Qu’est-ce que la protection contre les attaques par déni de service distribué (DDoS) ?

Selon l’IBM X-Force Threat Intelligence Index, les attaques DDoS représentent 2 % de celles auxquelles X-Force répond. Cependant, les perturbations qu’elles engendrent peuvent être coûteuses. En effet, dans son Rapport sur le coût d’une violation de données, IBM indique que la perte d’activité liée à une cyberattaque s’élève en moyenne à 1,47 million de dollars.

Mettre en place des mesures de protection DDoS efficaces permet de garantir le temps de fonctionnement du système, d’éviter les temps d’arrêt, ainsi que les interruptions d’activité, et de préserver la réputation de l’entreprise.

La prévention des attaques DDoS commence par l’identification de leurs cibles habituelles. Les attaques DDoS visent généralement l’une des trois couches du modèle OSI (Open Systems Interconnection) :

• La couche applicative (couche 7), qui est la couche supérieure, là où les applications mises à la disposition des utilisateurs interagissent avec un réseau.
• La couche transport (couche 4), là où les données sont transmises d’une application à l’autre.
• La couche réseau (couche 3), qui gère les processus d’adressage, de routage et de transmission des données pour les appareils qui interagissent sur différents réseaux. 

Les attaques sur la couche applicative visent la couche applicative des réseaux. Prenons l’exemple des attaques de type HTTP Flood, qui consistent pour les pirates à utiliser plusieurs appareils pour envoyer un très grand nombre de requêtes HTTP à un site Web et le mettre hors service. Les flots de requêtes DNS submergent les serveurs DNS (système de noms de domaine) et les surchargent de requêtes concernant de faux sites Web.

Les attaques par protocole ciblent les couches réseau et transport. Parmi les exemples, on peut citer les attaques par inondation SYN, qui exploitent le protocole d’établissement de liaison TCP (un processus par lequel deux appareils établissent une connexion l’un avec l’autre) afin de saturer les serveurs avec des paquets frauduleux. Les attaques Smurf exploitent le protocole ICMP (Internet Control Message Protocol) en inondant l’appareil de la victime avec des centaines ou des milliers de réponses d’écho ICMP.

Les attaques volumétriques consomment toute la bande passante disponible au sein d’un réseau cible ou entre un service cible et le reste d’Internet, empêchant les utilisateurs légitimes de se connecter aux ressources du réseau. 

On peut également citer les inondations UDP, qui consistent à envoyer de faux paquets UDP (User Datagram Protocol) aux ports d’un hôte cible. Les ressources de l’hôte sont alors mobilisées en vain pour trouver une application capable de recevoir ces faux paquets. Également appelées « attaques par inondation ping », les inondations ICMP bombardent les cibles de demandes d’écho ICMP provenant de plusieurs adresses IP usurpées.

Les attaques multi-vectorielles exploitent plusieurs vecteurs d’attaque ou nœuds, et non une source unique, pour maximiser les dommages et contourner les mesures d’atténuation des attaques DDoS.

Les attaquants peuvent utiliser plusieurs vecteurs simultanément ou passer d’un vecteur à l’autre en cours d’attaque, lorsque l’un d’eux est contrecarré. Par exemple, les pirates peuvent commencer par une attaque Smurf, puis, une fois que le trafic provenant des appareils du réseau est coupé, lancer une inondation UDP à partir de leur botnet.

Absolument. Selon le FBI américain (Federal Bureau of Investigation) : « La participation à des attaques par déni de service distribué (DDoS) et à des services DDoS à louer (DDoS-for-hire) est illégale. Le FBI et d’autres organismes chargés de l’application de la loi enquêtent sur les attaques DDoS en tant que cybercrimes. » Les sanctions peuvent inclure :

• Saisie d’ordinateurs et d’autres appareils électroniques
• Arrestation et poursuites pénales
• Peines d’emprisonnement importantes
• Sanctions financières

Les solutions et services de sécurité DDoS comportent souvent des capacités de détection et de réponse automatiques pour aider les entreprises à identifier et gérer les schémas anormaux et les pics suspects dans le trafic réseau en temps réel. Lorsqu’une activité inhabituelle est détectée, la plupart des solutions de protection DDoS bloquent instantanément le trafic malveillant ou corrigent les vulnérabilités que les attaquants pourraient tenter d’exploiter.

Les outils et techniques courants de prévention et d’atténuation des attaques DDoS comprennent :

Un « trou noir », également appelé « black hole », fait partie d’un réseau où le trafic entrant est supprimé sans être traité ni stocké. Le routage par trou noir est l’acte consistant à détourner le trafic entrant vers un trou noir lorsqu’une attaque DDoS est suspectée.

L’inconvénient est qu’il peut également se débarrasser du trafic valide et parfois très important, faisant du routage par trou noir un instrument simple mais peu efficace face à une attaque.

Les outils d’identification et de gestion des bots permettent de détecter le trafic malveillant provenant de ces derniers afin de lutter contre les menaces DDoS.

Certains bots, comme les bots utilisés par Google pour indexer les pages dans les résultats de recherche, sont inoffensifs. Mais d’autres sont utilisés à des fins malveillantes. Par exemple, de nombreuses attaques DDoS sont menées à l’aide de botnets. Les botnets sont des réseaux de bots que les cybercriminels créent en prenant le contrôle des ordinateurs portables et de bureau, des téléphones mobiles, des objets IdO (Internet des objets) et d’autres terminaux grand public ou professionnels.

Les logiciels de gestion des bots sont souvent utilisés pour bloquer le trafic indésirable ou malveillant des bots sur Internet tout en permettant aux bots utiles d’accéder aux ressources Web. Beaucoup de ces outils utilisent l’intelligence artificielle (IA) et le machine learning (ML) pour distinguer les bots des visiteurs humains. Les logiciels de gestion des bots peuvent bloquer les bots potentiellement malveillants à l’aide de tests CAPTCHA ou d’autres tests, et limiter ou refuser automatiquement les bots susceptibles de submerger le système. 

Un CDN est un réseau de serveurs distribués qui peut aider les utilisateurs à accéder à des services en ligne plus rapidement et de manière plus fiable. Avec un CDN en place, les requêtes des utilisateurs ne remontent pas jusqu’au serveur d’origine du service, mais sont acheminées vers un serveur CDN géographiquement plus proche qui fournit le contenu.

Les CDN permettent de lutter contre les attaques DDoS en augmentant la capacité globale de trafic des services. Lorsqu’un serveur CDN est mis hors ligne par une attaque DDoS, le trafic utilisateur peut être acheminé vers les serveurs disponibles du réseau.

La détection et réponse des terminaux (EDR), la détection et réponse du réseau (NDR), l’analyse du comportement des utilisateurs et des entités (UEBA) et d’autres outils permettent de surveiller l’infrastructure du réseau et les tendances du trafic à la recherche d’indicateurs de compromission. Ils fonctionnent souvent en établissant des modèles de référence correspondant au comportement normal du réseau et en identifiant les écarts par rapport à ces modèles qui pourraient indiquer un trafic malveillant.

Lorsque ces systèmes détectent des signes potentiels de DDoS, tels que des modèles de trafic anormaux, ils peuvent déclencher des réponses aux incidents en temps réel, par le biais notamment de l’interruption des connexions suspectes.

Les empreintes digitales d’appareil exploitent les informations collectées sur les logiciels et le matériel pour déterminer l’identité des dispositifs informatiques. Certains outils de protection DDoS, comme les systèmes de gestion des bots, s’appuient sur des bases de données contenant des empreintes digitales pour identifier les bots connus ou filtrer les appareils associés à une intention malveillante avérée ou présumée.

L’équilibrage de charge consiste à répartir le trafic réseau entre plusieurs serveurs afin d’optimiser la disponibilité des applications. Il peut aider à se défendre contre les attaques DDoS en acheminant automatiquement le trafic à l’écart des serveurs surchargés.

Les entreprises peuvent installer des équilibreurs de charge matériels ou logiciels pour traiter le trafic. Elles peuvent également utiliser les réseaux Anycast, qui permettent d’attribuer une adresse IP unique à plusieurs serveurs ou nœuds répartis sur plusieurs sites afin de partager le trafic entre ces serveurs. Normalement, une requête est envoyée au serveur optimal. Lorsque le trafic augmente, la charge est répartie, et les serveurs sont donc moins susceptibles d’être surchargés.

Ces dispositifs peuvent être des appareils physiques ou des machines virtuelles que l’on installe sur le réseau de l’entreprise. Ils surveillent le trafic entrant, détectent les schémas suspects et bloquent ou limitent le trafic potentiellement dangereux.

Comme ces dispositifs sont installées localement, ils n’ont pas besoin d’envoyer le trafic vers un service cloud à des fins d’inspection ni de nettoyage. Les dispositifs de protection DDoS sur site peuvent convenir aux entreprises qui exigent un faible niveau de latence, comme les plateformes de visioconférence et de jeu. 

Le filtrage de protocole analyse le trafic réseau par rapport au comportement normal des protocoles de communication courants, tels que TCP, DNS et HTTPS. Si le trafic qui utilise un protocole particulier s’écarte de la norme de ce protocole, les outils de filtrage de protocole peuvent le signaler ou le bloquer.

Par exemple, les attaques d’amplification DNS utilisent des adresses IP usurpées et des requêtes DNS malveillantes pour inonder les appareils des victimes de grandes quantités de données. Le filtrage de protocole peut aider à repérer et à supprimer ces requêtes DNS inhabituelles avant qu’elles ne puissent provoquer des dommages. 

La limitation de débit consiste à limiter le nombre de requêtes entrantes qu’un serveur est autorisé à accepter pendant une période donnée. Le service peut également se ralentir pour les utilisateurs légitimes, mais le serveur n’est pas surchargé. 

Les centres de nettoyage sont des réseaux ou des services de sécurité spécialisés qui peuvent filtrer le trafic malveillant du trafic légitime en utilisant des techniques telles que l’authentification du trafic et la détection des anomalies. Ces centres bloquent le trafic malveillant tout en permettant au trafic légitime d’arriver à destination.

Alors que les pare-feux classiques protègent les réseaux au niveau du port, les WAF s’assurent que les requêtes sont sûres avant de les transmettre aux serveurs Web. Un WAF peut déterminer quels types de requêtes sont légitimes et lesquels ne le sont pas, ce qui lui permet d’éliminer le trafic malveillant et de prévenir les attaques au niveau de la couche application.

Les outils d’IA et de ML permettent des mesures DDoS adaptatives, qui aident les entreprises à lutter contre les attaques DDoS sans que les utilisateurs légitimes n’en soient affectés. Les outils d’IA et de ML analysent le trafic et s’appuient sur ces informations pour affiner leur système de détection. Cela leur permet de réduire les faux positifs, qui bloqueraient par erreur le trafic légitime et entraîneraient une perte d’opportunités.

Probablement pas. Les attaques DDoS sont souvent lancées à partir de botnets constitués de centaines, voire de milliers d’appareils piratés appartenant à des utilisateurs innocents. Le pirate informatique qui contrôle le botnet usurpe généralement l’adresse IP des appareils. Traquer le responsable peut donc s’avérer chronophage et infructueux

Cela dit, dans certaines circonstances et avec suffisamment de ressources, certaines attaques DDoS peuvent être tracées. Ue analyse forensique poussée, réalisée en coopération avec les fournisseurs d’accès Internet (FAI) et les forces de l’ordre, permet parfois aux entreprises d’identifier leurs attaquants. Cette issue est plus probable en cas d’attaques répétées, dont les auteurs sont susceptibles de laisser des indices sur leur mode opératoire. 

La plupart du temps, non. Si les pare-feux réseau traditionnels peuvent assurer une certaine protection contre les attaques mineures ou peu complexes, une attaque à grande échelle ou sophistiquée passerait inaperçue.

Le problème est que la plupart des pare-feux ne sont pas capables de reconnaître, ni d’arrêter le trafic malveillant dissimulé sous une apparence légitime. Par exemple, les attaques HTTP GET envoient plusieurs requêtes de fichiers à partir d’un serveur cible, que les outils de sécurité réseau classiques sont susceptibles de considérer comme étant normales. 

Cependant, les pare-feux applicatifs Web (WAF) fonctionnent sur une couche réseau différente de celle des pare-feux traditionnels et permettent d’atténuer les attaques DDoS, comme indiqué précédemment. 

Les attaques DDoS peuvent mettre hors ligne les applications, sites Web, serveurs et autres ressources de l’entreprise, perturber le service proposé aux utilisateurs et coûter très cher (perte d’activité et de réputation).

Les attaques DDoS peuvent également empêcher les entreprises de respecter leurs accords de niveau de service (SLA), ce qui entraînerait une perte de clientèle. Si les systèmes de l’entreprise ne sont pas disponibles sur demande, les utilisateurs peuvent décider de se tourner vers ses concurrents.

Ces cybermenaces ciblent de plus en plus les infrastructures critiques, comme les services financiers et les services publics. Selon une étude récente, les attaques DDoS visant les infrastructures critiques ont augmenté de 55 % au cours des quatre dernières années.

En outre, les attaques DDoS sont souvent utilisées pour couvrir des cyberattaques encore plus préjudiciables. Par exemple, les pirates informatiques peuvent lancer une attaque DDoS pour distraire la victime et déployer un rançongiciel sur le réseau pendant que l’équipe de cybersécurité se concentre sur l’attaque DDoS.

Les solutions d’atténuation des attaques DDoS et les services de protection contre ces dernières aident les entreprises à en bloquer complètement une grande partie, afin d’éviter les pannes dans des secteurs et services clés. S’ils ne peuvent pas empêcher l’attaque, ces outils réduiront considérablement les temps d’arrêt afin d’assurer la continuité des activités.

Les solutions modernes de protection contre les attaques DDoS, conçues pour défendre les actifs sur site et dans le cloud, permettent aux entreprises de protéger leurs ressources où qu’elles se trouvent.