Une attaque DDoS est une forme de cyberattaque dans laquelle les auteurs cherchent à perturber ou à faire échouer un site web, un réseau ou un autre service en ligne en le surchargeant d'un volume élevé de fausses demandes ou de demandes inutiles.
Il existe plusieurs motivations pour une attaque DDoS. Pour les cybercriminels, il s'agit généralement de gagner de l'argent en vendant des attaques DDoS en tant que service, de faire chanter des cibles potentielles pour qu'elles paient une rançon, de faire du hacktivisme et d'obtenir un avantage concurrentiel.
Les groupes de menace sophistiqués sont connus pour utiliser les attaques DDoS le plus souvent comme une partie ou une distraction d'autres activités plus graves telles que le cyberespionnage et le cybersabotage.
Les auteurs d'attaques DDoS utilisent des réseaux de dispositifs distribués et compromis pour perturber les systèmes en ciblant un ou plusieurs des composants nécessaires pour établir une connexion (voir le OSI model) à une ressource du réseau.
Attaques volumétriques sont l'un des plus anciens types d'attaques DDoS. Elles utilisent de grands volumes de trafic pour remplir la capacité de la bande passante entre le réseau de la victime et l'internet ou la capacité au sein du réseau de la victime. Les attaques volumétriques les plus importantes sont (actuellement) mesurées en térabits par seconde (Tbps), ce qui correspond à environ 9 000 connexions Internet moyennes. Par exemple, lors d'une attaque par inondation UDP (User Datagram Protocol), les attaquants submergent le serveur distant ciblé en demandant des informations à une application qui écoute sur un port spécifique. Le serveur vérifie chacune de ces demandes, et/ou y répond, et finit par manquer de bande passante et devenir inaccessible.
Attaques de protocole. Comme son nom l'indique, l'attaque par protocole utilise la conception du protocole de communication sous-jacent (couches 3 et 4 du modèle OSI) pour épuiser les ressources du système ciblé. Un exemple d'attaque de protocole est le SYN flood, qui envoie un grand nombre de requêtes spécifiques au serveur ciblé, mais laisse les réponses à ces requêtes sans autre action, laissant la "poignée de main à trois" incomplète. Lorsque le nombre de connexions inachevées épuise la capacité du serveur, celui-ci devient inaccessible pour les connexions légitimes. Les attaques de protocole utilisent des paquets spécifiquement conçus pour atteindre leurs objectifs malveillants et sont donc mesurées en paquets par seconde (PPS). Les plus grandes attaques enregistrées ont atteint des centaines de millions.
Attaques de la couche application (couche 7 du modèle OSI) ciblent les applications destinées au public par le biais d'un volume élevé de trafic usurpé ou factice. Un exemple d'attaque DDoS au niveau de la couche applicative est l'inondation HTTP, qui inonde un serveur web spécifique de demandes HTTP GET et HTTP POST par ailleurs légitimes. Même si le serveur dispose d'une bande passante suffisante, il est contraint de traiter un grand nombre de fausses demandes au lieu de leurs homologues légitimes, ce qui épuise sa capacité de traitement. Les attaques de la couche applicative se mesurent en dizaines de millions de requêtes par seconde (RPS).
Comme son nom l'indique, la différence réside principalement dans le nombre de machines attaquantes. Dans le cas d'un DoS, l'attaque utilise généralement un script ou un outil, provient d'un seul appareil et cible un serveur ou un point final spécifique. En revanche, les attaques DDoS sont exécutées par un vaste réseau de dispositifs compromis contrôlés par l'attaquant, également connu sous le nom de botnet, et peuvent être utilisées pour surcharger certains dispositifs, applications, sites web, services ou même des réseaux entiers de victimes.
Le signe révélateur le plus évident d'une attaque DDoS est la mauvaise performance ou l'indisponibilité du système ou du service visé. Dans le cas d'un site web, cela peut se traduire par de longs temps de chargement ou l'inaccessibilité pour les personnes à l'intérieur et à l'extérieur de l'organisation. Il existe également des services publics de surveillance des attaques DDoS, tels que downforeveryoneorjustme.com ou downdetector.com.
Une attaque DDoS peut également être identifiée par le biais de la surveillance et de l'analyse du trafic réseau qui identifie les demandes bidon ou indésirables surchargeant un ou plusieurs systèmes de l'entreprise. Dans certains cas, un message d'extorsion peut également indiquer une attaque DDoS possible ou en cours, demandant une rançon pour que votre organisation soit retirée de la liste des cibles futures ou pour qu'elle mette fin à une attaque en cours.
4. Les organisations n'ont pas besoin d'être la cible principale pour ressentir l'impact d'une attaque DDoS, surtout si elle perturbe les parties vitales de l'infrastructure Internet, comme les fournisseurs d'accès locaux ou régionaux. En 2016, des criminels ont inondé les serveurs du principal fournisseur de DNS, Dyn. D'autres services en ligne majeurs sont devenus indisponibles à cause de cette attaque DDoS, notamment Twitter, Reddit, Netflix et Spotify.
5. Certains acteurs cybercriminels menacent d'utiliser leurs botnets pour une attaque DDoS contre une organisation spécifique, à moins qu'un paiement ne soit effectué. Ces attaques sont appelées attaques DDoS avec demande de rançon et ne nécessitent pas que l'attaquant accède aux réseaux de ses cibles.
6. Depuis 2020, les attaques DDoS contre les sites web des victimes font également partie du schéma de "triple extorsion" utilisé par des gangs de ransomware très connus, ajoutant le DDoS en plus du vol et du cryptage des données des cibles.
7. Il existe des services DDoS for hire sur le dark web qui permettent même à des acteurs inexpérimentés disposant de l'argent et de la motivation nécessaire, par exemple pour obtenir un avantage sur un concurrent, d'organiser une attaque DDoS.
Les attaques DDoS peuvent être difficiles à atténuer pour les organisations qui ne disposent pas des ressources adéquates, telles que du matériel ou une bande passante suffisante. Cependant, il existe des mesures que même les petites et moyennes entreprises peuvent prendre pour renforcer leur protection :
Obtenez une protection efficace avec les capacités d'atténuer les risques liés aux attaques DDoS. Les solutions de sécurité multicouches d'ESET utilisent une technologie sophistiquée de protection contre les attaques réseau avec un filtrage avancé et une inspection des paquets pour éviter les perturbations.
