Qu'est-ce qu'une attaque DDoS ? - TechRobot

Qu’est-ce qu’une attaque DDoS ?

Il y a plus de chances que non que vous ayez entendu parler d’un site web mis à terre par des hackers ou qu’un site populaire ait planté. La majorité de ces indisponibilités sur les sites populaires et à fort trafic sont causées par des attaques par Déni de Service Distribué (DDoS).

Il existe des limites à la bande passante du trafic qu’un appareil réseau peut gérer. Cette limite dépend de facteurs tels que la puissance de traitement de l’appareil, la limite de données du nœud de connexion (commutateur ou routeur) et la vitesse de connexion maximale et la bande passante autorisées par le Fournisseur de Services Internet (ISP).

Comment tout cela aboutit-il à provoquer des temps d’arrêt sur un site web ? Comment ces attaques se produisent-elles ? Cet article sera un exposé sur les attaques DDoS et comment les éviter ou les prévenir.

Détail d’une attaque DDoS typique

Les pirates lancent des attaques DDoS en recrutant d’abord une armée d’ordinateurs vulnérables, communément appelée un Botnet. Les Botnets sont une série d’ordinateurs et d’appareils interconnectés qui ont été compromis par des logiciels malveillants. Les Botnets sont ensuite utilisés par les pirates pour envoyer simultanément des demandes de ressources qui utilisent toute la bande passante de la connexion de la victime, empêchant ainsi les utilisateurs légitimes à distance des services sur l’appareil d’y accéder.

Les paquets de données utilisés dans l’exécution des attaques DDoS sont les mêmes ou similaires à ceux utilisés pour la communication quotidienne sur Internet, à l’exception qu’ils sont coordonnés en un bloc énormément grand par unité de temps. Les serveurs en ligne qui gèrent le trafic de streaming vidéo peuvent autoriser une limite supérieure de 20 Gigaoctets par seconde de bande passante. En comparaison, les attaques DDoS pourraient charger un seul serveur ou appareil réseau avec jusqu’à 1 Téraoctet par seconde de données. Un tel volume de trafic réussira à rendre un service aussi grand que Google non réactif.

Qui sont les cibles potentielles des attaques par DDoS ?

Les attaques par DDoS sont extrêmement facilitées en raison de la vulnérabilité de plusieurs appareils connectés à Internet et de la disponibilité de botnets sur le dark web pour l’usage de hackers débutants. De nombreux utilisateurs d’Internet, et étonnamment certaines organisations, déploient des technologies connectées à Internet sans changer les identifiants de connexion par défaut fournis avec l’appareil. Les hackers parcourent Internet à la recherche de tels appareils, accèdent à ceux-ci, et installent des malwares qui leur permettent de contrôler ces appareils à distance, sans que les propriétaires réels ne sachent que leur appareil fait partie d’un botnet.

Les botnets, qui sont constitués d’un réseau d’appareils vulnérables, ne sont pas les principales victimes ici, mais sont utilisés pour mener une attaque coordonnée contre un seul site Web ou service en ligne – ce sont eux qui ont été les principales victimes des attaques par déni de service distribué (DDoS).

Les attaques DDoS contre les sites web et les plateformes de services en ligne peuvent prendre la forme de faux paquets, de messages entrants ou de demandes pour initier une connexion. Elles sont le plus souvent exécutées comme une attaque vengeresse soit pour ternir la réputation des concurrents et par conséquent provoquer une baisse de part de marché, une attaque contre des opposants politiques, ou parfois comme un stratagème de démoralisation contre les mouvements et entités de droits de l’homme.

Amazon Web Services (AWS) a subi l’une des récentes attaques par déni de service distribué (DDoS) en février 2020. Un important client anonyme d’AWS était la cible de l’attaque, affectant ses services en ligne pendant trois jours. Une bande passante de trafic atteignant un pic de 2,3 Téraoctets par seconde a fait paraître l’énorme bande passante d’AWS comme un jeu d’enfant.

Le botnet le plus populaire jusqu’à présent – Mirai, a été au centre d’une chaîne d’attaques DDoS en 2016. En septembre 2016, l’internet a été le théâtre du botnet Mirai dans l’attaque DDoS la plus massive de l’époque, avec un trafic atteignant un pic de bande passante de 620 Gbps visant le blog d’un analyste en cybersécurité. Après qu’un fragment du code de Mirai a été rendu public lors d’un rassemblement DEFCON plus tard ce mois-là, une attaque à bien plus grande échelle a frappé un important fournisseur de Service de Noms de Domaine – Dyn.

Dyn était le fournisseur DNS pour des sites web tels que Netflix, GitHub, PayPal, Reddit, Airbnb et HBO au moment de l’attaque Mirai. L’attaque DDoS de 1,5 Gigabit par seconde sur le réseau de sites web de Dyn a rendu leurs services non réactifs pendant la durée de l’attaque. Il y a eu plusieurs autres attaques Mirai plus tard en 2016, certaines incluant des appareils IoT piratés comme des caméras de surveillance, des machines à café et même des moniteurs pour bébés.

Types d’attaques par DDoS

Il existe différents types d’attaques par DDoS. Examinons-en quelques-uns ci-dessous :

Zero-Day DDoS : Zero-Day DDoS est le terme utilisé par les pirates sur leurs sites web clandestins hébergés sur le dark web. Le terme fait référence à une série de codes sources et d’armées de botnets recrutés qui sont à vendre ; cependant, cela pose des niveaux de vulnérabilité pour lesquels des correctifs de sécurité n’ont pas encore été publiés.

Ping de la Mort : Cela implique que les attaquants envoient des multiples de paquets ping falsifiés à un nœud réseau. Les dispositifs qui gèrent les appareils locaux (commutateurs et routeurs) ont des limites de longueur de paquet autorisées à passer par eux par seconde. Dès lors, les longs paquets sont souvent fragmentés, pour être réassemblés par l’hôte destinataire. La longueur moyenne des données d’un paquet IP est d’environ 1700 octets ; cependant, les pirates cherchent à perpétrer un Ping de la Mort en avant des pings avec des tailles de données allant jusqu’à 71 423 octets lorsqu’ils sont réassemblés à l’extrémité réceptrice. Ce type d’attaque DDoS épuise efficacement la mémoire du serveur et le rend impossible à répondre aux requêtes légitimes tant que le sort dure.

Attaque par inondation UDP ; Il s’agit d’un type d’attaque DDoS qui consiste à inonder la victime avec des flux constants de données de la classe User Datagram Protocol (UDP). Dans ce type d’attaque, un hôte distant voit ses ports aléatoires être inondés à répétition de demandes de connexion. Similaire à l’inondation UDP est l’inondation ICMP (ping), qui envoie des paquets ping rapides et aléatoires sans attendre de retour pour la connexion. L’inondation de paquets épuise les ressources et la bande passante de l’hôte et, parfois, rend impossible l’établissement d’une poignée de main lorsque des requêtes de connexion légitimes sont faites.

Attaque par SYN Flood : Ce type d’attaque exploite une vulnérabilité dans les connexions TCP – Le handshake en trois temps. Les handshakes en trois temps impliquent qu’un ordinateur distant envoie une demande de connexion à un serveur ; le serveur répond en reconnaissant la demande. L’ordinateur distant doit également répondre à l’accusé de réception en envoyant un paquet initiant la connexion. Ce que font les hackers pour exécuter une attaque DDoS par ce canal est d’envoyer plusieurs demandes de connexion SYN à un hôte unique en utilisant un botnet. Les serveurs répondent à chaque nœud avec un message ACK, mais les hackers empêchent les botnets de répondre. L’absence de réponse au message ACK laisse le serveur attaqué en suspens, et davantage de demandes de handshake sont envoyées jusqu’à ce que toutes les ressources de la victime soient épuisées.

Attaques par inondation HTTP : Celles-ci impliquent l’exploitation de requêtes légitimes destinées aux activités GET et POST des paquets allant et venant d’un site web ou d’un serveur. L’attaque trompe généralement le serveur distant en lui faisant allouer un maximum de ressources aux requêtes factices.

Mesures préventives contre les attaques DDoS

Comme cela a été souligné précédemment, les attaques DDoS sont exécutées en deux étapes : le recrutement des nœuds qui composent le botnet et l’inondation du réseau de la victime avec un trafic excessif. Les utilisateurs quotidiens de réseaux internet domestiques peuvent se protéger contre la participation à une attaque par botnet en éliminant chaque source de vulnérabilité sur les appareils personnels en suivant les étapes ci-dessous :

1. Changez les mots de passe sur les nouveaux appareils :

Les équipements réseau tels que les routeurs, les commutateurs, les hubs Wi-Fi et les appareils IoT sont livrés avec des mots de passe par défaut. Changer les mots de passe par défaut est judicieux, car cette étape éloigne votre appareil et tous les autres connectés à son réseau d’une éventuelle compromission. Un coup d’œil au manuel d’instructions des utilisateurs ou au site web du fabricant devrait révéler des étapes faciles pour changer le mot de passe de l’appareil.

2. Utilisez des ressources de sécurité à jour et fiables :

La mise à jour du firmware des dispositifs frontaux, des pare-feu et du système d’exploitation sera la première barrière de protection contre l’infiltration de logiciels malveillants sur les appareils réseau.

Pour les organisations qui découvrent que leur infrastructure réseau est sous une attaque DDoS, le plan d’action suivant devrait garantir que le temps d’arrêt et les pertes résultantes soient minimaux.

3. Utilisez une technologie de passerelle qui identifie les pics soudains de trafic

Une attaque DDoS peut être facilement contenue si elle est détectée suffisamment tôt ; cela permettra d’avoir assez de temps pour contacter le FAI de l’entreprise, qui mettrait alors en œuvre sa meilleure technique de dispersion des DDoS. Un FAI pourrait arrêter ou minimiser l’impact d’une attaque DDoS en dispersant le trafic vers des serveurs avec des bandes passantes disponibles ou en routant le trafic vers un Trou de Gouffre ou un Trou Noir. Les Trous Noirs sont, cependant, plus efficaces car tout le trafic, à la fois légitime et illégitime, allant à une adresse IP attaquée est envoyé vers un trou d’interface ‘null’. Les gouffres, au contraire, tentent de filtrer les paquets de données.

4. Reconfiguration des ressources réseau en backend

Il est possible de limiter le volume de bande passante autorisé par des équipements matériels tels que les commutateurs et les routeurs, ce qui s’applique également aux pare-feu. Avec la limitation du trafic, la bande passante énorme caractéristique des attaques DDoS est filtrée, tandis que les paquets présentant des caractéristiques régulières sont autorisés à entrer dans le réseau local.

5. Sécurisez les appareils IoT

Une vulnérabilité dans une machine à café aurait été exploitée pour pirater l’infrastructure réseau d’un casino. Le conseil donné précédemment concernant les appareils IoT mérite d’être souligné – changez les mots de passe par défaut dès que vos appareils IoT sortent de la boîte, et efforcez-vous de mettre à jour régulièrement le firmware de l’appareil.

Conclusion

Les attaques DDoS peuvent sembler intimidantes et assez compliquées, mais ce n’est plus le cas. Avec vos connaissances nouvellement acquises ou mises à jour sur les attaques DDoS grâce à cet article, connaître la capacité d’un FAI à protéger votre site web contre une telle attaque devrait être inclus dans la liste des critères à vérifier lors du choix du FAI auquel vous abonnez.