Déni de service distribué (DDoS)

Qu'est-ce qu'une attaque DDoS ?

Une attaque par déni de service distribué (DDoS) est une tentative malveillante de perturber le trafic normal d'un serveur, d'un service ou d'un réseau ciblé en écrasant la cible ou son infrastructure environnante avec un flot de trafic Internet. Les attaques DDoS doivent leur efficacité à l'utilisation de multiples systèmes informatiques infectés comme sources de trafic d'attaque. Les machines exploitées peuvent inclure des ordinateurs et d'autres ressources en réseau, telles que des appareils IoT. D'un point de vue général, une attaque DDoS est comme un embouteillage qui bloque une autoroute, empêchant le trafic régulier d'arriver à destination.

Comment fonctionne une attaque DDoS ?

Une attaque DDoS nécessite un attaquant qui prend le contrôle d'un réseau de machines en ligne afin de mener une attaque. Les ordinateurs et autres machines (comme les appareils IoT) sont infectés par des logiciels malveillants qui transforment chacun d'eux en un robot (ou zombie). L'attaquant commande alors à distance le groupe de bots, appelé "botnet".

Une fois qu'un botnet a été créé, l'attaquant peut diriger les machines en envoyant à chaque bot des instructions mises à jour, via une méthode de télécommande. Lorsque l'adresse IP d'une victime est ciblée par le botnet, chaque bot répondra en envoyant des requêtes à la cible, ce qui risque de provoquer un dépassement de capacité du serveur ou du réseau ciblé et d'entraîner un déni de service pour le trafic normal. Parce que chaque bot est un dispositif Internet légitime, il peut être difficile de séparer le trafic d'attaque du trafic normal.

Quels sont les types courants d'attaque DDoS ?

Différents vecteurs d'attaque DDoS ciblent différents composants d'une connexion réseau. Pour comprendre comment fonctionnent ces différentes attaques DDoS, il est nécessaire de savoir comment une connexion réseau est établie. Une connexion réseau sur Internet est composée de plusieurs composants différents ou "couches". C'est comme construire une maison à partir de rien; chaque étape du modèle a un but différent. Le modèle OSI est un cadre conceptuel utilisé pour décrire la connectivité du réseau dans sept couches distinctes..

Quel est le processus d'atténuation d'une attaque DDoS ?

En savoir plus sur DDoS

Si la quasi-totalité des attaques DDoS implique d'envahir un appareil ou un réseau cible avec du trafic, les attaques peuvent être réparties en trois catégories. Un attaquant peut utiliser un ou plusieurs vecteurs d'attaque différents, ou des vecteurs d'attaque à cycle potentiellement basés sur des contre-mesures prises par la cible.

Dans l'Internet moderne, le trafic DDoS se présente sous de nombreuses formes. Le trafic peut varier dans la conception, depuis des attaques à source unique non frauduleuses jusqu'à des attaques multivectorielles complexes et adaptatives. Une attaque DDoS multivectorielle utilise plusieurs voies d'attaque afin de submerger une cible de différentes façons, pouvant potentiellement distraire les efforts d'atténuation sur n'importe quelle trajectoire. Une attaque qui cible en même temps plusieurs couches de la pile de protocoles, comme une amplification DNS (ciblant les couches 3 et 4) couplée à un HTTP flood (ciblant la couche 7) est un exemple de DDoS multivectoriel.

L'atténuation d'une attaque DDoS multivectorielle nécessite une variété de stratégies pour contrer les différentes trajectoires. D'une manière générale, plus l'attaque est complexe, plus il est probable que le trafic sera difficile à séparer du trafic normal - l'objectif de l'agresseur est de "se fondre" le plus possible, ce qui rend les mesures d'atténuation extrêmement inefficaces. Les tentatives d'atténuation qui impliquent l'abandon ou la limitation du trafic sans discernement peuvent entraîner un rejet du bon trafic comme du mauvais, et l'attaque peut également être modifiée et s'adapter pour contourner les contre-mesures. Afin de surmonter une tentative complexe de perturbation, une solution à plusieurs couches sera la plus avantageuse.

Pare-feu d'application Web (WAF)

Qu'est-ce qu'un pare-feu d'application Web ?

Un pare-feu d'application Web (WAF) permet de protéger les applications Web en filtrant et en surveillant le trafic HTTP entre une application Web et Internet. Il protège généralement les applications Web des attaques, telles que la falsification intersite, le script intersite (XSS), l'inclusion de fichiers et l'injection SQL, etc. Un WAF est un protocole de défense de couche 7 (dans le modèle OSI), et n'est pas conçu pour protéger contre tous les types d'attaques. Cette méthode d'atténuation des attaques fait généralement partie d'une série d'outils qui, ensemble, créent une défense globale contre toute une gamme de vecteurs d'attaque.

En déployant un WAF en face d'une application Web, un bouclier est placé entre l'application Web et Internet. Alors qu'un serveur proxy protège l'identité d'une machine client en utilisant un intermédiaire, un WAF est un type de proxy inverse, qui protège le serveur de l'exposition en faisant passer les clients à travers le WAF avant d'atteindre le serveur.

Un WAF fonctionne via un ensemble de règles souvent appelées politiques. Ces politiques visent à protéger contre les vulnérabilités au sein de l'application en filtrant le trafic malveillant. La valeur d'un WAF vient en partie de la vitesse et de la facilité avec laquelle la modification de la politique peut être implémentée, permettant une réponse plus rapide à divers vecteurs d'attaque ; lors d'une attaque DDoS, la limitation de taux peut être implémentée rapidement en modifiant les politiques WAF.

Quelle est la différence entre les WAF de liste noire et de liste blanche ?

En savoir plus sur le WAF

Un WAF qui fonctionne à partir d'une liste noire (modèle de sécurité négatif) protège contre les attaques connues. Pensez à un WAF de liste noire comme à un videur de club chargé de refuser l'entrée à tous les invités qui ne respectent pas le code vestimentaire. Inversement, un WAF de liste blanche (modèle de sécurité positif) admet uniquement le trafic qui a été approuvé au préalable. On pourrait le comparer au videur d'une soirée privée : il ne laisse entrer que les personnes qui figurent sur la liste. Liste noire et liste blanche ont toutes deux leurs avantages et leurs inconvénients, et c'est pourquoi de nombreux WAF offrent un modèle de sécurité hybride, qui implémente les deux.

Réseau de distribution de contenu (CDN)

Qu'est-ce qu'un réseau de distribution de contenu ?

Un réseau de distribution de contenu (CDN) fait référence à un groupe de serveurs répartis géographiquement, qui travaillent ensemble pour offrir une diffusion rapide de contenu Internet. Un CDN permet le transfert rapide des ressources nécessaires au chargement de contenu Internet, y compris des pages HTML, des fichiers JavaScript, des feuilles de style, des images et des vidéos. La popularité des services CDN continue de croître et, aujourd'hui, la majorité du trafic sur le Web est desservie par les CDN.

Comment fonctionne un CDN ?

En son cœur, un CDN est un réseau de serveurs reliés ensemble afin de fournir du contenu de la manière la plus rapide, la plus abordable, la plus fiable et la plus sécurisée possible. Afin d'améliorer la vitesse et la connectivité, un CDN placera des serveurs aux points d'échange entre différents réseaux. Ces points d'échange Internet (IXP) sont les emplacements principaux sur lesquels se connectent les différents fournisseurs d'accès Internet afin de se fournir les uns les autres accès au trafic en provenance de leurs différents réseaux. En ayant un lien avec ces emplacements haut débit et hautement interconnectés, un fournisseur de CDN est en mesure de réduire les coûts et les durées de transit concernant la fourniture de données haut débit.

Comment le CDN améliore-t-il les temps de chargement des sites Web ?

En savoir plus sur le CDN

Lorsqu'il s'agit de contenu de chargement de sites Web, les utilisateurs abandonnent rapidement à mesure qu'un site ralentit. La distribution globale d'un CDN signifie une distance réduite entre les utilisateurs et les ressources du site Web. Au lieu d'avoir à se connecter partout où le serveur d'origine d'un site Web peut se trouver, un CDN permet aux utilisateurs de se connecter à un data center géographiquement plus proche. Moins de temps de déplacement signifie un service plus rapide.

Système de noms de domaine (DNS)

Qu'est -ce que le DNS ?

Le système de noms de domaine (DNS) est le répertoire de l'Internet. Les gens accèdent à l'information en ligne par le biais de noms de domaine, comme nytimes.com ou espn.com. Les navigateurs Web interagissent avec les adresses IP (Internet Protocol). Le DNS convertit les noms de domaine en adresses IP afin que les navigateurs puissent charger des ressources Internet.

Chaque appareil connecté à Internet possède une adresse IP unique, que d'autres machines utilisent pour rechercher l'appareil. Les serveurs DNS éliminent la nécessité de mémoriser les adresses IP, telles que 192.168.1.1 (en IPv4), ou les nouvelles adresses IP alphanumériques plus complexes, telles que 2400:cb00:2048:1:c629:d7a2 (dans IPv6).

Comment fonctionne le DNS ?

Le processus de résolution DNS implique la conversion d'un nom d'hôte (tel que www.ibm.com) en une adresse IP adaptée aux machines (telle que 192.168.1.1). Une adresse IP est donnée à chaque appareil sur Internet, et cette adresse est nécessaire pour trouver l'appareil Internet approprié - tout comme une adresse de rue est donnée pour trouver le domicile d'une personne. Lorsqu'un utilisateur souhaite charger une page Web, une traduction doit se produire entre ce qu'un utilisateur tape dans son navigateur Web (example.com) et l'adresse nécessaire pour localiser la page Web example.com.
Afin de comprendre le processus derrière la résolution DNS, il est important de connaître les différents composants matériels entre lesquels doit passer une requête DNS. Pour le navigateur Web, la recherche DNS se produit "en arrière-plan" et ne nécessite aucune interaction depuis l'ordinateur de l'utilisateur à l'exception de la requête initiale.

Qu'est-ce qu'un programme de résolution DNS ?

En savoir plus sur le DNS

Le programme de résolution DNS est le premier arrêt dans la recherche DNS et il est chargé de traiter avec le client qui a fait la demande initiale. Le programme de résolution lance la séquence de requêtes qui aboutit à la traduction d'une URL dans l'adresse IP nécessaire.

Remarque : Une recherche DNS classique non mise en cache implique à la fois des requêtes récursives et des requêtes itératives.

Il est important de faire la différence entre une requête DNS récursive et un programme de résolution DNS récursif. La requête fait référence à la requête faite à un programme de résolution DNS nécessitant la résolution de la requête. Un programme de résolution DNS récursif est l'ordinateur qui accepte une requête récursive et traite la réponse en effectuant les demandes nécessaires.

Mise en route

Prêt à commencer ? Avec notre portail et notre API, un Internet plus rapide et sécurisé en quelques clics.