si le routage blackhole est votre seule option, votre fournisseur de service Internet (ISP) peut diriger tout le trafic de votre site vers le routage blackhole. Toutefois, cela permet principalement de donner à l’attaquant ce qu’il veut en rendant votre réseau inaccessible.
Un autre inconvénient découlant du blackholing est le fait qu’une attaque avancée peut avoir recours à divers vecteurs d’attaque et adresses IP, ce qui vous oblige à ajuster votre routage blackhole pour essayer de tenir le rythme.
Cela étant dit, le blackholing peut être utile lorsque l’attaque DDoS cible un site web plus petit appartenant à un réseau plus grand. Si c’est le cas, utiliser le blackholing pour tout le trafic envoyé vers ce site pourrait empêcher le reste du réseau d’être affecté.
Un WAF (Web Application Firewall) surveille et filtre le trafic HTTP entre Internet et les applications web, ce qui contribue à les protéger contre les DDoS et d’autres attaques malveillantes telles que le cross-site scripting, l’injection SQL et l’inclusion de fichier. Bien qu’un WAF ne puisse pas défendre une entreprise contre chaque type d’attaque, il s’agit d’une partie importante d’un système complet de cybersécurité.
Déployé face à une application web, un WAF agit comme un bouclier entre l’Internet plus large et cette application. En qualité de proxy inversé, il fortifie un serveur contre les attaques malveillantes en faisant passer les clients à travers lui avant qu’ils puissent atteindre le serveur.
Le but des politiques qui guident le filtre WAF est de filtrer et d’écarter le trafic malveillant. Une fois mis en place, il est assez rapide et facile de modifier ces politiques en fonction des besoins et selon l’évolution des vecteurs d’attaque. Cela ajoute de l’agilité à la façon dont une cible peut répondre. Par exemple, lors d’une attaque DDoS, le fait d’avoir un DDoS en place permettra de mettre rapidement en œuvre la limitation de débit.
Au cours des dernières années, les avancées numériques ont conduit à une hausse massive du développement des API, car les API jouent un rôle clé dans l’IdO et les applis mobiles. Cela signifie que la sécurité des API est un domaine de préoccupation qui ne cesse de s’accroître. Malheureusement, les API sont vulnérables aux attaques DDoS et constituent des cibles attrayantes pour les cybercriminels.
Gartner avait prédit cette tendance en 2017 en estimant que d’ici 2022, « les utilisations abusives d’API seront le vecteur d’attaque le plus fréquent aboutissant à des fuites de données pour les applications web ». Il était recommandé que les organisations mettent en œuvre une « approche continue de la sécurité des API… en concevant la sécurité au sein des API ».
Étant donné que les API sont souvent accessibles par le biais des réseaux publics auxquels on accède depuis n’importe où avec une connexion Internet, elles ont une bonne visibilité publique et sont exposées à la rétro-ingénierie. Une sécurité complète des API peut contribuer à renforcer la sécurité à ce niveau de l’application mais aussi à éliminer des attaques si et quand elles ont lieu.
Si la sécurité basée sur des règles est un pas dans la bonne direction, son efficacité dépend de l’efficacité de ses règles mêmes. Les mesures de sécurité individuelle des API, comme le réseau de diffusion de contenu et le WAF peuvent fournir une protection de base contre le DDoS et d’autres types d’attaques. Toutefois, elles ne suffisent tout simplement pas à arrêter les hackers compétents et déterminés de profiter des faiblesses uniques susceptibles d’être présentes dans chaque API.
Compte tenu de l’augmentation du développement des API et de leurs potentielles vulnérabilités, une solution complète de sécurité des API est plus essentielle aujourd’hui que jamais.
API Intelligence de Ping a recours à l’intelligence artificielle pour améliorer la visibilité du trafic, bloquer les menaces et détecter les anomalies dans le but de contribuer à protéger votre entreprise contre les DDoS et les autres menaces. En savoir plus en téléchargeant le Livre blanc sur la sécurité des API de Ping.
Lancez-vous dès Aujourd'hui
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite