Les attaques DDoS représentent une menace significative pour la sécurité des sites web, engendrant des conséquences dommageables telles que les fuites de données, une atteinte à la réputation et des pertes financières, pour ne citer que quelques exemples.
Même une petite faille dans votre dispositif de sécurité peut entraîner des problèmes tels que des attaques DDoS. L’objectif principal de ce type d’attaque en ligne est de perturber ou de rendre inutilisable un site web en submergeant l’ensemble du réseau avec un trafic artificiel.
Par conséquent, les propriétaires de sites web doivent être conscients des différents types d’attaques DDoS et être en mesure de les contrer, ou du moins d’en minimiser les conséquences.
Selon des études, les attaques DDoS pourraient augmenter de plus de 300 % en 2023. Cette perspective est extrêmement préoccupante pour les particuliers et les entreprises, car ces attaques peuvent nuire considérablement à leurs sites web.
Dans cet article, nous allons examiner les différents types d’attaques DDoS les plus répandus, et nous verrons comment les prévenir et protéger votre site web.
Qu’est-ce qu’une attaque DDoS ?
Une attaque par déni de service distribué (DDoS) constitue une menace pour la sécurité des sites web, susceptible de perturber le trafic du serveur, du réseau ou du service en inondant l’infrastructure ou la cible avec un flux de trafic non sollicité. Elle peut exploiter des ordinateurs et d’autres ressources réseau, notamment les appareils IoT.
L’objectif principal d’une attaque DDoS est de saturer le système avec un trafic factice, par exemple une augmentation soudaine des demandes de connexion, des messages ou des paquets de données. Cette quantité massive de requêtes peut provoquer le blocage ou le ralentissement des systèmes, car les ressources disponibles ne suffiront pas pour traiter l’ensemble des demandes.
Bien que certains pirates utilisent ce type d’attaque pour extorquer de l’argent aux propriétaires de sites web, les motivations principales sont généralement les suivantes :
- Perturber les communications et les services
- Nuire à l’image de marque
- Obtenir un avantage sur la concurrence
- Détourner l’attention de l’équipe de réponse aux incidents
Les entreprises de toutes tailles peuvent être affectées par ces attaques si elles ne mettent pas en œuvre les mesures de sécurité appropriées. Les secteurs les plus visés sont :
- Les détaillants en ligne
- Les entreprises de la fintech et les institutions financières
- Les entreprises de jeux et de jeux en ligne
- Les entités gouvernementales
- Les fournisseurs de services informatiques
Les attaquants recourent fréquemment à un botnet pour mener ce type d’attaques. Un botnet est un réseau d’ordinateurs infectés par des logiciels malveillants, d’objets connectés IoT et d’appareils mobiles qui sont contrôlés par l’auteur de l’attaque DDoS. Les pirates utilisent ces appareils pour envoyer de multiples requêtes à l’adresse IP d’un serveur ou d’un site web ciblé.
Les attaques DDoS engendrent de nombreuses difficultés pour les entreprises : abandon de paniers d’achat, perte d’activité et de revenus, interruption des services, utilisateurs mécontents, etc. De plus, la remise en état de l’entreprise peut s’avérer coûteuse et chronophage.
Comment se déroule une attaque DDoS ?
Les agresseurs exploitent des machines « zombies » connectées à Internet pour mener des attaques DDoS. Ces réseaux sont composés de nombreux appareils, tels que des appareils IoT, qui peuvent être infectés par des logiciels malveillants, permettant ainsi aux attaquants de contrôler vos systèmes à distance.
Ces appareils individuels sont appelés « bots », et un ensemble de bots constitue un « botnet ». Une fois qu’un attaquant a mis en place un botnet, il peut plus facilement orchestrer une attaque par le biais d’instructions à distance.
Lorsque le réseau ou le serveur d’une victime est ciblé, chaque bot du botnet envoie une requête à l’adresse IP du site web, ce qui provoque la saturation du réseau ou du serveur par le trafic. Étant donné que chaque bot est un appareil connecté unique, il est difficile de distinguer le trafic normal du trafic d’attaque.
L’impact d’une attaque DDoS sur une entreprise
Les attaques DDoS ralentissent les performances de votre site web, interrompent les services à la clientèle et causent d’autres problèmes. En conséquence, les entreprises sont confrontées à diverses difficultés, notamment :
- Perte de réputation : la réputation est un facteur essentiel pour toute entreprise. Les clients, les investisseurs et les partenaires font confiance à votre site web et comptent sur lui. Une attaque DDoS leur donne l’impression que votre site n’est pas sécurisé, ce qui nuit à votre réputation.
- Perte de données : les pirates peuvent accéder à vos systèmes, à vos données et les utiliser à des fins malhonnêtes, par exemple voler de l’argent sur des comptes bancaires.
- Pertes financières : si votre plateforme de commerce électronique ou votre site web devient soudainement inaccessible, vous perdez des revenus car les demandes et les commandes ne peuvent plus être traitées. Dans ce cas, les sites web concurrents gagnent la confiance de vos clients. La remise en état de votre entreprise, la reconquête de vos clients et la restauration de votre réputation sont également coûteuses.
Trois grands types d’attaques DDoS
Bien que l’objectif principal de toute attaque DDoS soit de submerger votre système avec un trafic artificiel, les méthodes employées diffèrent. Examinons les trois grands types d’attaques DDoS :
#1. Attaques de la couche application
La couche application est celle où le serveur génère une réponse à la demande envoyée par un client.
Par exemple, lorsque vous saisissez l’adresse https://www.abc.com/learning/ dans votre navigateur web, celui-ci envoie une requête HTTP au serveur pour demander la page d’apprentissage. Le serveur recherche alors toutes les informations relatives à cette page, les assemble et les renvoie à votre navigateur web.
Ce processus de récupération et de conditionnement a lieu dans cette couche. Une attaque de la couche application se produit lorsqu’un attaquant utilise plusieurs machines ou bots pour envoyer en continu des requêtes à la même ressource du serveur.
L’attaque de la couche application la plus répandue est l’attaque par inondation HTTP, dans laquelle des acteurs malveillants envoient en permanence des requêtes HTTP non sollicitées au serveur en utilisant un grand nombre d’adresses IP.
#2. Attaques volumétriques
Lors des attaques volumétriques, les attaquants bombardent un serveur avec un trafic important afin d’épuiser complètement la bande passante du site web.
L’attaque la plus couramment utilisée est l’attaque par amplification DNS. Dans ce type d’attaque, un acteur malveillant envoie des requêtes au serveur DNS en utilisant une fausse adresse IP du site web ciblé.
Le serveur DNS envoie alors la réponse au serveur ciblé par les attaquants. Lorsque cette opération est répétée plusieurs fois, le serveur ciblé est surchargé et ralentit, ce qui engendre des performances médiocres du site web.
#3. Attaques protocolaires
Les attaques protocolaires épuisent les ressources des systèmes de mise en réseau, tels que les routeurs, les équilibreurs de charge et les pare-feu, ainsi que les ressources du serveur. Lorsque deux ordinateurs entament une communication, ils établissent une prise de contact TCP. Cela signifie que les deux parties échangent leurs informations préliminaires.
Le paquet SYN est la première étape de la prise de contact TCP ; il indique au serveur qu’un client souhaite initier une nouvelle connexion. Lors d’une attaque protocolaire, le pirate submerge le serveur ou les réseaux avec plusieurs paquets SYN contenant de fausses adresses IP.
Le serveur répond à chaque paquet, en demandant de finaliser la prise de contact. Cependant, le client ne répond jamais à ces paquets, ce qui fait que le serveur attend la réponse trop longtemps. Cela peut considérablement ralentir les performances du serveur.
Différents types d’attaques DDoS
Les trois types d’attaques que nous venons d’évoquer se divisent en différents types d’attaques, tels que les inondations HTTP, les inondations DNS, les inondations SYN, les attaques Smurf, etc. Examinons ces attaques et leur impact potentiel sur votre entreprise.
#1. Inondation HTTP
Source : PureVPN
Le protocole HTTP est le fondement des requêtes basées sur les navigateurs ; il est couramment utilisé pour ouvrir des pages web ou envoyer du contenu sur Internet.
Une inondation HTTP est un type d’attaque DDoS volumétrique. Ce type d’attaque est spécialement conçu pour surcharger le serveur ciblé avec un nombre excessif de requêtes HTTP. Lorsque le serveur ciblé est surchargé et incapable de traiter toutes les requêtes, l’attaque DDoS envoie des requêtes supplémentaires d’utilisateurs légitimes.
#2. Inondation DNS
Les systèmes de noms de domaine (DNS) sont comparables aux annuaires téléphoniques d’Internet. Ils servent de chemin permettant aux appareils connectés de localiser des serveurs web spécifiques pour accéder au contenu Internet.
Une attaque par inondation DNS est un type d’attaque DDoS dans lequel l’attaquant submerge les serveurs DNS d’un domaine spécifique, dans le but de perturber la résolution DNS.
S’il n’y a pas d’annuaire, il est difficile de trouver l’adresse permettant de passer un appel téléphonique à une ressource spécifique. Un phénomène similaire se produit dans le cas d’une inondation DNS. Par conséquent, un site web est compromis et incapable de répondre au trafic légitime.
#3. Inondation de ping
Le protocole ICMP est une couche du protocole Internet utilisée par divers périphériques réseau pour communiquer entre eux. Les messages de réponse d’écho ICMP et les demandes d’écho sont généralement utilisés pour « pinger » un appareil, c’est-à-dire pour vérifier la connectivité et l’état de l’appareil.
Lors d’une attaque par inondation de ping, le pirate tente de surcharger un appareil ciblé avec des paquets de requête d’écho, ce qui empêche la cible de gérer un trafic normal. Lorsque le faux trafic provient de plusieurs appareils, l’attaque devient une attaque DDoS.
#4. Inondation SYN
Une inondation SYN est un type d’attaque DDoS, également appelé attaque semi-ouverte, qui vise à rendre le serveur indisponible afin de détourner le trafic légitime et d’épuiser toutes les ressources disponibles du serveur.
En envoyant en continu des paquets de demande de connexion initiale, le pirate peut surcharger tous les ports de la machine serveur, ce qui fait que l’appareil réagit lentement au trafic légitime ou ne réagit plus du tout.
#5. Inondation UDP
Lors d’une attaque par inondation UDP, un grand nombre de paquets UDP (User Datagram Protocol) sont envoyés au serveur dans le but de le surcharger, ce qui réduit sa capacité à répondre et à traiter.
Le pare-feu est surchargé, ce qui entraîne une attaque DDoS. Dans ce type d’attaque, l’attaquant exploite les actions que le serveur doit exécuter pour répondre aux paquets UDP qui sont envoyés aux ports.
#6. Attaque d’amplification DNS
Source : Cisco Umbrella
Une attaque par amplification DNS est une attaque DDoS volumétrique dans laquelle l’attaquant exploite les capacités d’un DNS ouvert pour surcharger le réseau ou le serveur ciblé avec une quantité de trafic amplifiée, ce qui rend le serveur et son infrastructure environnante inaccessibles.
Toute attaque par amplification exploite un écart de consommation de bande passante entre la source web ciblée et l’attaquant. En conséquence, le réseau est encombré de faux trafic, ce qui déclenche une attaque DDoS.
#7. Pingback XML-RPC
Un pingback est un type de commentaire créé lorsqu’un lien vers un article de blog spécifique est créé. Le pingback XML-RPC est une fonctionnalité standard du module WordPress. Les attaquants peuvent facilement l’utiliser pour exploiter la fonctionnalité de pingback du site de blog dans le but d’attaquer des sites tiers.
Cela peut conduire à différentes attaques car votre site est ainsi exposé à diverses menaces. Certaines attaques sont des attaques par force brute, des attaques de ports intersites, des attaques par proxy Patsy, etc.
#8. Attaque DDoS Slowloris
Slowloris est un type d’attaque DDoS qui permet à un pirate de surcharger le serveur ciblé en ouvrant de nombreuses connexions HTTP simultanées entre la cible et l’attaquant. Elle fait partie des attaques de la couche application qui se produisent par le biais de requêtes HTTP partielles.
Slowloris n’est pas une catégorie d’attaque, mais plutôt un outil d’attaque spécifiquement conçu pour permettre à une seule machine de mettre un serveur hors service. Ce type d’attaque nécessite une faible bande passante et vise à épuiser les ressources du serveur.
#9. Attaque DDoS Smurf
Source : Imperva
Une attaque Smurf se produit au niveau du réseau. Son nom provient du logiciel malveillant DDoS.Smurf, qui permet aux attaquants de lancer l’attaque. Les attaquants visent à cibler les grandes entreprises afin de les paralyser.
Une attaque Smurf est similaire à une attaque par inondation de ping qui utilise des paquets ICMP pour submerger les ordinateurs et autres appareils avec des demandes d’écho ICMP. Voici comment les attaques se produisent :
- Tout d’abord, Smurf crée un faux paquet dont l’adresse source est définie comme étant l’adresse IP réelle de la victime.
- Le paquet est envoyé à l’adresse de diffusion IP d’un pare-feu, ce qui a pour effet de renvoyer les requêtes à chaque périphérique hôte du réseau.
- Chaque appareil reçoit de nombreuses requêtes, ce qui perturbe le trafic légitime.
#10. Attaque du jour zéro
Une attaque du jour zéro désigne les failles de sécurité des micrologiciels, du matériel ou des logiciels qui sont inconnues des parties responsables de la correction de ces failles. L’expression « attaque du jour zéro » fait référence à l’attaque menée entre le moment où la vulnérabilité est découverte et la première attaque.
Les pirates exploitent la vulnérabilité pour lancer facilement une attaque. Une fois la vulnérabilité rendue publique, on parle de vulnérabilité d’un jour ou de n jours.
Maintenant que nous avons passé en revue les différents types d’attaques, examinons quelques solutions pour les atténuer.
Solutions pour les attaques de la couche application
Pour contrer les attaques de la couche application, vous pouvez utiliser un pare-feu d’application web. Les solutions présentées ci-dessous proposent des pare-feu d’application web (WAF) que vous pouvez utiliser pour bloquer les attaques.
#1. Sucuri
Protégez vos sites web contre les attaques grâce au pare-feu d’application web (WAF) de Sucuri, qui écarte les acteurs malveillants, améliore la disponibilité de votre site web et accélère les temps de chargement. Pour activer le pare-feu de votre site web, procédez comme suit :
- Ajoutez votre site web au WAF de Sucuri
- Protégez les données entrantes en créant des certificats SSL pour le serveur pare-feu
- Activez le pare-feu en modifiant les enregistrements DNS
- Optez pour une mise en cache performante pour optimiser le site
Choisissez le forfait Basic ou Pro de Sucuri, et protégez votre site web contre les attaques indésirables.
#2. Cloudflare
Bénéficiez d’une sécurité de niveau entreprise avec la solution WAF de Cloudflare, et profitez d’une sécurité renforcée, d’une protection efficace, d’un déploiement rapide et d’une gestion simple. Elle offre des protections contre les vulnérabilités du jour zéro.
Selon des analystes reconnus, Cloudflare est un expert en matière de sécurité des applications. Vous bénéficierez de capacités d’apprentissage automatique mises au point et perfectionnées par des experts afin de protéger votre site contre les menaces, les tentatives de contournement, etc.
Solutions pour les attaques volumétriques et protocolaires
Pour contrer les attaques volumétriques et protocolaires, vous pouvez utiliser les solutions suivantes afin de protéger votre site web contre les attaques DDoS.
#1. Cloudflare
Bénéficiez de la protection DDoS de pointe de Cloudflare afin de protéger votre site web et éviter de perdre vos clients et leur confiance. Son réseau de 197 Tbps bloque plus de 112 milliards de menaces quotidiennes. Le réseau mondial de Cloudflare couvre plus de 285 villes et plus de 100 pays pour prévenir les attaques.
L’intégration est simple et rapide : utilisez le tableau de bord ou l’API de Cloudflare pour bénéficier des performances, de la fiabilité et des fonctionnalités de sécurité de Cloudflare sur votre site web. Cette solution permet d’atténuer les attaques DDoS sur les sites web, les applications et le réseau.
#2. Sucuri
Améliorez les performances et la disponibilité de votre site web contre les attaques de grande envergure grâce au réseau Anycast de Sucuri et à sa solution de diffusion de contenu sécurisée. Elle assure le bon fonctionnement de votre site web, même en cas d’attaques DDoS massives et de pics de trafic importants.
Sucuri peut facilement bloquer les requêtes usurpées et le trafic provenant de robots malveillants sans perturber les sources de trafic légitimes. Sa technologie et son équipement de pointe fonctionnent 24 h/24 et 7 j/7 pour protéger votre site web contre les activités malveillantes.
#3. Imperva
Sécurisez tous vos actifs contre les attaques DDoS avec Imperva et assurez la continuité de votre activité avec une garantie de disponibilité. Imperva minimise les interruptions et les coûts de bande passante, offre une protection illimitée contre les attaques DDoS et garantit la disponibilité du site web sans altérer les performances.
Conclusion
Une attaque DDoS est un type de cybercriminalité qui consiste à submerger un serveur avec un faux trafic massif, empêchant ainsi les utilisateurs légitimes d’accéder aux sites et aux services en ligne. Il existe de nombreux types d’attaques DDoS ciblant les protocoles HTTP, Ping, SYN, etc., dans le but de ralentir les performances de votre site web.
Voici quelques-unes des meilleures solutions pour lutter contre les attaques applicatives, volumétriques et protocolaires. Ces solutions permettent de bloquer le trafic indésirable provenant de différentes sources afin de préserver la bande passante et d’éviter les interruptions.
Pour approfondir ce sujet, vous pouvez également consulter notre article sur le fonctionnement du routage Anycast pour lutter contre les attaques DDoS.