Attaque DDoS Qu’est-ce qu’une attaque DDoS (déni de service distribué) ?
Une attaque DDoS, ou attaque par déni de service distribué, est une cyberattaque dans laquelle de multiples systèmes compromis, souvent orchestrés comme un botnet, inondent un réseau, un serveur ou un service en ligne pris pour cible en lui envoyant un volume de trafic écrasant. Cette augmentation du trafic peut ralentir ou même bloquer les systèmes de la cible, refusant ainsi l’accès aux utilisateurs légitimes. Les attaques DDoS sont l’une des formes de cybermenaces les plus perturbatrices, capables d’infliger des temps d’arrêt, des pertes financières et des atteintes à la réputation d’une ampleur considérable. Avec la croissance continue des services basés sur le cloud et des opérations en ligne, les risques d’attaques DDoS et leur impact se sont intensifiés dans tous les secteurs.
- Attaques DoS et DDoS
- Quels sont les types d’attaques DDoS
- Comment contrer une attaque DDoS
- HPE Aruba Networking et la protection contre les attaques DDoS
Attaques DoS et DDoS
L’attaque par déni de service (DoS) et l’attaque DDoS visent toutes deux à perturber la disponibilité d’un service, mais elles diffèrent considérablement en termes d’approche et d’échelle. Généralement lancée à partir d’une seule source, l’attaque DoS envoie un flot de requêtes visant à surcharger un serveur ou une ressource réseau jusqu’à ce qu’ils ne puissent plus fonctionner correctement. Malgré leur impact, les attaques DoS sont généralement plus faciles à détecter et à contrer dans la mesure où elles proviennent d’un seul endroit.
En revanche, les attaques DDoS procèdent à partir de sources multiples, souvent réparties dans différentes régions géographiques. Ces sources, qui correspondent généralement à des appareils infectés contrôlés par un attaquant, forment un botnet. L’attaquant ordonne au botnet de submerger une cible – comme un site Web ou une application – en lui envoyant un flot de requêtes qui épuisent ses ressources et la rendent indisponible. Cette nature distribuée rend les attaques DDoS beaucoup plus difficiles à bloquer, car elles semblent provenir d’un grand nombre d’adresses IP et d’emplacements géographiques distincts. Par conséquent, les attaques DDoS peuvent être beaucoup plus difficiles à contrer, des défenses multiniveaux avancées s’avérant nécessaires pour gérer le volume considérable de trafic et distinguer les utilisateurs légitimes des utilisateurs malveillants.
Quels sont les types d’attaques DDoS
Les attaques DDoS exploitent les vulnérabilités de différentes couches du modèle OSI. En ciblant des couches spécifiques, les attaquants peuvent avoir un impact sur différents aspects des performances réseau et perturber la disponibilité des services. Les principaux types d’attaques DDoS se répartissent en trois catégories : les attaques volumétriques, les attaques de protocole et les attaques de la couche application.
Attaques volumétriques
Les attaques volumétriques visent à submerger la bande passante d’une cible, et ciblent souvent la couche réseau (couche 3) pour inonder le réseau de données. L’objectif est de consommer toute la bande passante disponible, empêchant ainsi le trafic légitime d’atteindre le serveur.
- Inondations UDP : Lors d’une inondation UDP, un grand nombre de paquets UDP (User Datagram Protocol) ciblent des ports aléatoires sur le serveur de façon à submerger le réseau et à épuiser la bande passante. Les inondations UDP peuvent amener les serveurs à répondre avec des messages d’erreur ICMP « destination inaccessible » si les ports ciblés sont fermés, ce qui a pour effet d’aggraver le trafic réseau et d’intensifier l’attaque.
- Inondation ICMP (inondation de ping) : Une inondation ICMP, également appelée inondation de ping, envoie un grand nombre de requêtes d’écho ICMP (ping) au serveur cible. Le serveur essaie de répondre à chaque ping, ce qui consomme des ressources réseau jusqu’à provoquer une augmentation de la latence ou, dans les cas extrêmes, une interruption du serveur.
- Attaques d’amplification : Ce type d’attaque exploite des protocoles vulnérables comme DNS pour amplifier le trafic dirigé vers le serveur cible. Par exemple, l’amplification DNS utilise des résolveurs DNS ouverts pour envoyer de grands volumes de données de réponse à la cible, provoquant ainsi une congestion importante du réseau.
Attaques de protocole
Les attaques DDoS de protocole exploitent les faiblesses des protocoles au niveau des couches réseau (couche 3) et transport (couche 4). Ces attaques épuisent les ressources du serveur telles que la mémoire ou les tables de connexion, ce qui rend difficile la connexion des utilisateurs légitimes..
- Inondation SYN (couche 4) : Les inondations SYN ciblent le processus d’établissement de liaison TCP en envoyant de nombreuses requêtes SYN à la cible sans jamais terminer l’établissement de liaison. Le stockage de ces multiples connexions incomplètes épuise les ressources mémoire du serveur et finit par bloquer les nouvelles connexions.
Normalement, pour établir une connexion TCP, un client envoie une requête SYN à un serveur, qui en accuse réception en renvoyant une requête SYN-ACK. Le client établit alors la connexion en répondant par un ACK. En cas d’attaque par inondation SYN, l’attaquant submerge le serveur de requêtes SYN tout en usurpant l’adresse IP source, de sorte que le serveur est incapable de renvoyer des réponses SYN-ACK au client. - Ping de la mort (couche 3) : Un ping de la mort envoie des paquets ICMP surdimensionnés qui dépassent la limite de taille définie par le protocole IP. Lorsque le système cible tente de réassembler le paquet, il risque de planter ou de se bloquer en raison de la taille inhabituellement importante des données, ce qui perturbe le service.
- Attaque Smurf (couche 3) : Lors d’une attaque Smurf, les attaquants envoient une requête ICMP usurpée à une adresse de diffusion, ce qui amène plusieurs appareils connectés au réseau à répondre à l’adresse usurpée. Cela submerge la cible avec un flot de réponses ICMP et sature le réseau.
- Usurpation d’adresse IP (couches 3 et 4) : L’usurpation d’adresse IP consiste à déguiser l’adresse IP source des paquets, donnant ainsi l’impression que le trafic d’attaque provient de sources légitimes ou fiables. L’usurpation d’adresse IP améliore souvent l’efficacité d’autres attaques de protocole en rendant plus difficiles l’identification et le blocage de la véritable source de l’attaque.
Attaques de la couche application
Les attaques de la couche application (couche 7) visent à perturber des services applicatifs spécifiques en surchargeant la cible de requêtes. Ces attaques sont très efficaces car elles imitent les modèles de trafic légitimes, ce qui les rend difficiles à détecter et à contrer.
- Inondation HTTP : Une inondation HTTP envoie de nombreuses requêtes HTTP GET ou POST à un serveur Web, dont elle consommant ainsi les ressources. En ciblant des URL spécifiques et gourmandes en ressources, les inondations HTTP peuvent épuiser la capacité de traitement et la bande passante du serveur.
- Slowloris : Slowloris maintient plusieurs connexions au serveur cible ouvertes en envoyant des requêtes HTTP partielles sans les terminer. Le serveur épuise ses ressources en tentant de maintenir toutes les connexions ouvertes, ce qui finit par provoquer un déni de service pour les utilisateurs légitimes.
- Inondation de requêtes DNS : Les attaquants inondent le serveur DNS en lui adressant un nombre massif de requêtes DNS, ce qui épuise ses ressources et le rend indisponible pour les requêtes légitimes. En visant l’infrastructure DNS, les attaquants peuvent perturber la disponibilité des services associés à un domaine donné.
- Attaques par bots : Les botnets, ou réseaux d’appareils infectés, peuvent envoyer de grands volumes de requêtes apparemment légitimes à un serveur. Ces requêtes imitent le comportement typique des utilisateurs, de sorte qu’il est difficile de distinguer le trafic normal du trafic malveillant.
Comment contrer une attaque DDoS
Pour contrer efficacement une attaque DDoS, il faut une combinaison de stratégies défensives capables de filtrer, de détecter et de traiter le trafic malveillant. Voici quelques méthodes largement utilisées :
- Limitation de débit : En limitant le nombre de requêtes autorisées à partir d’une même adresse IP, les organisations peuvent empêcher les attaques DDoS de submerger leurs serveurs. La limitation du débit peut faire appel au machine learning pour ajuster automatiquement les seuils de nombre de requêtes, permettant ainsi un contrôle dynamique et précis lors d’une attaque DDoS. La limitation de débit permet également de distinguer les requêtes légitimes des requêtes malveillantes en filtrant le trafic suspect. Les solutions SD-WAN sécurisées avancées peuvent intégrer cette fonctionnalité pour protéger les organisations contre les attaques DDoS.
- Zero Trust Network Access (ZTNA) : Le ZTNA limite l’accès aux ressources réseau en fonction de l’identité de l’utilisateur selon le principe du moindre privilège. Cela réduit le risque de voir des acteurs malveillants obtenir un accès non autorisé aux systèmes critiques, de sorte que les attaques DDoS pourront plus difficilement atteindre les parties sensibles du réseau.
- Pare-feux : Les pare-feux d’application Web (WAF) agissent comme un proxy inverse entre un réseau et ses utilisateurs, inspectant les requêtes entrantes pour détecter et bloquer le trafic malveillant. Les WAF sont particulièrement utiles contre les attaques de la couche application. Par ailleurs, les pare-feux de nouvelle génération (NGFW) avec capacités IDS/IPS ajoutent une couche de protection supplémentaire en détectant et en traitant les signatures d’attaque connues et les comportements de trafic anormaux, ce qui permet de bloquer proactivement les requêtes suspectes pouvant évoquer une tentative DDoS.
- Routage par trou noir : Cette technique est utilisée pour diriger le trafic vers une route nulle, où il est éliminé d’une manière efficace. Lorsqu’une attaque DDoS cible une adresse IP donnée, l’administrateur réseau peut configurer le routage pour évacuer tout le trafic vers cette IP. De plus, une solution SD-WAN peut acheminer dynamiquement le trafic sur des liaisons réseau non affectées, contribuant ainsi à maintenir la connectivité avec les autres parties du réseau.
- Réseaux de diffusion de contenu (CDN) : Les CDN répartissent le trafic réseau sur plusieurs serveurs situés dans différentes zones géographiques, minimisant ainsi le risque de surcharge. En équilibrant la charge à l’échelle de l’infrastructure CDN, ils aident à absorber et à disperser le trafic DDoS.
Une atténuation efficace des attaques DDoS implique généralement de superposer plusieurs de ces techniques pour fournir une protection complète. Une surveillance proactive et des tests réguliers contribuent également à garantir que les défenses restent efficaces face à l’évolution des tactiques DDoS.
HPE Aruba Networking et la protection contre les attaques DDoS
La protection DDoS intégrée à la plateforme Secure Access Service Edge (SASE) de HPE Aruba Networking offre des outils avancés pour se défendre contre les attaques DDoS en combinant des capacités SD-WAN sécurisées avec une protection DDoS adaptative basée sur le ML et le ZTNA.
Via sa solution EdgeConnect SD-WAN sécurisée, HPE Aruba Networking SASE utilise le machine learning pour ajuster dynamiquement les seuils DoS en temps réel d’après le comportement actuel du réseau. Cette fonctionnalité anti-DDoS adaptative comprend deux fonctionnalités principales : la limitation de débit automatique et la rafale intelligente, pour une meilleure gestion de la défense. La limitation de débit automatique définit des seuils de trafic minimaux en fonction d’une analyse des modèles de trafic réseau basée sur le machine learning, tandis que Smart Burst gère les rafales de trafic légitimes pour limiter la consommation de bande passante réseau par du trafic malveillant en répartissant la capacité de flux inutilisée à l’échelle des zones de pare-feu. Ensemble, ces fonctionnalités contribuent à prévenir les perturbations causées par le trafic malveillant, tout en permettant aux applications stratégiques de continuer à fonctionner sans problème.
En outre, la solution fournit une gamme d’outils d’analyse et de reporting en temps réel qui permettent aux administrateurs de surveiller les violations de seuil, d’afficher les principales sources de trafic et d’analyser les événements DDoS. Cette visibilité aide les équipes réseau à effectuer des ajustements éclairés pour maintenir la sécurité du réseau en phase avec les menaces émergentes. Le pare-feu nouvelle génération intégré EdgeConnect SD-WAN offre une protection supplémentaire au réseau avec des fonctionnalités telles que l’IDS/IPS et la segmentation basée sur le rôle. L’IDS/IPS détecte les modèles d’attaque, tandis que la segmentation limite les mouvements latéraux au sein du réseau.
Le ZTNA de HPE Aruba Networking suit une approche basée sur le principe « ne jamais faire confiance, toujours vérifier » en maintenant les services internes invisibles pour Internet et en supprimant les points d’entrée pour les attaques DDoS. Seuls les appareils authentifiés et autorisés peuvent accéder à des ressources spécifiques, empêchant ainsi les attaquants de cibler directement les services. Contrairement aux VPN, le ZTNA n’accorde pas d’accès étendu, ce qui a pour effet de réduire la surface d’attaque et de contenir les menaces en imposant des connexions strictes et uniques aux ressources autorisées via la segmentation des applications. En vérifiant en permanence les identités, le ZTNA de HPE Aruba Networking permet uniquement au trafic légitime d’atteindre les applications autorisées, ce qui minimise le risque de surcharge des ressources réseau et rend les attaques à grande échelle moins réalisables.
En plus du SD-WAN et du ZTNA, HPE Aruba Networking SASE intègre la SWG (Secure Web Gateway), qui protège les utilisateurs et les appareils contre les menaces Web, et le CASB (Cloud Access Security Broker), pour sécuriser l’accès aux applications SaaS, surveiller l’utilisation et prévenir la perte de données.
En intégrant ces technologies, HPE Aruba Networking SASE offre une approche multicouche de la défense DDoS qui permet aux organisations de réduire l’impact des attaques DDoS tout en protégeant l’intégrité du réseau et en sécurisant les opérations métier.
