Glossaire : Termes et définitions de la cybersécurité

Qu’est-ce que l’atténuation des attaques DDoS ?

Les attaques par déni de service distribué (DDoS) peuvent menacer la disponibilité des applications. Il est donc essentiel de disposer d'une solution d'atténuation des attaques DDoS.

Les attaques par déni de service distribué (DDoS) sont un type de cyberattaque qui cible des applications ou des sites Web spécifiques dans le but d'épuiser les ressources du système cible, le rendant inaccessible aux utilisateurs légitimes. En 2023, les attaques au niveau de la couche applicative ont augmenté de 165 % , le secteur technologique occupant la première place en tant que secteur vertical le plus attaqué. C'est pourquoi il est essentiel de disposer d'une solution complète d'atténuation des attaques DDoS pour maintenir la disponibilité et la résilience.  

Concepts clés des attaques DDoS

Avant de plonger dans les méthodes et solutions d’atténuation des attaques DDoS, il est important d’acquérir une compréhension approfondie des menaces DDoS actuelles. Une attaque par déni de service distribué (DDoS) dégrade l’infrastructure en inondant la ressource cible de trafic , la surchargeant jusqu’au point de l’inopérabilité. Une attaque DDoS peut également envoyer un message spécifiquement conçu qui altère les performances de l’application. Les attaques DDoS peuvent cibler l'infrastructure réseau telle que les tables d'état du pare-feu, ainsi que les ressources d'application telles que les serveurs et les processeurs. 

Les attaques DDoS peuvent avoir de graves conséquences, compromettant la disponibilité et l’intégrité des services en ligne et provoquant des perturbations importantes, avec un potentiel de pertes financières et de dommages à la réputation. Ces attaques peuvent également être utilisées comme une diversion pour permettre aux mauvais acteurs d’accéder à des données importantes. 

Les attaques DDoS sont un type d' attaques par déni de service (DoS) , qui cherchent à perturber le fonctionnement normal d'un réseau, d'un serveur ou d'un site Web en le submergeant de trafic. En revanche, une attaque DDoS utilise plusieurs appareils pour inonder la cible de trafic. Étant donné qu’une attaque DDoS implique plusieurs systèmes attaquant un seul système, elles représentent une menace bien plus grande et plus compliquée à contrecarrer. 

Voici les types courants d'attaques DDoS observés dans le modèle d'interconnexion de systèmes ouverts (OSI) à sept couches :

  • Les attaques volumétriques sont conçues pour submerger un réseau avec un volume de trafic si énorme que le réseau devient inutilisable. Ces attaques sont généralement exécutées à l’aide d’un botnet, qui est un réseau d’appareils compromis contrôlés par un seul attaquant.
  • Les attaques de protocole ciblent la couche réseau du modèle OSI et exploitent les vulnérabilités des protocoles réseau tels que TCP/IP, ICMP et UDP. Ces attaques sont conçues pour surcharger les ressources des périphériques réseau tels que les pare-feu, les routeurs et les équilibreurs de charge, provoquant ainsi une interruption de service. On les appelle également attaques « informatiques ».
  • Les attaques de la couche applicative ciblent la couche applicative du modèle OSI et exploitent les vulnérabilités des applications Web telles que HTTP, HTTPS et DNS. Ces attaques visent à épuiser les ressources des serveurs Web, provoquant ainsi une interruption de service.

Vecteurs d’attaque courants utilisés dans les attaques DDoS :

  1. Inondation UDP : Cette attaque inonde le serveur cible avec des paquets UDP (User Datagram Protocol), ce qui peut provoquer le blocage du serveur ou l'empêcher de répondre. 
  2. Inondation TCP SYN : Cette attaque exploite le processus de négociation à trois voies utilisé par le protocole de contrôle de transmission (TCP) pour établir une connexion entre deux appareils. L'attaquant envoie un grand nombre de paquets SYN au serveur cible, ce qui peut l'empêcher de répondre.
  3. Inondation HTTP : Cette attaque cible les serveurs Web en envoyant un grand nombre de requêtes HTTP au serveur cible, ce qui peut l'empêcher de répondre.
  4. Amplification DNS : Cette attaque exploite le système de noms de domaine (DNS) pour inonder le serveur cible avec des paquets de réponse DNS, ce qui peut l'empêcher de répondre. 
  5. Amplification NTP : Cette attaque exploite le protocole NTP (Network Time Protocol) pour inonder le serveur cible de paquets de réponse NTP, ce qui peut l'empêcher de répondre. 
  6. Amplification SSDP : Cette attaque exploite le protocole Simple Service Discovery Protocol (SSDP) pour inonder le serveur cible de paquets de réponse SSDP, ce qui peut l'empêcher de répondre. 
  7. Inondation SYN-ACK : Cette attaque exploite le processus de négociation à trois voies TCP en envoyant un grand nombre de paquets SYN-ACK au serveur cible, ce qui peut l'empêcher de répondre. 
  8. Lecture lente HTTP : Cette attaque envoie des requêtes HTTP au serveur cible mais lit la réponse lentement, ce qui peut empêcher le serveur de répondre. 
  9. Ping de la mort : Cette attaque envoie un paquet ping surdimensionné au serveur cible, ce qui peut provoquer son blocage ou le rendre insensible. 
  10. L'attaque des Schtroumpfs : Cette attaque exploite le protocole ICMP (Internet Control Message Protocol) pour inonder le serveur cible de requêtes ping provenant de plusieurs sources, ce qui peut l'empêcher de répondre. 
  11. URL lourde : Au cours de la phase de reconnaissance de la planification d’une attaque, un attaquant recherche les URL les plus coûteuses en termes de calcul d’un site Web et les utilise dans le cadre d’une attaque DDoS. Celles-ci sont appelées URL « lourdes » car elles exercent une charge plus importante sur le serveur lorsqu’elles sont demandées.  
  12. Bas et lent : L’objectif de ces attaques DDoS est de détruire les ressources des applications de manière silencieuse et furtive, et ce en utilisant très peu de bande passante. De ce fait, elles sont difficiles à détecter et, comme elles se produisent au niveau de la couche applicative où une connexion TCP est déjà établie, les requêtes HTTP semblent légitimes.
Tableau de protection DDoS

La menace des attaques DDoS est donc énorme, ce qui rend potentiellement les entreprises plus vulnérables aux cyberattaques. Cela signifie qu’il est essentiel de comprendre comment les attaques DDoS se produisent, afin de pouvoir prendre des mesures pour les atténuer.

Pourquoi il est essentiel de mettre en œuvre une atténuation des attaques DDoS dans une politique de cybersécurité Disponibilité :

Les attaques DDoS peuvent provoquer des temps d’arrêt importants et perturber la disponibilité des services, entraînant des pertes financières et des atteintes à la réputation.

Protection: En intégrant des mesures d’atténuation DDoS, votre entreprise réduit le risque que du trafic malveillant atteigne son infrastructure réseau, tout en garantissant que les utilisateurs légitimes peuvent accéder à leurs sites Web et applications Web. Les attaques DDoS sont parfois utilisées comme écran de fumée pour distraire les équipes de sécurité d'une campagne d'attaque coordonnée pouvant conduire à une violation de données. Et certains types d’attaques ne peuvent tout simplement pas être « codés » .

Résilience: Investir dans une technologie efficace d’atténuation des attaques DDoS améliore la résilience d’une organisation face aux adversaires des États-nations et autres acteurs malveillants, ce qui en fait une cible moins attrayante.

Économies de coûts : L’atténuation rapide des attaques DDoS peut permettre aux organisations d’économiser du temps et de l’argent.

En incluant l’atténuation des attaques DDoS dans une politique de cybersécurité, les organisations peuvent protéger de manière proactive leurs ressources , maintenir la disponibilité des services et minimiser l’impact des attaques DDoS potentielles.

Techniques d'atténuation des attaques DDoS

Nous comprenons désormais les risques liés aux attaques DDoS, notamment en ce qui concerne les données et les applications critiques pour l’entreprise, et pourquoi il est essentiel de déployer une solution d’atténuation des attaques DDoS. Nous pouvons maintenant passer en revue les types d’atténuation DDoS afin que vous puissiez déterminer la meilleure solution pour vos besoins.

Atténuation des attaques DDoS sur site

Il existe plusieurs types de solutions et de mesures sur site qu'une organisation peut mettre en œuvre pour réduire le risque d'attaques DDoS. Certains d’entre eux peuvent également être utilisés en complément de ceux basés sur le cloud pour renforcer la posture de défense globale.

  • Renforcement des infrastructures de réseau : Cette solution consiste à renforcer l’ infrastructure réseau pour résister aux attaques DDoS. Cela comprend l’augmentation de la bande passante, l’ajout de liens redondants et la mise à niveau des périphériques réseau. 
  • Limitation du débit et régulation du trafic : Cette solution consiste à limiter la quantité de trafic pouvant entrer sur le réseau. Cela peut être mis en œuvre en définissant des limites de débit sur les périphériques réseau ou en utilisant des techniques de mise en forme du trafic pour hiérarchiser le trafic.
  • Pare-feu et systèmes de prévention d'intrusion (IPS) : Cette solution consiste à utiliser des pare-feu et des dispositifs IPS pour filtrer le trafic malveillant. Les pare-feu peuvent bloquer le trafic en fonction des adresses IP, des ports et des protocoles, tandis que les périphériques IPS peuvent détecter et bloquer les attaques en fonction de leurs signatures.

Atténuation des attaques DDoS dans le cloud

Le déplacement des efforts d’atténuation des attaques DDoS vers le cloud ou une solution hybride contribue à accroître l’efficacité, l’évolutivité et l’efficience. Certaines solutions basées sur le cloud peuvent être intégrées à des solutions sur site. Les solutions d’atténuation DDoS basées sur le cloud fonctionnent sur des réseaux de diffusion cloud, ou CDN

  • Le routage Anycast distribue le trafic vers le centre de données le plus proche capable de le gérer. Il fonctionne en annonçant le même réseau dans différentes parties du réseau, afin de réduire le « temps de trajet » du réseau pour atteindre ce réseau. Lorsqu'un réseau CDN utilise le routage anycast , il distribue le trafic de manière plus stratégique, ce qui augmente la surface du réseau de réception et permet de rediriger des volumes importants de trafic vers davantage de centres de données.
  • Les centres de nettoyage du trafic sont des centres de données conçus pour filtrer le trafic malveillant du trafic légitime. Ils sont utilisés pour atténuer les attaques DDoS en filtrant le trafic d'attaque et en transférant le trafic propre vers les serveurs du client. Lorsqu'une attaque DDoS se produit, le trafic est acheminé via le centre de nettoyage , où il est analysé et filtré. Le trafic propre est ensuite transmis aux serveurs du client.

Atténuation des attaques DDoS basée sur le cloud hybride

Transférer les efforts d’atténuation des attaques DDoS vers une solution hybride peut apporter le meilleur de la sécurité du cloud public et de la gestion du cloud privé ou sur site. Un modèle hybride peut permettre aux entreprises d’adapter davantage leur posture de sécurité à leurs besoins de données uniques. 

Atténuation des attaques DDoS dans les applications

Les applications sont les moteurs des entreprises modernes, mais elles sont de plus en plus ciblées par les attaques DDoS. L’atténuation DDoS traditionnelle est statique et centralisée. Mais comme les applications sont distribuées sur plusieurs clouds et architectures, elles ont besoin d’une solution d’atténuation DDoS évolutive et flexible pour offrir une protection maximale.  

Composants de l'atténuation des attaques DDoS

Une stratégie complète d’atténuation des attaques DDoS comprend généralement plusieurs composants clés. 

Analyse et surveillance du trafic

La première étape de l’atténuation des attaques DDoS consiste à détecter les problèmes ou risques potentiels. Les deux principales méthodes d’identification et d’alerte des menaces sont la détection basée sur les signatures et la détection basée sur les anomalies.

La détection basée sur les signatures s'appuie sur une liste préprogrammée d'indicateurs de compromission (IOC) connus pour identifier les menaces. Ces IOC peuvent inclure le comportement d'attaque réseau malveillante , le contenu des lignes d'objet des e-mails, les hachages de fichiers, les séquences d'octets connues ou les domaines malveillants, entre autres problèmes. La détection basée sur les signatures offre une vitesse de traitement élevée pour les attaques connues et de faibles taux de faux positifs, mais elle ne peut pas détecter les exploits zero-day.

La détection basée sur les anomalies , quant à elle, est capable d'alerter sur un comportement suspect inconnu. La détection basée sur les anomalies implique d’abord de former le système avec une ligne de base normalisée, puis de comparer l’activité à cette ligne de base ; une fois qu’il détecte quelque chose d’anormal, une alerte est déclenchée. La détection basée sur les anomalies peut avoir des taux de faux positifs plus élevés. 

Déviation du trafic en temps réel

La protection des ressources DNS est essentielle pour l’entreprise. Deux solutions de déviation du trafic en temps réel peuvent vous aider. 

  • La redirection DNS consiste à rediriger les requêtes DNS d'un nom de domaine vers un autre. Cela peut être utile dans les situations où un site Web a été déplacé vers un nouveau nom de domaine ou lorsqu'une entreprise souhaite rediriger le trafic d'un nom de domaine vers un autre. La redirection DNS peut être implémentée à l'aide d'un enregistrement CNAME dans le fichier de zone DNS. Lorsqu'une requête DNS est reçue pour le nom de domaine d'origine, le serveur DNS répond avec un enregistrement CNAME pointant vers le nouveau nom de domaine. Le client envoie ensuite une nouvelle requête DNS pour le nouveau nom de domaine.
  • BGP Anycast consiste à diffuser la même adresse IP à partir de plusieurs emplacements sur Internet. Dans BGP Anycast, le protocole Border Gateway Protocol (BGP) est utilisé pour annoncer l'adresse IP à partir de plusieurs emplacements. Lorsqu'un client envoie une requête DNS à une adresse IP Anycast, la requête est acheminée vers l'emplacement le plus proche qui publie l'adresse IP. Cela peut aider à améliorer les performances et la disponibilité des services DNS en réduisant la latence. BGP Anycast est généralement utilisé par les grandes organisations qui disposent de plusieurs centres de données situés dans différentes régions géographiques.

Filtrage et nettoyage des attaques

À mesure que le trafic se déplace vers et à travers votre réseau, vous avez besoin d'une solution d'atténuation DDoS qui le surveille en permanence pour détecter toute activité malveillante.

  • L'identification du trafic malveillant consiste à examiner le trafic provenant du client avant qu'il ne soit envoyé vers la couche applicative, garantissant ainsi que le trafic malveillant ne franchit jamais la barrière du proxy. Le trafic revenant du serveur peut être entièrement examiné avant d'être jugé acceptable pour être renvoyé au client. Cela permet de garantir que les données sensibles telles que les numéros de carte de crédit ou les informations personnelles identifiables ne sont jamais transmises à travers la barrière proxy.
  • Des algorithmes et des techniques de nettoyage sont utilisés pour rechercher et supprimer le trafic malveillant lorsqu'il pénètre dans votre réseau. Les centres de nettoyage constituent le premier arrêt du trafic ; dans les centres, le trafic est trié en fonction des caractéristiques du trafic et des méthodologies d'attaque possibles. Le trafic continue d'être vérifié pendant qu'il traverse le centre de nettoyage pour confirmer que le trafic malveillant a été entièrement supprimé. Ce contrôle de sécurité est essentiel car les attaques DDoS peuvent facilement surcharger les canaux d’entrée dans l’environnement client.

Facteurs d'atténuation des attaques DDoS à prendre en compte lors du choix d'un fournisseur

Lorsque vous envisagez la solution d’atténuation DDoS adaptée aux besoins de votre organisation, vous devez prendre en compte les facteurs suivants en tenant compte de la trajectoire de croissance de votre entreprise et de la surface de risque possible. Et lorsque vous envisagez un service cloud, vous avez désormais la possibilité de choisir parmi plusieurs clouds publics (AWS, Google Cloud, Microsoft Azure et Alibaba Cloud) ainsi que des sociétés de cloud privé.

Facteurs à prendre en compte lors du choix d'un fournisseur de services d'atténuation des attaques DDoS

 

Bonnes pratiques pour atténuer les attaques DDoS

Une solution complète d'atténuation des attaques DDoS permet de couvrir votre réseau de manière préventive, avec une réponse aux incidents en temps réel et des tests et examens continus pour garantir les meilleures performances. 

Mesures proactives

Conception de l'architecture du réseau : Une architecture réseau bien conçue peut aider à prévenir les attaques DDoS en garantissant que le réseau est résilient et peut supporter des volumes de trafic élevés. Par exemple, un réseau conçu avec plusieurs couches de sécurité, notamment des pare-feu, des systèmes de détection d’intrusion et d’autres mesures de sécurité, peut aider à empêcher les attaques DDoS de pénétrer le réseau. De plus, la segmentation du réseau peut aider à limiter l’impact d’une attaque en isolant les zones affectées du réseau. 

Équilibrage de charge : L'équilibrage de charge peut aider à prévenir les attaques DDoS en répartissant le trafic sur plusieurs serveurs, ce qui peut aider à empêcher qu'un serveur ne soit surchargé. Cela peut aider à garantir que le réseau reste disponible même pendant une attaque DDoS. Les équilibreurs de charge peuvent également aider à détecter et à bloquer le trafic malveillant, ce qui peut contribuer à empêcher la réussite des attaques DDoS. 

SLA détaillés des fournisseurs : Lorsque vous envisagez de faire appel à un tiers pour la protection contre les attaques DDoS, il est essentiel de comprendre les capacités du fournisseur dans chaque scénario DDoS et d’intégrer les protocoles, les actions et les réponses au SLA.

Réponse aux incidents

Étapes de gestion des incidents DDoS : Il existe six étapes clés pour répondre rapidement et efficacement à un incident DDoS, même s’il est important de préciser que ces étapes ne se déroulent pas de manière linéaire, mais plutôt en boucle. 

  1. Préparation : Établissez des contacts, définissez des procédures et rassemblez des outils pour gagner du temps lors d'une attaque. 
  2. Détection : Détecter l’incident, déterminer sa portée et impliquer les parties appropriées. 
  3. Analyse : Analyser le trafic d’attaque pour déterminer ses caractéristiques et identifier la cible. 
  4. Confinement : Contenez l'attaque en filtrant le trafic et en bloquant le trafic malveillant. 
  5. Éradication : Éradiquez l’attaque en supprimant le trafic malveillant du réseau. 
  6. Récupération : Récupérez après l’attaque en restaurant les services et en examinant l’incident. 

Protocoles de communication avec le fournisseur d’atténuation lors d’un incident DDoS : Dès le départ, il est essentiel pour une entreprise et son fournisseur de services d’atténuation de suivre un protocole de communication strict. Voici les meilleures pratiques recommandées en matière de communication lors d'un incident : 

  • Établir un plan de communication : Établissez un plan de communication avec votre fournisseur d’atténuation DDoS avant qu’une attaque ne se produise. Ce plan doit inclure les coordonnées du personnel clé, les procédures d’escalade et les canaux de communication.
  • Fournir des informations détaillées : Fournissez à votre fournisseur d’atténuation DDoS des informations détaillées sur l’attaque, notamment le type d’attaque, la cible et la durée de l’attaque. Ces informations peuvent aider votre fournisseur à développer une stratégie d’atténuation efficace. 
  • Collaborez avec votre fournisseur : Travaillez en étroite collaboration avec votre fournisseur d’atténuation DDoS pour développer une stratégie d’atténuation adaptée aux besoins de votre organisation. Cela peut inclure l'ajustement du routage du trafic, le filtrage du trafic ou le blocage du trafic malveillant. 
  • Surveiller la situation : Surveillez la situation de près et fournissez des mises à jour régulières à votre fournisseur d’atténuation DDoS. Cela peut aider votre fournisseur à ajuster sa stratégie d’atténuation selon les besoins. 
  • Revoir l'incident : Une fois l'attaque atténuée, examinez l'incident avec votre fournisseur d'atténuation DDoS pour identifier les domaines à améliorer et mettre à jour votre plan de réponse aux incidents si nécessaire. 

Tests et révisions réguliers

Les équipes informatiques et de sécurité doivent effectuer des analyses et des tests régulièrement. Un type de test est le test d'équipe rouge , qui consiste à simuler les tactiques et techniques des attaquants du monde réel. Dans ce cas, les testeurs de l’équipe rouge testeraient une variété d’attaques DDoS pour surveiller les réponses de la solution d’atténuation.  

Il est également essentiel de se tenir au courant des tendances en matière de cyberattaques, d’autant plus que les mauvais acteurs du monde entier continuent de changer leurs méthodes. Une solution d’atténuation doit être évolutive et adaptable à tout nouveau type de perturbations. 

Études de cas sur l’atténuation des attaques DDoS

Les organisations de tout secteur, de toute taille, opérant dans n'importe quelle partie du monde, peuvent bénéficier de la mise en place d'une solution fiable d'atténuation des attaques DDoS. Ces études de cas démontrent à quel point une solution d’atténuation DDoS peut être efficace dans n’importe quel scénario. Des entreprises comme la vôtre ont constaté des résultats mesurables en s'attaquant aux risques DDoS. 

  • Étude de cas : Découvrez comment une compagnie d’assurance de premier plan a déjoué une tentative d’attaque DDoS, tout en contribuant à protéger ses applications et ses utilisateurs. 
  • Vidéo : Découvrez comment F5 a aidé un fournisseur de messagerie à stopper la consolidation de son équipement réseau afin de réduire la surface d'attaque potentielle et d'améliorer la sécurité opérationnelle. 

Tendances futures en matière d'atténuation des attaques DDoS

Bien que les attaques DDoS existent depuis des décennies, les acteurs malveillants qui les exploitent deviennent de plus en plus sophistiqués et agressifs. Il est important d’être conscient des tendances actuelles et à venir dans le domaine de la cybersécurité DDoS

À un niveau élevé, F5 a constaté ces tendances en 2023 : 

  • Les attaques sur la couche applicative ont augmenté de 165 % 
  • Le secteur technologique occupe la première place des secteurs les plus attaqués par rapport à 2022 
  • Les événements observés dans leur ensemble sont en baisse de -9,7 % 
  • La bande passante de pointe a augmenté de 216 % par rapport à 2020 
  • Tous les secteurs verticaux devraient s'attendre à voir davantage d'applications et de DDoS multi-vecteurs 

En outre, les experts en cybersécurité surveillent trois domaines en pleine croissance : 

Intelligence artificielle et apprentissage automatique : Alors que de plus en plus d’entreprises déploient l’IA et le ML dans d’autres secteurs de leurs activités, comme la fabrication ou le service client, elles peuvent jouer un rôle dans la détection et l’atténuation des attaques DDoS.  Une étude récente a montré que l’utilisation d’une méthode d’intelligence artificielle pour détecter les attaques DDoS entraînait une précision de plus de 96 %.  

Internet des objets (IoT) : L’IoT se développe, mais la sécurisation des surfaces de calcul supplémentaires impliquées peut rendre ces solutions plus vulnérables aux attaques. Les experts suggèrent d’adopter des pratiques de sécurité plus robustes, une protection par mot de passe et l’utilisation de pare-feu ou de VPS, le tout pour réduire le nombre d’appareils exposés au risque d’attaque.  

Technologie Blockchain : La technologie Blockchain présente une option intéressante pour l’atténuation des attaques DDoS car, de par sa nature, la blockchain est décentralisée et dispose d’un stockage distribué sécurisé. Cela peut particulièrement aider dans le cas d’attaques géographiques, où la sécurité peut également être ciblée géographiquement. 

Même si les attaques DDoS ne disparaissent pas, il existe davantage d’outils permettant d’atténuer ces attaques, aujourd’hui et dans les années à venir.

Comment F5 peut vous aider

Les attaques par déni de service distribué (DDoS) existent depuis des décennies et elles ne sont pas prêtes de disparaître. C’est pourquoi les entreprises doivent anticiper l’avenir de leurs solutions d’atténuation des attaques DDoS. Chez F5, la cybersécurité est au cœur de pratiquement tout ce que nous faisons. Nos solutions d’atténuation des attaques DDoS et notre support exceptionnel donnent à votre organisation l’avantage dont elle a besoin pour atténuer les risques d’éventuelles attaques DDoS. Il est également important de vous assurer que votre solution d’atténuation des attaques DDoS peut évoluer et s’adapter aux besoins de votre entreprise, ainsi qu’à la menace évolutive des acteurs malveillants DDoS.  

Laissez F5 vous aider dans toutes les manières dont vous et votre réseau pourriez avoir besoin d'une protection contre les attaques DDoS . Nous disposons d'une vaste expérience dans la mise en œuvre du type d'atténuation DDoS adapté aux besoins de votre organisation.