(D)DoS – attaques par congestion

Déni de service (DOS)

DoS est l'abréviation de Denial of Service (déni de service) et fait référence aux attaques de surcharge des systèmes informatiques. L'attaque consiste à envoyer un grand nombre de messages à un système informatique dans le but de le faire tomber en panne parce que le serveur n'est pas en mesure de traiter tous les messages.

Déni de service distribué (DDoS)

Le moyen le plus courant et le plus efficace d'effectuer une attaque par surcharge consiste à faire en sorte qu'un grand nombre d'ordinateurs attaquent simultanément le système. Une telle attaque est appelée DDoS (Distributed Denial of Service).

Botnets

Pour avoir accès à ce grand nombre d'ordinateurs en vue d'une attaque, les attaquants utilisent souvent ce qu'on appelle un botnet. Un certain nombre d'ordinateurs sont détournés en les infectant avec des chevaux de Troie (un type de virus informatique) qui sont installés dans ces ordinateurs à l'insu de leurs propriétaires. À l'aide d'un tel programme viral, les attaquants peuvent contrôler à distance les ordinateurs piratés. Chaque ordinateur individuel dans un tel réseau est appelé un bot ou un zombie

 Attaque goutte d'eau

L'attaquant envoie des paquets malformés et trop volumineux à l'ordinateur attaqué. L'effort qui se produit lorsque l'ordinateur du destinataire essaie d'assembler les pièces du puzzle provoque un crash.

Attaques multi-vecteurs

Ces attaques exploitent plusieurs voies d'accès différentes au système. Une attaque multi-vecteurs peut être très complexe et difficile à gérer pour la partie attaquée.

Les différents types d'attaques DDoS

Il existe différents types d'attaques par congestion qui s'attaquent à différentes cibles dans les connexions réseau. Pour comprendre comment ces différents types d'attaques fonctionnent, il faut avoir une connaissance assez approfondie du fonctionnement des connexions réseau.

Voici quelques exemples de types d'attaques courantes:

Attaque de flux

Attaques du système en utilisant un grand nombre d'ordinateurs pour surcharger le système avec le trafic IP et ici ICMP (Internet Control Message Protocol) et UDP (Datagram Protocol) peuvent être utilisés.

Attaque d'amplification

Une attaque par amplification utilise des agents pour envoyer des messages qui sont envoyés à tous les systèmes d'un sous-réseau . Lorsque les routeurs reçoivent les paquets, ils copient les messages et les transmettent au système de la victime.

Syn-attack

Lorsqu'une attaque se produit, les deux premières étapes (synchronisation, synchronisation et acquittement) sont effectuées, mais l'utilisateur saute la dernière étape en rejetant le paquet ACK ou en n'y répondant pas. L'utilisateur occupe alors l'un des rares créneaux disponibles dans la file d'attente du service TCP. Si l'utilisateur envoie ensuite un nombre suffisant de poignées de main, il finit par bloquer l'utilisation du service par les autres utilisateurs.

Signes d'une attaque DDoS

Étant donné que chaque zombie d'un botnet est en fait une connexion Internet légitime, il est parfois difficile de distinguer le trafic d'attaque du trafic Internet normal, mais certains signes sont généralement perceptibles.

  • Trafic élevé suspecté en provenance d'une personne ou d'une série d'adresses IP. 

  • Flux de trafic provenant d'utilisateurs ayant des profils similaires.

  • Augmentation inexplicablement élevée du nombre de requêtes sur une même page.

  • Circulation irrégulière à certains moments de la journée.

  • Il existe des outils d'analyse du trafic qui permettent de suivre certains soupçons.

Comment pouvez-vous vous protéger ?

Il est difficile de se protéger contre les attaques DDoS, mais vous pouvez prendre certaines mesures préventives :

  • Le fournisseur d'accès à Internet de l'organisation est le premier lien avec Internet, et il peut être en mesure d'offrir une certaine protection, par exemple en limitant l'accès aux systèmes critiques à partir d'adresses IP situées dans des régions avec lesquelles il n'est pas intéressé à se connecter.

  • Veiller à ce que les systèmes critiques disposent d'une bande passante dans la connexion Internet qui dépasse largement la charge normale.

  • Établissez un plan d'action en cas d'attaque DDoS, avec une répartition claire des responsabilités et des voies de contact prêtes à l'emploi.

  • Des logs de pare-feu efficaces peuvent fournir des informations permettant de limiter l'impact des attaques.

  • Contactez des experts en sécurité professionnelle. Il existe des entreprises qui proposent des services pouvant offrir une certaine protection contre les attaques DDoS.

Routage par trou noir ou routage nul

Si vous subissez une attaque DDoS, vous pouvez rediriger le trafic vers une route dite nulle qui ne mène nulle part, c'est-à-dire un trou noir dans le cyberespace. Le problème est qu'il est difficile de distinguer le trafic malveillant du trafic légitime, donc si vous faites cela sans mettre en place de critères de restriction, vous arrêtez tout le trafic vers votre système et perdez même le trafic que vous aimeriez conserver. Mais il peut s'agir d'une solution provisoire pour arrêter les attaques vraiment importantes.

Avez-vous besoin d'aide pour votre cybersécurité ? Contactez nous !