Protection DDoS : Stratégies et Solutions

Quelles sont les motivations derrière une attaque DDoS ?

Il existe plusieurs motivations pour une attaque DDoS. Pour les cybercriminels, elles incluent généralement la possibilité de gagner de l'argent en vendant des attaques DDoS en tant que service, de faire chanter des cibles potentielles en exigeant une rançon, de s'engager dans des actions de hacktivisme, et d'obtenir un avantage concurrentiel.

Des groupes de menaces sophistiqués sont connus pour utiliser les attaques DDoS principalement comme une partie d'autres activités plus graves, telles que la cyberespionnage et la cybersabotage, ou comme une distraction pour ces activités.

Comment fonctionnent les attaques DDoS ?

Les auteurs d'attaques DDoS utilisent des réseaux de dispositifs compromis et distribués pour perturber les systèmes en ciblant un ou plusieurs des composants nécessaires pour établir une connexion (voir le modèle OSI) vers une ressource réseau.

Les attaques volumétriques sont l'un des types les plus anciens d'attaques DDoS. Elles utilisent de grands volumes de trafic pour saturer la capacité de bande passante entre le réseau de la victime et Internet, ou la capacité à l'intérieur du réseau de la victime. Les attaques volumétriques les plus importantes sont actuellement mesurées en térabits par seconde (Tbps), soit l'équivalent d'environ 9 000 connexions Internet moyennes. Par exemple, lors d'une attaque par inondation de protocole User Datagram Protocol (UDP), les attaquants submergent le serveur distant ciblé en demandant des informations à une application écoutant sur un port spécifique. Le serveur vérifie et/ou répond à chaque demande de ce type, finissant par épuiser sa bande passante et devenant injoignable.

Les attaques de protocole. comme leur nom l'indique, abusent de la conception du protocole de communication sous-jacent (couches 3 et 4 du modèle OSI) pour épuiser les ressources du système ciblé. Un exemple d'attaque de protocole est l'attaque SYN flood, qui envoie un grand nombre de demandes spécifiques au serveur ciblé mais ne prend aucune action supplémentaire pour répondre à ces demandes, laissant ainsi le "handshake à trois voies" inachevé. Lorsque le nombre de connexions inachevées épuise la capacité du serveur, celui-ci devient injoignable pour les connexions légitimes. Les attaques de protocole utilisent des paquets spécialement conçus pour atteindre leurs objectifs malveillants et sont donc mesurées en paquets par seconde (PPS). Les attaques les plus importantes enregistrées ont atteint des centaines de millions de paquets par seconde.

Les attaques de la couche d'application (niveau 7 du modèle OSI) ciblent les applications accessibles au public en utilisant un volume élevé de trafic falsifié ou invalide. Un exemple d'attaque DDoS de la couche d'application est une attaque HTTP flood, qui inonde un serveur web spécifique avec des requêtes HTTP GET et HTTP POST en apparence légitimes. Même si le serveur dispose de suffisamment de bande passante, il est obligé de traiter un grand nombre de fausses requêtes au lieu de leurs homologues légitimes, manquant ainsi de capacité de traitement. Les attaques au niveau de la couche application se mesurent en dizaines de millions de requêtes par seconde (RPS).

Déni de service (DoS) vs déni de service distribué (DDoS)

Comme son nom l’indique, la différence réside principalement dans le nombre de machines attaquantes. Dans le cas du DoS, l'attaque utilise généralement un script ou un outil, provient d'un seul appareil et cible un serveur ou un point de terminaison spécifique. En revanche, les attaques DDoS sont exécutées par un vaste réseau d’appareils compromis contrôlés par des attaquants, également appelés botnets, et peuvent être utilisées pour surcharger des appareils, des applications, des sites Web, des services sélectionnés ou même l’ensemble des réseaux des victimes.

Comment savoir si votre organisation est victime d’une attaque DDoS ?

Le signe révélateur le plus évident d’une attaque DDoS est la mauvaise performance ou l’indisponibilité du système ou du service ciblé. Dans le cas d'un site Web, cela peut se traduire par des temps de chargement longs ou une inaccessibilité aux personnes internes et externes à l'organisation. Il existe également des services accessibles au public surveillant les attaques DDoS, tels que downforeveryoneorjustme.com ou downdetector.com

7 raisons pour lesquelles votre organisation devrait se soucier des attaques DDoS

Une organisation sous une attaque DDoS perdra toujours des revenus en raison de l'indisponibilité de son site web, de ses services ou de ses systèmes. La gestion d'un incident impose également une pression financière supplémentaire sur le budget de sécurité.
Selon plusieurs fournisseurs établis surveillant la scène des attaques DDoS, le nombre d'incidents a connu une croissance rapide au cours des trois dernières années.
Les attaques DDoS deviennent également de plus en plus puissantes ; certaines sont même assez puissantes pour perturber des services mondiaux. Alors qu'en 2020, les attaques de plus grande envergure (au niveau du réseau) ont dépassé le seuil de 1 Tbps, en 2021, a quelques incidents notables étaient déjà bien au-delà de 2-3 Tbps. En ce qui concerne le nombre de requêtes par seconde (RPS), au moins deux attaques DDoS en 2021 (signalées par Cloudflare et Yandex) ont dépassé le seuil des 15 millions de RPS.

Que peut faire votre organisation pour se protéger contre les attaques DDoS ?

Les attaques DDoS peuvent être difficiles à atténuer pour les organisations qui ne disposent pas des ressources appropriées, telles que du matériel ou une bande passante suffisante. Cependant, même les petites et moyennes entreprises peuvent prendre des mesures pour renforcer leur protection :

Surveillez le trafic de votre réseauet apprenez à identifier les anomalies dans le trafic Internet. De cette manière, vous pouvez repérer les requêtes frauduleuses ou falsifiées qui inondent vos systèmes et les bloquer.
Mettez en place un plan de reprise d'activité en cas d'attaque DDoS contre votre site web ou vos systèmes. Cela peut inclure la mise en place de serveurs de secours, de sites web de secours et de canaux de communication alternatifs.
Envisagez de migrer vers le cloud. Cela n'éliminera pas la menace, mais cela peut aider à atténuer les attaques en raison de la bande passante supérieure et de la résilience de l'infrastructure cloud.
Si vous avez déjà été la cible d'une attaque DDoS ou si vous êtes à risque, envisagez d'utiliser des services de protection contre les attaques DoS et DDoS qui peuvent vous aider à atténuer l'impact d'une attaque.
Ne laissez pas vos appareils devenir une partie d'un botnet qui peut contribuer à une attaque DDoS. Assurez-vous de suivre les règles d'une bonne cyberhygiène, gardez tous vos appareils et leurs logiciels à jour et protégez-les en installant une solution de sécurité multicouche.

Prévenez les attaques DDoS dès maintenant

ESET PROTECT
Advanced

Obtenez une protection efficace avec les capacités pour atténuer les risques liés aux attaques DDoS. Les solutions de sécurité multicouche d'ESET utilisent une technologie de protection contre les attaques réseau sophistiquée avec une inspection avancée des paquets pour prévenir les perturbations.