Qu’est-ce qu’une attaque par déni de service distribué (DDoS) ?

Une attaque DDoS dégrade l’infrastructure en inondant la ressource cible de trafic, en la surchargeant au point de la rendre inopérante ou en envoyant un message spécialement conçu qui nuit aux performances de l’application. Les attaques DDoS peuvent cibler l'infrastructure réseau telle que les tables d'état du pare-feu, ainsi que les ressources d'application telles que les serveurs et les processeurs. Les attaques DDoS peuvent avoir de graves conséquences, compromettant la disponibilité et l’intégrité des services en ligne et provoquant des perturbations importantes, avec un potentiel de pertes financières et de dommages à la réputation. Ces attaques peuvent également être utilisées comme écran de fumée pour détourner l’attention des équipes de sécurité et de gestion des risques de l’exfiltration de données. 

Une attaque DDoS, c'est comme si des milliers de personnes essayaient de franchir une porte en même temps. Le résultat est que personne ne peut franchir la porte, y compris les personnes qui ont une raison légitime de passer de l’autre côté. Ou bien, l'attaque peut être comme une seule personne avec une clé qui verrouille la porte après être passée, empêchant toute autre personne d'entrer. 

Les attaques comme celle-ci sont généralement coordonnées sur un grand nombre d’ordinateurs clients et d’autres appareils connectés au réseau. Ces ressources contrôlées par l'attaquant peuvent avoir été configurées dans ce but précis ou, plus probablement, avoir été infectées par un logiciel malveillant qui permet à l'attaquant de contrôler l'appareil à distance et de l'enrôler dans des attaques.

Étant donné que l’attaque provient de nombreuses sources différentes, il peut être extrêmement difficile de la bloquer. Imaginez, encore une fois, la foule qui se presse devant la porte. Le simple fait de bloquer l’accès à une personne illégitime (ou à une source de trafic malveillante) ne servira à rien, car des milliers d’autres personnes peuvent prendre sa place. Les progrès des cadres d’automatisation permettent aux attaques d’usurper les adresses IP, les numéros de système autonomes (ASN), les agents utilisateurs du navigateur et d’autres données de télémétrie pour contourner les contrôles de sécurité traditionnels. 

Il est important de faire la distinction entre les attaques par déni de service distribué (DDoS) et les attaques par déni de service (DoS) . Il s’agit dans les deux cas de cyberattaques visant à perturber la disponibilité d’un système ou d’un réseau cible, mais elles diffèrent dans la manière dont elles sont menées. 

Une attaque DoS est généralement lancée à partir d'une source unique ou d'un petit nombre de sources, l'attaquant submergeant le système ou le réseau cible avec un flot de trafic ou de requêtes, dépassant sa capacité à les gérer.

Les attaques DDoS, en revanche, impliquent plusieurs sources ou un botnet, qui est un réseau d’ordinateurs ou d’appareils compromis sous le contrôle de l’attaquant. L'attaquant coordonne ces multiples sources pour lancer simultanément l'attaque contre la cible. Les attaques DDoS sont généralement plus difficiles à atténuer que les attaques DoS car elles proviennent de plusieurs sources, ce qui rend difficile la distinction entre le trafic légitime et le trafic malveillant.

Alors que le paysage des menaces DDoS évolue constamment, F5 a constaté que la plupart des attaques appartiennent aux grandes catégories suivantes. 

Les attaques volumétriques font partie des types d’attaques DDoS les plus courants. Ces attaques visent à surcharger la bande passante du réseau de la cible en l'inondant d'un volume massif de données ou de trafic. Ces techniques incluent les attaques par saturation UDP (User Datagram Protocol), les attaques par saturation ICMP (Internet Control Message Protocol) et les attaques par réflexion exploitant des protocoles tels que NTP (Network Time Protocol), Memcached et DNS pour amplifier la quantité de trafic reçue par la cible. L’ampleur du trafic sature l’infrastructure réseau de la cible, la rendant indisponible pour les utilisateurs légitimes. Les attaques par inondation ciblent souvent les couches 3, 4 ou 7, l'inondation SYN étant une attaque très courante qui peut surcharger les pare-feu réseau et d'autres infrastructures réseau critiques. 

• À titre d’exemple d’attaque DDoS volumétrique, en 2018, GitHub, la plateforme de développement de logiciels, a subi une attaque DDoS volumétrique massive qui a perturbé ses services. L'attaque a atteint un pic sans précédent de 1,35 To/s, ce qui en fait l'une des plus grandes attaques DDoS jamais enregistrées à cette époque. En conséquence, le site Web et les services de GitHub ont connu des pannes intermittentes et une dégradation des performances.  

Attaques de protocole , telles que celles qui ciblent les faiblesses de la pile de protocoles TCP/IP, qui constitue le fondement de la communication Internet. Ces attaques ciblent spécifiquement la capacité de l’infrastructure réseau à suivre et à gérer le trafic. Par exemple, les attaques SYN Flood inondent la cible d'un barrage de paquets TCP SYN, ce qui dépasse la capacité de la cible à établir des connexions légitimes. On les appelle également attaques « informatiques », car elles surchargent souvent la capacité de calcul des périphériques réseau, tels que les routeurs et les pare-feu.

• En novembre 2021, F5 a observé et atténué la plus grande attaque de protocole que l'entreprise ait jamais connue. L'attaque, ciblant un client de services financiers, n'a duré que quatre minutes et a atteint sa bande passante d'attaque maximale de près de 1,4 To/s en seulement 1,5 minute. 

Les attaques de vulnérabilité des applications , également appelées attaques de couche 7 , ciblent spécifiquement la couche applicative de la pile réseau . Ces attaques visent à exploiter les vulnérabilités logicielles des applications ou des services exécutés sur le serveur cible pour épuiser les ressources du serveur, telles que le processeur, la mémoire ou les connexions à la base de données. Les exemples d'attaques de la couche applicative incluent les attaques HTTP GET (envoi d'un grand nombre de requêtes HTTP), les attaques slowloris (maintien des connexions ouvertes avec des requêtes partielles), les attaques HTTP POST, la renégociation TLS et les requêtes DNS.

• Un important groupe de hackers pro-russes connu sous le nom de Killnet a lancé une attaque DDoS L7 sophistiquée contre une grande organisation européenne en février 2023. L'attaque visait à submerger les serveurs de l'entreprise avec des volumes de trafic massifs, rendant difficile l'accès des utilisateurs au site Web avec un trafic d'attaque culminant à 120 000 requêtes par seconde. Cette attaque DDoS spécifique a été distribuée sur 35 adresses IP différentes et 19 pays et s'est concentrée sur la couche applicative. 

Les attaques asymétriques , également appelées attaques par réflexion ou par amplification, exploitent la fonctionnalité de certains protocoles réseau pour amplifier le volume du trafic d'attaque. Lors d'une attaque DDoS asymétrique, l'attaquant envoie une petite quantité de paquets réseau spécialement conçus à un réseau ou à un service vulnérable, généralement en utilisant une adresse IP source falsifiée. Ces paquets déclenchent la génération de réponses beaucoup plus importantes de la part du système ou du réseau ciblé, ce qui entraîne un effet d’amplification significatif.  

• En février 2021, des acteurs malveillants ont menacé une entreprise technologique qui fournit des services de sécurité informatique aux organisations de jeux et de paris d'une attaque DDoS si l'entreprise ne payait pas de rançon. Les attaquants ont immédiatement lancé une attaque SYN Flood de 4 Gbps en guise d'avertissement ; dans les cinq jours qui ont suivi, le siège DDoS a commencé. Durant presque un mois entier, les attaques se sont succédées, les acteurs de la menace ajoutant de plus en plus de vecteurs. Finalement, les attaques ont culminé à 500 Gbit/s et comprenaient un barrage multi-vecteur d'attaques volumétriques UDP, de réflexion LDAP, de réflexion DNS, de réflexion NTP et de fragmentation UDP.

Les attaques multi-vectorielles , qui exploitent plusieurs des méthodes ci-dessus, deviennent de plus en plus courantes. En employant plus d’une technique d’attaque, les attaquants sont en mesure d’amplifier l’impact et d’augmenter la difficulté de se défendre contre plusieurs vecteurs d’attaque simultanément.

• En octobre 2016, Dyn, un fournisseur DNS qui gère et dirige le trafic Internet, a subi une attaque DDoS massive qui a perturbé de nombreux sites Web et services populaires, notamment Twitter, Reddit, Netflix et Spotify. Les attaquants ont utilisé une combinaison de différentes techniques DDoS, notamment des attaques par réflexion et amplification DNS, ainsi que des botnets. L'attaque a exploité des appareils IoT vulnérables, tels que des webcams et des routeurs, qui avaient des mesures de sécurité faibles ou des identifiants de connexion par défaut. En compromettant ces appareils, les attaquants ont créé un réseau de botnet massif capable de générer d’énormes volumes de trafic.

Vous trouverez ci-dessous plusieurs concepts et définitions clés liés aux attaques DDoS, à leur atténuation et à leur prévention.

• Les botnets sont des réseaux d’ordinateurs, de serveurs ou d’appareils compromis qui sont sous le contrôle d’un attaquant. Ces appareils compromis, souvent appelés bots ou zombies , sont utilisés pour lancer des attaques DDoS collectivement. L'attaquant peut commander à distance au botnet d'inonder la cible de trafic ou de requêtes, amplifiant ainsi l'impact de l'attaque.
• L'usurpation d'identité consiste à falsifier ou à dissimuler la véritable source ou l'identité des paquets ou des communications réseau. Dans les attaques DDoS, l’usurpation d’identité est souvent utilisée pour masquer l’origine du trafic d’attaque. 
• L'inondation SYN est une attaque DDoS qui exploite le processus de négociation à trois voies du TCP pour surcharger les ressources de la cible. L'attaquant envoie un volume élevé de paquets SYN à la cible, mais ne répond pas aux paquets SYN-ACK ou usurpe les adresses IP sources. Cela oblige le système cible à attendre des paquets ACK qui n'arrivent jamais, ce qui monopolise ses ressources et empêche l'établissement de connexions légitimes.
• L'inondation UDP (User Datagram Protocol) est un type d'attaque DDoS qui cible le protocole UDP, qui est sans connexion et ne nécessite pas de poignée de main. Dans cette attaque, l'attaquant envoie un volume élevé de paquets UDP au réseau ou aux services de la cible, submergeant ainsi ses ressources. 
• L'amplification DNS (Domain Name System) est un type d'attaque DDoS qui exploite les vulnérabilités des serveurs DNS pour générer un volume important de trafic d'attaque. L'attaquant envoie de petites requêtes DNS avec des adresses IP sources usurpées à des résolveurs DNS ouverts vulnérables. Ces résolveurs, ignorant l'usurpation d'identité, répondent avec des réponses DNS plus volumineuses, amplifiant le volume de trafic dirigé vers la cible, submergeant les ressources de la cible et provoquant potentiellement des interruptions de service. 
• L'atténuation des attaques DDoS fait référence aux stratégies et techniques employées pour se défendre et minimiser l'impact des attaques DDoS. Les solutions d’atténuation peuvent impliquer une combinaison de mises à niveau de l’infrastructure réseau, de filtrage du trafic, de limitation du débit, de détection d’anomalies et de détournement du trafic pour absorber et atténuer le trafic d’attaque. Les solutions d’atténuation DDoS fournies dans le cloud sont particulièrement efficaces pour détecter et atténuer les attaques avant qu’elles n’atteignent l’infrastructure réseau et les applications. Toutefois, compte tenu de l’augmentation récente des attaques DoS au niveau des applications/L7, des contrôles de sécurité doivent également être déployés à proximité des ressources protégées. 
• La réponse aux incidents fait référence au processus de détection, d’analyse et de réponse aux attaques DDoS. Il s’agit d’identifier les signes d’une attaque en cours, d’enquêter sur la source et la nature de l’attaque, de mettre en œuvre des mesures d’atténuation et de rétablir les opérations normales. Les plans de réponse aux incidents aident les organisations à gérer efficacement les attaques DDoS et à minimiser leur impact.

Les attaques DDoS peuvent avoir de graves conséquences pour les entreprises, les organisations et les particuliers. 

Les attaques DDoS peuvent entraîner des pertes financières importantes . Lorsque les services sont interrompus ou inaccessibles, les entreprises peuvent subir un impact sur leurs revenus en raison de transactions interrompues, d’une diminution de l’engagement client ou d’opportunités manquées. En outre, les organisations peuvent encourir des coûts liés à l’atténuation de l’attaque, à la conduite des activités de réponse aux incidents et de récupération, ainsi qu’à d’éventuelles sanctions réglementaires.

Les attaques DDoS réussies peuvent nuire à la réputation d’une organisation et éroder la confiance des clients. Si les services d’une entreprise sont interrompus ou indisponibles à plusieurs reprises, les clients peuvent perdre confiance dans la capacité de l’organisation à fournir des services fiables. Rétablir la confiance et restaurer une réputation endommagée peut être un processus difficile et long.

Les attaques DDoS peuvent provoquer de graves perturbations opérationnelles . Les organisations fortement dépendantes des services en ligne peuvent être confrontées à des pertes de productivité, car les employés ne peuvent pas accéder aux systèmes critiques ni collaborer efficacement. Les interruptions de service peuvent avoir un impact sur les chaînes d’approvisionnement, le support client et les opérations commerciales globales, entraînant des retards, des inefficacités et une augmentation des coûts opérationnels.

En investissant dans des stratégies robustes d’atténuation des attaques DDoS et en faisant appel à des professionnels de la cybersécurité pour concevoir et mettre en œuvre des mesures de sécurité, les organisations peuvent réduire considérablement le risque et l’impact des attaques DDoS réussies, préserver leur stabilité financière et leur réputation et assurer la continuité de leurs opérations.

Vous trouverez ci-dessous quelques techniques courantes d’atténuation des attaques DDoS utilisées pour se défendre contre les attaques. Les organisations utilisent souvent une combinaison de ces méthodologies pour créer une stratégie de défense en couches capable d’atténuer efficacement l’impact des attaques DDoS . La détection précoce est également essentielle pour lancer une réponse rapide aux incidents et des mesures d’atténuation, permettant aux organisations de contenir l’impact avant qu’il ne s’aggrave.

Le filtrage du trafic consiste à examiner le trafic réseau entrant et à appliquer des filtres pour bloquer ou autoriser des types de trafic spécifiques. Cette technique peut être utilisée à différents niveaux, tels que les routeurs de périphérie de réseau, les pare-feu ou les dispositifs d'atténuation DDoS dédiés. En filtrant le trafic malveillant ou indésirable, les organisations peuvent réduire l’impact des attaques DDoS et garantir que le trafic légitime atteint la destination prévue.

La limitation du débit restreint le nombre de requêtes ou de paquets entrants provenant d'une source particulière ou dans un laps de temps spécifié. En appliquant des limites de débit, les organisations peuvent atténuer l’impact des attaques DDoS en empêchant un afflux massif de trafic. 

La détection des anomalies implique la surveillance des modèles et du comportement du trafic réseau pour identifier les écarts par rapport aux modèles normaux. Il utilise des algorithmes d’analyse statistique et d’apprentissage automatique pour établir un comportement de base et détecter les activités anormales pouvant indiquer une attaque DDoS. Les systèmes de détection d’anomalies peuvent identifier des pics de trafic inhabituels, des inondations de paquets ou d’autres modèles indiquant une attaque en cours. 

L'analyse comportementale se concentre sur la surveillance du comportement des utilisateurs, des systèmes ou des entités du réseau pour détecter et identifier les activités suspectes ou malveillantes . Les techniques d’analyse comportementale peuvent aider à différencier le trafic légitime du trafic d’attaque, permettant aux organisations de répondre efficacement aux attaques DDoS tout en minimisant les faux positifs. Cette analyse peut être effectuée côté client ainsi que côté serveur via des proxys intelligents qui détectent le stress du système pouvant indiquer une attaque par déni de service. 

Le déploiement d’un réseau de diffusion de contenu (CDN) peut aider à atténuer l’impact des attaques volumétriques et à améliorer la disponibilité et les performances. Les CDN peuvent utiliser leur infrastructure de réseau distribuée pour identifier et bloquer le trafic malveillant, garantissant ainsi que les demandes légitimes atteignent la cible.

Les équilibreurs de charge et les contrôleurs de distribution d'applications (ADC) peuvent également agir comme un mécanisme de défense contre les attaques DDoS en distribuant et en gérant intelligemment le trafic. Les équilibreurs de charge peuvent détecter et atténuer les attaques DDoS en appliquant diverses techniques telles que la limitation du débit, la mise en forme du trafic ou la redirection du trafic vers des solutions de protection DDoS spécialisées. 

La mise en œuvre de services de protection DDoS basés sur le cloud peut contribuer à fournir des capacités d’atténuation dédiées et évolutives pour se défendre contre les attaques DDoS. En redirigeant le trafic via ces services, les organisations peuvent bénéficier de techniques d’atténuation avancées, de renseignements sur les menaces en temps réel et de l’expertise de fournisseurs spécialisés.

D’autres bonnes pratiques pour se protéger contre les attaques DDoS incluent l’activation de la gestion des requêtes TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) pour garantir que seules les requêtes légitimes sont traitées. Une surveillance et une journalisation régulières permettent de détecter les attaques de manière précoce et peuvent atténuer tout impact négatif. Des schémas de trafic accru, des erreurs ou une activité inhabituelle peuvent déclencher des alertes pour une enquête plus approfondie. Le chiffrement du trafic entre les applications et les clients peut rendre plus difficile pour un attaquant d’intercepter et de modifier le trafic. Des mises à jour logicielles régulières garantissent que vos systèmes sont protégés par les dernières fonctionnalités de sécurité et correctifs pour atténuer les menaces connues, y compris les attaques DDoS.

Alors que les attaques DDoS continuent de croître en ampleur et en complexité, les organisations ont besoin de plusieurs couches de protection pour arrêter ces attaques avant qu'elles n'atteignent le réseau de l'entreprise. Souvent, ces attaques combinent un trafic à volume élevé avec des techniques d'attaque furtives, lentes et ciblées sur les applications, alimentées soit par des botnets automatisés, soit par des outils pilotés par l'homme. Alors que la fréquence de ces attaques et le coût des pannes continuent d’augmenter, l’importance d’une défense holistique et multicouche pour atténuer ces attaques est désormais essentielle.

Découvrez des attaques DDoS réelles et comment elles ont été atténuées en regardant ou en lisant les études de cas suivantes.

• Découvrez comment F5 a stoppé une attaque DDoS volumétrique de 26 Gbit/s chez un fournisseur de messagerie.
• Découvrez comment la Heritage Bank d'Australie a déployé une suite de produits F5 qui offre une protection DDoS 24h/24 et 7j/7 et répond aux directives réglementaires de la banque.

Alors que les attaques DDoS continuent d’évoluer , les organisations doivent rester informées des dernières tendances et développements. 

Une tendance récente a été la prévalence croissante des botnets de l’Internet des objets (IoT) . Les appareils IoT, tels que les caméras intelligentes, les routeurs et les appareils connectés, ont souvent des mesures de sécurité faibles et sont susceptibles d’être compromis. Les attaquants exploitent les vulnérabilités de ces appareils pour les infecter avec des logiciels malveillants et les enrôler dans un botnet. La puissance de calcul combinée de milliers d’appareils IoT compromis peut générer des volumes massifs de trafic d’attaque DDoS. 

Les attaques au niveau de la couche applicative , qui visent à épuiser les ressources du serveur ou à exploiter les vulnérabilités d’applications spécifiques, imitent souvent le comportement légitime des utilisateurs, ce qui les rend plus difficiles à détecter et à atténuer. Les attaques au niveau de la couche applicative sont particulièrement difficiles à combattre, car elles nécessitent une compréhension plus approfondie du comportement des applications et nécessitent des mécanismes de protection spécialisés.

L’émergence des plateformes DDoS-as-a-Service a rendu le lancement d’attaques DDoS plus accessible aux personnes moins qualifiées techniquement. Ces plateformes se trouvent sur le Dark Web et fournissent des interfaces faciles à utiliser qui permettent aux utilisateurs de louer et de déployer des ressources d’attaque DDoS, souvent en utilisant des botnets à louer.