DDoS concepts d'attaque
Les attaques par déni de service distribué (DDos, Distributed Denial of Service) représentent la forme d'attaque Internet la plus courante contre les sites Web ou les hôtes.
Une attaque par déni de service distribué (DDoS) est une tentative de perturbation du trafic normal d'un serveur, d'un service ou d'un réseau qui consiste à saturer la cible ou ses infrastructures environnantes via un volume de trafic Internet important. D'une efficacité redoutable, ces attaques s'appuient sur une multitude de machines infectées comme sources du trafic d'attaque. Les machines exploitées peuvent inclure des ordinateurs et d'autres ressources réseau, telles que les équipements IoT. D'un point de vue général, une attaque DDoS est comparable à un embouteillage qui obstrue une autoroute, empêchant le trafic normal d'arriver à destination.
Comment les attaquants génèrent le trafic DDoS
Une attaque DDoS implique qu'un pirate prenne le contrôle d'un réseau de machines en ligne à l'insu des véritables propriétaires des ordinateurs. Les ordinateurs et autres machines (comme les appareils IoT) sont infectés par un logiciel malveillant qui transforme chaque appareil en bot (ou zombie). Le pirate contrôle le groupe de bots, appelé réseau de bots.
Une fois qu'un botnet a été mis en place, le pirate est en mesure de diriger les machines en envoyant des instructions mises à jour à chaque bot via une méthode de contrôle à distance. Lorsqu'une adresse IP est prise pour cible, elle reçoit des requêtes de la part d'un multitude de bots, ce qui peut saturer le serveur ou le réseau ciblé, Ce débordement crée un déni de service pour le trafic normal. Chaque bot étant un périphérique Internet légitime, il peut s'avérer difficile de séparer le trafic malveillant du trafic normal.
Types courants d'attaques DDoS
Différents vecteurs d'attaque DDoS ciblent des composants distincts d'une connexion réseau. Si la majorité des attaques DDoS impliquent de submerger de trafic une unité ou un réseau cible, ces attaques peuvent toutefois être divisées en trois catégories. Un attaquant peut utiliser un ou plusieurs vecteurs d'attaque, et peut même passer d'un vecteur d'attaque à l'autre en fonction des contre-mesures prises par la cible.
Les trois grandes familles d'attaques DDoS sont les suivantes :
- Attaques au niveau des applications (Couche 7)
- Attaques au niveau des protocoles (Couches 3 et 4)
- Attaques au niveau de la volumétrie (attaques par amplification)
attaques au niveau des applications
Une attaque de couche d'application est parfois appelée Attaque de déni de service distribué (DDoS) Couche-7 (en référence à la couche 7 du modèle OSI). L'objectif de ces attaques est d'épuiser les ressources de la victime en ciblant la couche où les pages web sont générées sur le serveur et livrées aux visiteurs en réponse aux requêtes HTTP (la couche application). Les attaques de la couche 7 sont difficiles à contrecarrer, car il peut être difficile d'identifier le trafic comme malveillant.
Attaques au niveau des protocoles
Les attaques par protocole utilisent les faiblesses des couches 3 et 4 de la pile de protocoles ISO pour rendre la cible inaccessible. Ces attaques, également connues sous le nom d'attaques d'épuisement d'état, provoquent une interruption de service en consommant toutes les capacités du tableau d'état disponibles des serveurs d'applications Web, ou de ressources intermédiaires telles que les pare-feu et les équilibreurs de charge.
Attaques volumétriques
Cette catégorie d'attaque tente de créer une congestion en consommant toute la bande passante disponible entre la cible et l'internet au sens large. De grandes quantités de données sont envoyées à une cible en utilisant une forme d'amplification, ou par d'autres moyens de créer un trafic massif, comme des requêtes provenant d'un réseau de zombies.
Comment CIS atténue les attaques au niveau du réseau et de l'application
En règle générale, les attaques peuvent être classées en deux catégories :
| Attaques de couche 3 ou 4 | Attaques de couche 7 |
|---|---|
| Ces attaques consistent en une inondation de trafic au niveau de la couche ISO 3 (couche réseau), comme les inondations ICMP, ou au niveau de la couche 4 (couche transport), comme les inondations SYN de TCP ou les inondations UDP réfléchies. | Ces attaques envoient des requêtes ISO Layer-7 malveillantes (couche application), telles que des inondations GET. |
| Automatiquement bloqué sur le bord du site CIS | CIS gère ces attaques grâce au mode de défense, au WAF et aux paramètres de niveau de sécurité. |
Que faire en cas d'attaque DDoS ?
- Activez le "mode défense" à partir de la page de présentation.
- Définissez les enregistrements DNS pour une sécurité maximale.
- Ne limitez pas le débit et n'étranglez pas les demandes provenant de IBM CIS, nous avons besoin de la bande passante pour vous aider dans votre situation.
- Bloquer des pays et des visiteurs spécifiques si nécessaire.