- Une attaque DDoS implique l'utilisation de plusieurs appareils connectés en ligne, collectivement appelés botnet, qui submerge un site Web cible avec un trafic factice. Elle ne tente pas de violer le périmètre de sécurité, mais se concentre plutôt sur le fait de rendre les sites Web et les serveurs indisponibles pour les utilisateurs autorisés et légitimes.
- L'atténuation DDoS est le processus de protection réussie d'un serveur ou d'un réseau cible contre une attaque DDoS, par lequel la victime cible peut atténuer la menace entrante à l'aide d'appareils réseau spécialement conçus ou de services de protection basés sur le cloud.
- L'atténuation DDoS comprend quatre phases cruciales: l'absorption pour se protéger contre les temps d'arrêt, le test pour identifier et vérifier les schémas d'attaque, la prévention pour bloquer le trafic malveillant et la riposte pour gérer efficacement et réduire les faux positifs, protégeant ainsi contre les cybermenaces perturbatrices.
Les attaques DDoS, également connues sous le nom d'attaques par déni de service distribué, sont une forme d'agression cybernétique visant des applications ou des sites Web particuliers. En 2023, les attaques de la couche application ont augmenté de 165%, le secteur technologique étant la cible principale parmi tous les secteurs. Par conséquent, il est impératif de mettre en œuvre une stratégie robuste d'atténuation DDoS pour garantir une disponibilité et une résilience constantes.
À lire également: 4 choses essentielles à savoir sur les attaques DDoS
Processus d'une attaque DDoS
Une attaque DDoS, attaque par déni de service distribué, consiste pour l'attaquant à profiter des vulnérabilités des machines et systèmes existants sur Internet, pour capturer un grand nombre d'hôtes en réseau et en faire un agent de l'attaquant.
Lorsque le nombre de machines mandataires d'attaque contrôlées atteint la satisfaction de l'attaquant, l'attaquant peut émettre des commandes de frappe à tout moment par l'intermédiaire du maître d'attaque.
Le contrôleur maître d'attaque est très difficile à localiser en raison de son emplacement très flexible et du court laps de temps nécessaire pour émettre la commande. Une fois la commande d'attaque transmise au manipulateur d'attaque, le maître peut s'arrêter ou se déconnecter du réseau pour éviter le suivi, et le manipulateur d'attaque transmet la commande à chaque agent d'attaque.
Après que la machine agent d'attaque a reçu la commande d'attaque, elle commence à envoyer de nombreux paquets de demande de service à l'hôte cible. Ces paquets sont camouflés de sorte que l'attaquant ne puisse pas identifier leur source, et les services demandés par ces paquets ont tendance à consommer des ressources système plus importantes, telles que le processeur ou la bande passante réseau.
Si des centaines, voire des milliers de mandataires d'attaque attaquent une cible en même temps, cela peut entraîner l'épuisement des ressources réseau et système de l'hôte cible, arrêtant ainsi le service. Parfois, cela peut même entraîner un plantage du système.
Cela peut également bloquer les périphériques réseau tels que les pare-feu et les routeurs sur le réseau cible, aggravant encore la congestion du réseau. En conséquence, l'hôte cible est incapable de fournir le moindre service aux utilisateurs normaux. Les protocoles utilisés par les attaquants sont des protocoles et services très courants. Il est donc difficile pour les administrateurs système de distinguer les requêtes malveillantes des requêtes de connexion normales, ce qui rend impossible la séparation efficace des paquets d'attaque et rend la défense plus difficile.
À lire également: ChatGPT est tombé en panne à cause d'une attaque DDoS, pas de sa popularité
Concept de l'atténuation DDoS
L'atténuation DDoS est la pratique consistant à protéger un serveur ou un réseau contre une attaque DDoS en bloquant et en absorbant avec succès les pics malveillants de trafic réseau et d'utilisation des applications. Un service de protection basé sur le cloud ou un équipement réseau spécial est utilisé pour atténuer la menace entrante. Cela n'entrave pas le flux de trafic légitime.
L'atténuation DDoS contrecarre les risques commerciaux résultant des attaques DDoS contre une organisation. Ces techniques d'atténuation sont conçues spécifiquement pour donner la priorité à la préservation de la disponibilité des ressources que les attaquants cherchent à perturber.
L'atténuation DDoS vise également à accélérer le temps de réponse aux attaques DDoS, car la plupart du temps, les attaques sont davantage une tactique de diversion qui tente de détourner l'attention d'autres attaques plus graves ailleurs sur le réseau.
Pourquoi avons-nous besoin d'atténuation DDoS ?
La logique de base de la composition du réseau conduit à un avantage dans les tactiques de déni de service par les perturbateurs en ligne, qui peuvent réaliser des opérations d'attaque pertinentes en mettant votre entreprise hors ligne pendant des minutes, des heures ou des semaines.
Selon Kaspersky, un logiciel antivirus de renommée internationale, les attaques DDoS coûtent en moyenne plus de 2 millions de dollars aux entreprises.
4 phases du travail d'atténuation DDoS
L'atténuation DDoS fonctionne en identifiant et en bloquant la source du trafic d'attaque, par exemple en utilisant des règles de pare-feu ou une limitation de débit. De plus, les solutions de protection DDoS absorbent et filtrent le trafic d'attaque avant qu'il n'atteigne le réseau ou le site Web protégé.
Ces solutions utilisent généralement la mise en forme du trafic, le filtrage et la redirection du trafic vers un centre de nettoyage où le trafic d'attaque est analysé et filtré.
1. Absorption
La première étape pour se défendre contre une attaque DDoS consiste à absorber l'attaque, ce qui protège le système contre les temps d'arrêt. Il est essentiel de savoir combien de requêtes et d'IP simultanées l'application reçoit par minute et d'effectuer plusieurs tests.
En règle générale, les solutions de protection DDoS basées sur le cloud sont meilleures car elles disposent de capacités de mise à l'échelle automatique. Les solutions de service locales sont surpassées par les solutions sur site en raison du nombre de serveurs.
2. Test
L'étape suivante consiste à détecter s'il s'agit d'une attaque DDoS valide et la solution peut indiquer:
Combien de requêtes sont au niveau URI (uniform resource identifier) ?
Nombre de requêtes provenant d'IP ?
Combien de requêtes sont au niveau session/hôte ?
Combien de requêtes sont dans l'ensemble du domaine ?
3. Prévention
La troisième étape consiste à empêcher que l'attaque ne soit livrée à l'application. La solution de protection DDoS identifie les vecteurs d'attaque et bloque les requêtes faites en utilisant ces vecteurs d'attaque. Ensuite, la solution détecte diverses attaques multi-vecteurs.
L'intelligence artificielle joue un rôle important dans la prévention des attaques DDoS. Idéalement, la solution d'atténuation devrait être capable d'utiliser les données passées et de prédire le comportement en direct.
À tout moment, la solution devrait être capable de suggérer et d'appliquer des « limites de débit » avec autant de détails que possible. Cela inclut les limites de débit par URI, session/hôte, IP et domaine.
4. Riposte
La riposte est une grande partie des « services gérés » ou des services de protection DDoS proposés par les fournisseurs de WAF (pare-feu d'application Web). Bien que l'IA puisse suggérer des limites de débit et même appliquer des « règles de blocage », disposer d'une solution d'atténuation DDoS contribuera grandement à réduire les faux positifs. Après tout, fondamentalement, les attaques DDoS ressemblent à des requêtes légitimes.