Glossaire

Qu’est-ce que l’atténuation des attaques DDoS ?

Les attaques par déni de service distribué (DDoS) peuvent menacer la disponibilité des applications. Il est donc essentiel de disposer d’une solution d’atténuation des attaques DDoS.

Les attaques par déni de service (DDoS) sont un type de cyberattaque visant des applications ou des sites web spécifiques dans le but d’épuiser les ressources du système cible, le rendant inaccessible aux utilisateurs légitimes. En 2023, les attaques de la couche applicatives ont augmenté de 165 %, le secteur technologique étant le plus attaqué de tous les secteurs verticaux. C’est pourquoi la mise en place d’une solution d’atténuation des attaques DDoS est essentielle pour préserver la disponibilité et la résilience.  

Concepts clés des attaques DDoS

Avant d’aborder les méthodes et les solutions d’atténuation des attaques DDoS, il est important de bien comprendre les menaces DDoS actuelles. Une attaque par déni de service distribué (DDoS) dégrade l’infrastructure en inondant la ressource cible de trafic, la surchargeant au point de la rendre inopérante. Une attaque DDoS peut également envoyer un message spécifiquement conçu pour nuire aux performances de l’application. Les attaques DDoS peuvent cibler l’infrastructure réseau, comme les tables d’état des pare-feu, ainsi que les ressources applicatives, comme les serveurs et les processeurs.

Les attaques DDoS peuvent avoir de graves conséquences, en compromettant la disponibilité et l’intégrité des services en ligne et en provoquant des perturbations importantes, avec des risques de pertes financières et d’atteinte à la réputation. Ces attaques peuvent également être utilisées pour détourner l’attention et permettre à des acteurs malveillants d’accéder à des données importantes. 

Les attaques DDoS sont un type d’attaques par déni de service (DoS), qui visent à perturber le fonctionnement normal d’un réseau, d’un serveur ou d’un site web en le submergeant de trafic. De plus, une attaque DDoS utilise plusieurs dispositifs pour inonder la cible de trafic. Étant donné qu’une attaque DDoS implique plusieurs systèmes attaquant un seul système, elle représente une menace bien plus importante, et plus compliquée à contrecarrer.

Voici les types d’attaques DDoS les plus courants dans le modèle d’interconnexion des systèmes ouverts (OSI) à sept couches :

  • Les attaques volumétriques sont conçues pour submerger un réseau avec un volume de trafic si important que le réseau devient inopérant. Ces attaques sont généralement exécutées à l’aide d’un botnet, qui constitue un réseau d’appareils compromis contrôlés par un seul attaquant.
  • Les attaques de protocole ciblent la couche réseau du modèle OSI et exploitent les vulnérabilités des protocoles réseau tels que TCP/IP, ICMP et UDP. Ces attaques sont conçues pour surcharger les ressources des dispositifs réseau tels que les pare-feu, les routeurs et les équilibreurs de charge, provoquant ainsi une interruption de service. Elles sont également connues sous le nom d’attaques « computationnelles ».
  • Les attaques de la couche applicative visent la couche applicative du modèle OSI et exploitent les vulnérabilités des applications web telles que HTTP, HTTPS et DNS. Ces attaques sont conçues pour épuiser les ressources des serveurs web, provoquant ainsi une interruption du service.

Vecteurs d’attaque courants utilisés dans les attaques DDoS :

  1. Inondation UDP : cette attaque inonde le serveur cible de paquets UDP (User Datagram Protocol), ce qui peut provoquer un plantage du serveur ou l’empêcher de répondre.
  2. Inondation SYN de TCP : cette attaque exploite le processus de connexion en trois temps utilisé par le protocole de contrôle de transmission (TCP) pour établir une connexion entre deux dispositifs. L’attaquant envoie un grand nombre de paquets SYN au serveur cible, ce qui peut l’empêcher de répondre.
  3. Inondation HTTP : cette attaque vise les serveurs web en envoyant un grand nombre de requêtes HTTP au serveur cible, ce qui peut l’empêcher de répondre.
  4. Amplification DNS : cette attaque exploite le système de noms de domaine (DNS) pour inonder le serveur cible de paquets de réponses DNS, ce qui peut l’empêcher de répondre.
  5. Amplification NTP : cette attaque exploite le protocole NTP (Network Time Protocol) pour inonder le serveur cible de paquets de réponse NTP, ce qui peut l’empêcher de répondre.
  6. Amplification SSDP : cette attaque exploite le protocole SSDP (Simple Service Discovery Protocol) pour inonder le serveur cible de paquets de réponse SSDP, ce qui peut l’empêcher de répondre.
  7. Inondation SYN-ACK : cette attaque exploite le processus de connexion en trois temps du protocole TCP en envoyant un grand nombre de paquets SYN-ACK au serveur cible, ce qui peut l’empêcher de répondre.
  8. Lecture lente HTTP : cette attaque envoie des requêtes HTTP au serveur cible, mais lit la réponse lentement, ce qui peut empêcher le serveur de répondre.
  9. Ping de la mort : cette attaque envoie un paquet ping surdimensionné au serveur cible, ce qui peut provoquer son arrêt ou l’empêcher de répondre.
  10. Attaque Smurf : cette attaque exploite le protocole ICMP (Internet Control Message Protocol) pour inonder le serveur cible de requêtes ping provenant de sources multiples, ce qui peut l’empêcher de répondre.
  11. URL lourdes : Pendant la phase de reconnaissance de la planification de l’attaque, un attaquant recherche les URL à coût numérique le plus élevé d’un site web et les utilise dans le cadre d’une attaque DDoS. Ces URL sont dites « lourdes » parce qu’elles imposent une charge plus importante au serveur lorsqu’elles sont demandées.
  12. Faibles et lentes : L’objectif de ces attaques DDoS est de réduire les ressources des applications de manière discrète et furtive, en utilisant très peu de bande passante. Pour cette raison, elles sont difficiles à détecter, et comme elles se produisent au niveau de la couche applicative, où une connexion TCP est déjà établie, les requêtes HTTP semblent légitimes.
Schéma de protection contre les attaques DDoS

La menace que représentent les attaques DDoS est considérable et peut rendre les entreprises plus vulnérables aux cyberattaques. Il est donc essentiel de comprendre comment les attaques DDoS se produisent, afin de pouvoir prendre des mesures pour les atténuer.

Importance de la mise en œuvre de l’atténuation des attaques DDoS dans une politique de disponibilité en cybersécurité :

Les attaques DDoS peuvent provoquer d’importants temps d’arrêt et perturber la disponibilité des services, entraînant des pertes financières et des atteintes à la réputation.

Protection : En intégrant des mesures d’atténuation des attaques DDoS, votre entreprise réduit le risque d’intrusion d’un trafic malveillant dans votre infrastructure réseau, tout en veillant à ce que les utilisateurs légitimes puissent accéder à vos sites et applications web. Les attaques DDoS sont parfois utilisées comme un écran de fumée pour détourner les équipes de sécurité d’une campagne d’attaque coordonnée pouvant conduire à une violation des données. Certains types d’attaques ne peuvent tout simplement pas être éliminés par codage.

Résilience : investir dans une technologie efficace d’atténuation des attaques DDoS permet d’améliorer la résilience d’une organisation face aux adversaires étatiques et autres acteurs malveillants, ce qui en fait une cible moins attrayante.

Réduction des coûts : l’atténuation rapide des attaques DDoS permet aux organisations d’économiser du temps et de l’argent.

En incluant l’atténuation des attaques DDoS dans une politique de cybersécurité, les organisations peuvent protéger leurs ressources de manière proactive, maintenir la disponibilité des services et minimiser l’impact des attaques DDoS potentielles.

Techniques d’atténuation des DDoS

Nous comprenons désormais les éléments menacés par les attaques DDoS, notamment les données et les applications critiques, et l’importance du déploiement d’une solution d’atténuation des attaques DDoS. Nous pouvons maintenant passer en revue les types d’atténuation des attaques DDoS afin que vous puissiez déterminer la solution la mieux adaptée à vos besoins.

Atténuation des attaques DDoS sur site

Il existe plusieurs types de solutions et de mesures sur site qu’une organisation peut mettre en œuvre pour réduire le risque d’attaques DDoS. Certaines d’entre elles peuvent également être utilisées en complément des solutions sur le cloud pour renforcer le dispositif de défense global.

  • Renforcement de l’infrastructure réseau : cette solution consiste à renforcer l’infrastructure réseau pour qu’elle résiste aux attaques DDoS, notamment en augmentant la bande passante, en ajoutant des liens redondants et en mettant à niveau les périphériques réseau.
  • Limitation du débit et régulation du trafic : cette solution consiste à limiter le volume de trafic qui peut entrer dans le réseau. Elle peut être mise en œuvre en fixant des limites de débit sur les périphériques réseau ou en utilisant des techniques de régulation du trafic pour hiérarchiser le trafic.
  • Pare-feu et systèmes de prévention des intrusions (IPS) : Cette solution consiste à utiliser des pare-feu et des dispositifs IPS pour filtrer le trafic malveillant. Les pare-feu peuvent bloquer le trafic sur la base des adresses IP, des ports et des protocoles, tandis que les dispositifs IPS peuvent détecter et bloquer les attaques sur la base de leurs signatures.

Atténuation des attaques DDoS sur le cloud

La mutation des efforts d’atténuation des attaques DDoS vers une solution cloud ou hybride permet d’accroître l’efficacité, l’évolutivité et l’efficience. Certaines solutions basées sur le cloud peuvent être intégrées à des solutions sur site. Les solutions d’atténuation des attaques DDoS sur le cloud fonctionnent sur des réseaux de distribution dans le cloud, ou CDN.

  • Le routage anycast distribue le trafic vers le centre de données le plus proche qui peut le gérer. Il procède en annonçant le même réseau dans différents emplacements, afin de réduire le « temps de trajet » dans le réseau. Lorsqu’un réseau CDN utilise le routage anycast, il distribue le trafic de manière plus stratégique, ce qui augmente la surface du réseau de réception et aide à réacheminer les gros volumes de trafic vers davantage de centres de données.
  • Les centres d’épuration du trafic sont des centres de données conçus pour filtrer le trafic malveillant du trafic légitime. Ils sont utilisés pour atténuer les attaques DDoS en filtrant le trafic d’attaque et en transmettant le trafic fiable aux serveurs du client. Lorsqu’une attaque DDoS se produit, le trafic est acheminé par le centre d’épuration, où il est analysé et filtré. Le trafic fiable est ensuite transmis aux serveurs du client.

Atténuation des attaques DDoS sur le cloud hybride

La mutation des efforts d’atténuation des attaques DDoS vers une solution hybride peut apporter le meilleur de la sécurité du cloud public et de la gestion du cloud privé ou sur site. Un modèle hybride peut permettre aux entreprises d’adapter davantage leurs prévisions de sécurité à leurs besoins uniques en matière de données.

Atténuation des attaques DDoS sur les applications

Les applications sont le moteur des entreprises modernes, mais elles sont de plus en plus la cible d’attaques DDoS. La mitigation DDoS traditionnelle est statique et centralisée. Mais comme les applications sont distribuées à travers les nuages et l’architecture, elles ont besoin d’une solution de mitigation DDoS qui soit évolutive et flexible pour offrir une protection maximale.

Composants de l’atténuation des attaques DDoS

Une stratégie complète d’atténuation des attaques DDoS comprend généralement plusieurs éléments clés.

Analyse et suivi du trafic

La première étape de l’atténuation des attaques DDoS consiste à détecter les problèmes ou les risques éventuels. Les deux principales méthodes d’identification et d’alerte des menaces sont la détection par signature et la détection basée sur les anomalies.

La détection par signature s’appuie sur une liste préprogrammée d’indicateurs de compromission connus (IOC) pour identifier les menaces. Ces IOC peuvent inclure notamment un comportement d’attaque réseau malveillant, le contenu des lignes d’objet des e-mails, des hachages de fichiers, des séquences d’octets connues ou des domaines malveillants. La vitesse de traitement de la détection par signature est élevée pour les attaques connues. Elle présente également des taux de faux positifs faibles, mais elle ne peut pas détecter les exploits de type « zero-day ».

La détection basée sur les anomalies, en revanche, est capable d’alerter sur un comportement suspect inconnu. La détection basée sur les anomalies implique d’abord d’entraîner le système avec une base de référence normalisée, puis de comparer l’activité par rapport à cette base. Dès qu’il détecte quelque chose qui sort de l’ordinaire, une alerte est déclenchée. La détection basée sur les anomalies peut avoir des taux de faux positifs plus élevés.

Déviation du trafic en temps réel

La protection des ressources DNS est essentielle pour les entreprises. Deux solutions de détournement du trafic en temps réel peuvent y contribuer.

  • La redirection DNS consiste à rediriger les requêtes DNS d’un nom de domaine vers un autre. Cela peut s’avérer utile lorsqu’un site web a été déplacé vers un nouveau nom de domaine ou lorsqu’une entreprise souhaite rediriger le trafic d’un nom de domaine vers un autre. La redirection DNS peut être mise en œuvre à l’aide d’un enregistrement CNAME dans le fichier de zone DNS. Lorsqu’une requête DNS est reçue pour le nom de domaine d’origine, le serveur DNS répond par un enregistrement CNAME pointant vers le nouveau nom de domaine. Le client envoie alors une nouvelle requête DNS pour le nouveau nom de domaine.
  • BGP Anycast consiste à annoncer la même adresse IP à partir de plusieurs emplacements sur Internet. Dans BGP Anycast, le protocole BGP (Border Gateway Protocol ) est utilisé pour annoncer l’adresse IP à partir de plusieurs emplacements. Lorsqu’un client envoie une requête DNS à une adresse IP Anycast, la requête est acheminée vers l’emplacement le plus proche qui annonce l’adresse IP. Cela peut contribuer à améliorer les performances et la disponibilité des services DNS en réduisant la latence. BGP Anycast est généralement utilisé par les grandes organisations qui disposent de plusieurs centres de données situés dans différentes régions géographiques.

Filtrage et nettoyage des attaques

Vous avez besoin d’une solution d’atténuation des attaques DDoS pour surveiller en permanence le trafic sur votre réseau afin de détecter toute activité malveillante.

  • L’identification du trafic malveillant se fait en examinant le trafic provenant du client avant qu’il ne soit envoyé vers le niveau applicatif. Cela garantit que le trafic malveillant ne passe jamais la barrière du proxy. Le trafic revenant du serveur peut être entièrement examiné avant d’être jugé acceptable pour être renvoyé au client. Cela permet de garantir que les données sensibles telles que les numéros de carte de crédit ou les informations confidentielles ne passent jamais à travers la barrière du proxy.
  • Les techniques et les algorithmes d’épuration sont utilisés pour trouver et supprimer le trafic malveillant dès qu’il entre dans votre réseau. Les centres d’épuration constituent le premier point d’arrêt du trafic. Ce dernier y est trié en fonction de ses caractéristiques et des méthodologies d’attaque possible. Le trafic continue d’être vérifié lorsqu’il traverse le centre d’épuration pour confirmer que le trafic malveillant a été entièrement supprimé. Ce contrôle de sécurité est essentiel, car les attaques DDoS peuvent facilement saturer les canaux d’entrée dans l’environnement du client.

Facteurs relatifs à l’atténuation des attaques DDoS à prendre en compte lors du choix d’un fournisseur

Au moment de choisir la solution d’atténuation des attaques DDoS la mieux adaptée aux besoins de votre organisation, vous devrez prendre en compte les facteurs suivants selon la trajectoire de croissance de votre entreprise et la surface de risque possible. Si vous envisagez d’utiliser un service cloud, vous avez désormais la possibilité de choisir parmi plusieurs fournisseurs de clouds privés et de clouds publics (AWS, Google Cloud, Microsoft Azure et Alibaba Cloud).

Facteurs à prendre en compte lors du choix d’un fournisseur de services d’atténuation des attaques DDoS

 

Meilleures pratiques en matière d’atténuation des attaques DDoS

Une solution complète d’atténuation des attaques DDoS permet de couvrir votre réseau de manière préventive, avec une réponse aux incidents en temps réel, ainsi que des tests et des examens continus pour garantir des performances optimales.

Mesures proactives

Conception de l’architecture réseau : une architecture réseau bien conçue peut contribuer à prévenir les attaques DDoS en garantissant la résilience du réseau et la prise en charge de grand volume de trafic. Par exemple, un réseau conçu avec plusieurs couches de sécurité, y compris des pare-feu, des systèmes de détection d’intrusion et d’autres mesures de sécurité, peut contribuer à empêcher l’intrusion des attaques DDoS dans le réseau. En outre, la segmentation du réseau peut contribuer à limiter l’impact d’une attaque en isolant les zones affectées du réseau.

Équilibrage de charge : L’équilibrage de charge peut contribuer à prévenir les attaques DDoS en répartissant le trafic entre plusieurs serveurs, ce qui permet d’éviter que l’un d’entre eux ne soit saturé. Les équilibreurs de charge peuvent également contribuer à détecter et à bloquer le trafic malveillant, ce qui permet d’empêcher les attaques DDoS de réussir.

Accords détaillés de niveau de service de prestataire : en considérant les services d’un tiers pour la protection contre les attaques DDoS, il est essentiel de comprendre les capacités du fournisseur dans chaque scénario d’attaque DDoS et d’intégrer les protocoles, les mesures et les interventions dans l’accord de niveau de service.

Intervention en cas d’incident

Étapes de la gestion d’un incident DDoS : Une intervention rapide et efficace à un incident DDoS comprend six étapes clés. Cependant, il est important de préciser que ces étapes ne se déroulent pas de manière linéaire, mais plutôt en boucle.

  1. Préparation : établissez des contacts, définissez les procédures et rassemblez les outils nécessaires pour gagner du temps en cas d’attaque.
  2. Détection : détectez l’incident, déterminez sa portée et impliquez les parties concernées.
  3. Analyse : analysez le trafic d’attaque pour en déterminer les caractéristiques et identifier la cible. 
  4. Confinement : contenez l’attaque en filtrant le trafic et en bloquant le trafic malveillant. 
  5. Élimination : éliminez l’attaque en supprimant le trafic malveillant du réseau. 
  6. Restauration : restaurez les services touchés par l’attaque et analysez l’incident. 

Protocoles de communication avec le fournisseur de services d’atténuation en cas d’incident DDoS : Dès le départ, il est essentiel pour une entreprise et son fournisseur de services d’atténuation de suivre un protocole de communication strict. Voici les meilleures pratiques recommandées en matière de communication en cas d’incident :

  • Établissez un plan de communication : avant qu’une attaque ne se produise, établissez un plan de communication avec votre fournisseur de solutions d’atténuation des attaques DDoS. Ce plan doit inclure les coordonnées des personnes-ressources, les procédures d’escalade et les canaux de communication.
  • Donnez des informations détaillées : donnez à votre fournisseur de solutions d’atténuation des attaques DDoS des informations détaillées sur l’attaque, notamment le type, la cible et la durée de l’attaque. Ces informations peuvent l’aider à élaborer une stratégie d’atténuation efficace.
  • Collaborez avec votre fournisseur : travaillez en étroite collaboration avec votre fournisseur de solutions d’atténuation des attaques DDoS pour élaborer une stratégie d’atténuation adaptée aux besoins de votre organisation, notamment en ajustant le routage du trafic, en filtrant le trafic ou en bloquant le trafic malveillant. 
  • Surveillez la situation : surveillez la situation de près et fournissez des mises à jour régulières à votre fournisseur de services d’atténuation des attaques DDoS, ce qui lui permettra d’adapter sa stratégie d’atténuation en fonction des besoins. 
  • Analysez l’incident : une fois l’attaque atténuée, analysez l’incident avec votre fournisseur de services d’atténuation des attaques DDoS afin d’identifier les points à améliorer et de mettre à jour votre plan d’intervention en cas d’incident, si nécessaire. 

Analyses et tests réguliers

Les équipes informatiques et de sécurité devraient procéder régulièrement à des analyses et à des tests. Les tests de l’équipe rouge constituent un exemple. Ces derniers consistent à simuler les tactiques et les techniques d’attaquants réels. Dans ce cas, les testeurs de l’équipe rouge essaient une variété d’attaques DDoS afin de surveiller les réponses de la solution d’atténuation.

Il est également essentiel de se tenir au courant des tendances en matière de cyberattaques, d’autant plus que les acteurs malveillants du monde entier continuent de modifier leurs méthodes. Une solution d’atténuation doit être évolutive et adaptable à tous les nouveaux types de perturbations.

Études de cas sur l’atténuation des attaques DDoS

Les organisations de tout secteur vertical, de toute taille et opérant dans n’importe quelle partie du monde peuvent bénéficier de la mise en place d’une solution fiable d’atténuation des attaques DDoS. Ces études de cas démontrent l’efficacité d’une solution d’atténuation des attaques DDoS dans n’importe quel scénario. Des entreprises comme la vôtre ont obtenu des résultats notables en prenant des contre les risques liés aux attaques DDoS.

  • Étude de cas : découvrez comment une grande compagnie d’assurance a déjoué une tentative d’attaque DDoS, tout en protégeant ses applications et ses utilisateurs.
  • Vidéo : découvrez comment F5 a aidé un fournisseur de messagerie électronique à arrêter une consolidation de son équipement réseauafin de réduire la surface d’attaque potentielle et d’améliorer la sécurité opérationnelle. 

Tendances futures en matière d’atténuation des attaques DDoS

Si les attaques DDoS existent depuis des décennies, les acteurs malveillants qui les opèrent sont de plus en plus sophistiqués et agressifs. Il est important de connaître les tendances actuelles et à venir en matière d’attaques DDoS dans le domaine de la cybersécurité.

À un niveau détaillé, F5 a trouvé ces tendances en 2023 :

  • Les attaques contre la couche applicative ont augmenté de 165 %
  • Le secteur technologique a été le plus attaqué par rapport à 2022
  • Le nombre total d’événements observés a connu une baisse de 9,7 %
  • La bande passante de pointe a augmenté de 216 % à partir de 2020
  • Tous les secteurs verticaux doivent s’attendre à une multiplication des attaques DDoS sur les applications et à vecteurs multiples

En outre, les trois domaines en pleine expansion qui suivent sont suivis par les experts :

Intelligence artificielle et apprentissage automatique : Comme de plus en plus d’entreprises déploient l’intelligence artificielle et l’apprentissage automatique dans d’autres secteurs de leurs activités (fabrication ou service à la clientèle), ces technologies peuvent contribuer dans la détection et l’atténuation des attaques DDoS. Une étude récente a montré que l’utilisation d’une méthode d’intelligence artificielle pour détecter les attaques DDoS permettait d’obtenir un taux de précision de plus de 96 %.

Internet des objets (IoT) : L’IoT se développe, mais la sécurisation des surfaces de calcul supplémentaires impliquées peut rendre ces solutions plus vulnérables aux attaques. Les experts suggèrent d’adopter des pratiques de sécurité plus robustes, de protéger les mots de passe et d’utiliser des pare-feu ou des VPS, afin de réduire le nombre d’appareils exposés à des risques d’attaque

Technologie blockchain : la technologie blockchain constitue une option intéressante pour l’atténuation des attaques DDoS, car la blockchain est par nature décentralisée et dispose d’un stockage distribué sécurisé, ce qui peut s’avérer particulièrement utile en cas d’attaques géographiques, dans lesquelles la sécurité peut également être ciblée géographiquement.

Même si les attaques DDoS ne sont pas près de disparaître, il existe davantage d’outils permettant de les atténuer, aujourd’hui et dans les années à venir.

Comment F5 peut vous aider

Les attaques par déni de service distribué (DDoS) existent depuis des décennies et ne sont pas près de disparaître. C’est pourquoi les entreprises doivent se projeter dans l’avenir en considérant leurs solutions d’atténuation des attaques DDoS. Chez F5, la cybersécurité est au cœur de presque toutes nos activités. Nos solutions d’atténuation des attaques DDoS et notre excellent support donnent à votre organisation l’avantage dont elle a besoin pour atténuer les risques d’éventuelles attaques DDoS. Nous garantissons également l’évolutivité et l’adaptabilité de la solution d’atténuation des attaques DDoS selon les besoins de votre entreprise et l’évolution des menaces des acteurs malveillants à l’origine des attaques DDoS.

Laissez F5 offrir la protection contre les attaques DDoS dont votre entreprise et votre réseau ont besoin. Nous avons une grande expérience dans la mise en œuvre du type d’atténuation des attaques DDoS adapté.