Une attaque DDoS est une forme de cyberattaque dans laquelle les auteurs cherchent à perturber ou à mettre hors service un site web, un réseau ou un autre service en ligne n le surchargeant d'un volume élevé de requêtes fausses ou indésirables.
Il existe plusieurs motivations pour une attaque DDoS. Pour les cybercriminels, elles incluent généralement la possibilité de gagner de l'argent en vendant des attaques DDoS en tant que service, de faire chanter des cibles potentielles en exigeant une rançon, de s'engager dans des actions de hacktivisme, et d'obtenir un avantage concurrentiel.
Des groupes de menaces sophistiqués sont connus pour utiliser les attaques DDoS principalement comme une partie d'autres activités plus graves, telles que la cyberespionnage et la cybersabotage, ou comme une distraction pour ces activités.
Les auteurs d'attaques DDoS utilisent des réseaux de dispositifs compromis et distribués pour perturber les systèmes en ciblant un ou plusieurs des composants nécessaires pour établir une connexion (voir le modèle OSI) vers une ressource réseau.
Les attaques volumétriques sont l'un des types les plus anciens d'attaques DDoS. Elles utilisent de grands volumes de trafic pour saturer la capacité de bande passante entre le réseau de la victime et Internet, ou la capacité à l'intérieur du réseau de la victime. Les attaques volumétriques les plus importantes sont actuellement mesurées en térabits par seconde (Tbps), soit l'équivalent d'environ 9 000 connexions Internet moyennes. Par exemple, lors d'une attaque par inondation de protocole User Datagram Protocol (UDP), les attaquants submergent le serveur distant ciblé en demandant des informations à une application écoutant sur un port spécifique. Le serveur vérifie et/ou répond à chaque demande de ce type, finissant par épuiser sa bande passante et devenant injoignable.
Les attaques de protocole. comme leur nom l'indique, abusent de la conception du protocole de communication sous-jacent (couches 3 et 4 du modèle OSI) pour épuiser les ressources du système ciblé. Un exemple d'attaque de protocole est l'attaque SYN flood, qui envoie un grand nombre de demandes spécifiques au serveur ciblé mais ne prend aucune action supplémentaire pour répondre à ces demandes, laissant ainsi le "handshake à trois voies" inachevé. Lorsque le nombre de connexions inachevées épuise la capacité du serveur, celui-ci devient injoignable pour les connexions légitimes. Les attaques de protocole utilisent des paquets spécialement conçus pour atteindre leurs objectifs malveillants et sont donc mesurées en paquets par seconde (PPS). Les attaques les plus importantes enregistrées ont atteint des centaines de millions de paquets par seconde.
Les attaques de la couche d'application (niveau 7 du modèle OSI) ciblent les applications accessibles au public en utilisant un volume élevé de trafic falsifié ou invalide. Un exemple d'attaque DDoS de la couche d'application est une attaque HTTP flood, qui inonde un serveur web spécifique avec des requêtes HTTP GET et HTTP POST en apparence légitimes. Même si le serveur dispose de suffisamment de bande passante, il est obligé de traiter un grand nombre de fausses requêtes au lieu de leurs homologues légitimes, manquant ainsi de capacité de traitement. Les attaques au niveau de la couche application se mesurent en dizaines de millions de requêtes par seconde (RPS).
Comme son nom l’indique, la différence réside principalement dans le nombre de machines attaquantes. Dans le cas du DoS, l'attaque utilise généralement un script ou un outil, provient d'un seul appareil et cible un serveur ou un point de terminaison spécifique. En revanche, les attaques DDoS sont exécutées par un vaste réseau d’appareils compromis contrôlés par des attaquants, également appelés botnets, et peuvent être utilisées pour surcharger des appareils, des applications, des sites Web, des services sélectionnés ou même l’ensemble des réseaux des victimes.
Le signe révélateur le plus évident d’une attaque DDoS est la mauvaise performance ou l’indisponibilité du système ou du service ciblé. Dans le cas d'un site Web, cela peut se traduire par des temps de chargement longs ou une inaccessibilité aux personnes internes et externes à l'organisation. Il existe également des services accessibles au public surveillant les attaques DDoS, tels que downforeveryoneorjustme.com ou downdetector.com
Une attaque DDoS peut également être identifiée via la surveillance et l'analyse du trafic réseau qui identifient les requêtes fausses ou indésirables surchargeant un ou plusieurs systèmes de l'entreprise. Dans certains cas, un message d'extorsion peut également indiquer une attaque DDoS possible ou en cours, exigeant une rançon pour retirer votre organisation de la liste des cibles futures ou pour mettre fin à une attaque en cours.
4. Les organisations n'ont pas besoin d'être la cible principale pour ressentir l'impact d'une attaque DDoS, en particulier si elle perturbe des parties vitales de l'infrastructure Internet, telles que les FAI locaux ou régionaux. En 2016, des criminels ont inondé les serveurs du principal fournisseur de services DNS, Dyn. D'autres services en ligne majeurs sont devenus indisponibles en raison de cette attaque DDoS, notamment Twitter, Reddit, Netflix et Spotify.
5. Certains acteurs cybercriminels menacent d'utiliser leurs botnets pour une attaque DDoS contre 4 5. une organisation spécifique à moins qu'une rançon ne soit versée. Ces attaques sont appelées attaques de rançon DDoS et ne nécessitent pas que l'attaquant accède aux réseaux de leurs cibles.
6. Depuis 2020, les attaques DDoS contre les sites web des victimes font également partie du schéma de "triple extortion" utilisé par des gangs de ransomware de haut niveau, ajoutant le DDoS en plus du vol et du chiffrement des données des cibles.
7. Il existe des services de location d'attaques DDoS ur le dark web qui permettent même à des acteurs inexpérimentés disposant de l'argent et de la motivation, tels que l'avantage sur un concurrent, d'organiser une attaque DDoS.
Les attaques DDoS peuvent être difficiles à atténuer pour les organisations qui ne disposent pas des ressources appropriées, telles que du matériel ou une bande passante suffisante. Cependant, même les petites et moyennes entreprises peuvent prendre des mesures pour renforcer leur protection :
Obtenez une protection efficace avec les capacités pour atténuer les risques liés aux attaques DDoS. Les solutions de sécurité multicouche d'ESET utilisent une technologie de protection contre les attaques réseau sophistiquée avec une inspection avancée des paquets pour prévenir les perturbations.
