Attaque DDoS : tout comprendre pour les éviter et se protéger

Qu’est ce qu’une attaque DDOS ?

Une attaque DDOS consiste à lancer à direction d’un serveur, réseau ou autre système informatique hébergé une quantité de requête supérieure à la normale. Cette attaque informatique a pour but de dégrader ses performances ou de le rendre indisponible. En effet, cette affluence trop importante de demandes est telle que le système va se retrouver submergé et ne pourra plus répondre aux demandes habituelles. Lorsqu’il s’agit d’un serveur, ses ressources matérielles telles que le processeur, la mémoire ou le disque dur tourneront à leur maximum et un goulot d’étranglement sera créé au niveau des processus à exécuter.

Le nom DDOS (distributed denial of service) provient de là puisque, une fois la cible surchargée, s’ensuivra donc un déni de service de sa part, elle ne pourra plus traiter les demandes.

Souvent les hackers utilisent à leurs insus des serveurs, ordinateurs ou autre équipement connectés piratés ou compromis pour avoir une capacité importante de sources pour exécuter l’attaque. Ces machines agissent comme des zombies

Dans quel but sont-elles envoyées ?

Il existe 2 principales raisons pour qu’un service soit la cible d’attaque DDOS : commerciale ou idéologique. 

Attaque DDOS pour tuer un business

Un concurrent peu scrupuleux à qui vous faites trop d’ombre pourrait par exemple prendre la décision de faire tomber votre site Internet pendant un certain temps. Des spécialistes offrent des services dans le domaine en mettant à disposition leur botnet aux plus offrant pour cibler une attaque vers la destination souhaitée. Un réseau de machines zombies est alors utilisé (à son insu) pour attaquer une cible qu’elle ne connait même pas. Une fois que la cible est indisponible et tant que l’attaque perdure, il est très compliqué de la faire repartir. Pendant ce temps, où vos services ne sont plus en ligne, votre concurrent en profite pour grappiller des parts de marchés en récupérant par exemple vos utilisateurs qui ne peuvent plus accéder à vos services. 

Dénis de service visant une personne ou une idéologie

Parmi les cas d’attaques souvent recensés on note les attaques personnelles. Qu’elles ciblent une personnalité publique, un parti politique, une religion, une société, les attaquants sont des opposants, avec des idées fermement différentes et souhaitent le faire sentir. Le but est donc d’empêcher l’accès à l’information partagée voire même aux services liés et de la pénaliser le plus possible. 

Comme vous l’aurez compris cette pratique illégale et en France elle est punie de plusieurs milliers d’euros d’amende et d’une peine de prison pouvant aller jusqu’à 5 ans. 

Quels sont les différents types d’attaques DDOS ? 

Il existe plusieurs types d’attaques: 

  • L’amplification ou encore les attaques de volume : le but est toujours le même : surcharger la cible et faire en sorte qu’elle ne soit plus en ligne. Pour cela il existe plusieurs moyens : 
    • les Botnets qui vont par exemple avoir pour but d’utiliser toute la bande passante d’un réseau ou d’une machine
    • les attaques par amplification DNS ou l’on “spamme” des serveurs de DNS avec des paquets UDP modifiés. Le but est que, par usurpation d’identité les réponses soient toujours envoyées à la même victime dans le but de la surcharger. Ce type d’attaque est aussi appelée attaque par réflexion.
    • les attaques par amplification NTP. Ce protocole permet de faire en sorte que toutes les machines qui l’utilisent aient exactement la même heure. Au même titre que le protocole DNS, l’utilisation de NTP est parfois exploitée pour lancer des attaques de type DDOS.
    • SYN Flood : consiste à exploiter le fonctionnement même du protocole TCP en initiant des sessions qui ne sont jamais terminées et pour lesquelles la cible atteint toujours la fin sans jamais la recevoir jusqu’à arriver à saturation.
  • Les attaques à destination des équipements réseaux : dans ce cas, le but est de surcharger la mémoire des équipements tels que pare-feu, loadbalancer. Une fois la table d’état surchargée, l’équipement ne répond plus et les machines qui y sont connectées ne sont donc plus joignables.
  • Les attaques à destination des applications : la plus répandue étant le flood du protocole http. Il consiste simplement à lancer une multitude de requêtes http à destination du même site web ou de la même ip afin que le serveur en face ne puisse plus avoir les ressources nécessaires pour répondre. Ce type d’attaque est très facile à réaliser car il suffit simplement à l’attaquant de charger une page Web comme s’ il naviguait sur le site. Le simple fait de faire du volume peut faire tomber le serveur qui héberge le site. De la même manière, il est possible d’identifier des pages web qui font de lourds traitements pour exploiter cette faille et monopoliser toutes les ressources du serveurs qui l’héberge avec uniquement quelques visites.  

Comment identifier que l’on subit une attaque ? 

Une fois que l’attaque démarre vos services et leurs connexions vont se retrouver fortement dégradés. Des lenteurs, voire même des coupures complètes peuvent arriver. Pour être sûr que vous subissez une attaque, plusieurs choses peuvent vous permettre de confirmer que vous devez agir. 

Analyser votre bande passante

La première chose à regarder est la consommation de bande passante de votre équipement. Si vous constatez des courbes anormalement hautes d’envois ou de réception de données par rapport à d’habitude sans qu’il n’y ait de raison particulière c’est un premier indice. Le monitoring de votre débit internet est donc un élément important.

Analyser les processus en cours

Si vous disposez d’un outil pour surveiller les ressources de votre serveur, regardez les courbes d’utilisation. Une consommation de CPU (processeur), RAM ou de lecture / écriture de vos disques durs peut être aussi dû à une attaque. Si vous pouvez encore vous connecter à votre serveur, regarder les processus lancés pour voir si vous ne voyez rien d’anormal.

Analyser les logs

Les logs sont l’une des informations les plus importantes vous permettant d’observer ce qui ne va pas dans un système informatique. Si vous voyez des lignes qui se répètent en grande quantité, des ips d’origines étranges par rapport à d’habitude, il y a fort à parier que votre serveur ou votre équipement se fait flooder. 

Une attaque DDos peut durer de quelques minutes à plusieurs jours et sans intervention de la victime, elle peut être dévastatrice. Il faut donc mettre en place les moyens nécessaires quand l’activité dépend de la disponibilité des équipements informatiques.

Comment se protéger d’une attaque par déni de service ?

Il existe différents moyens de se protéger ou de limiter les attaques par déni de service. Il faut savoir que la tâche n’est pas aisée car bien souvent l’attaque tente de reproduire un comportement classique, normal qu’il sera parfois impossible de dissocier du trafic réel. Le blocage d’ip est rarement faisable car les attaques les plus puissantes et les plus efficaces utilisent toujours une grande quantité de machines avec des ips de classes différentes. Parfois la solution sera donc de tout bloquer : le trafic malicieux du trafic légitime même si c’est une solution de dernier recours. Sinon d’autres mesures permettent de se protéger d’une attaque DDOS :

Utiliser un firewall matériel

Même si ces derniers peuvent aussi être l’objet de failles, un bon firewall permettra déjà de bloquer des requêtes sur des protocoles non attendus, bien évidemment celui-ci ne pourra rien faire pour tout ce qui concerne la couche applicative

Utiliser un firewall applicatif (WAF)

En complément, le WAF qui agit en tant que reverse proxy, peut permettre de filtrer les requêtes avant de les envoyer au serveur applicatif. Blocage du flood, bannissement d’ip ou encore autorisation d’ip dans des pays cohérents sont tout une liste de facteurs qui pourront éviter à vos serveurs d’être attaqués frontalement. Leur mission consiste donc à acheminer uniquement le bon trafic et bloquer tout le reste.

Choisir le bon hébergeur

Pour tout ce qui concerne le Web, certains hébergeurs ont mis en place des systèmes pour limiter les attaques et protéger vos sites et vos serveurs. OVH, PlanetHoster ou encore Online utilisent tous leurs systèmes pour protéger leurs hébergés. Online utilise du matériel Arbor pour détecter et supprimer les comportements anormaux par mitigation. OVH utilise une solution appelée VAC. Grâce à leurs énormes capacités en termes de connexion et de bandes passantes ces hébergeurs peuvent absorber facilement les pics causés par les attaques. 

Utiliser une solution de CDN et de sécurité dans le cloud

Les deux prestataires les plus connus et les plus efficaces dans ce domaine sont CloudFlare et Akamai. Ils sont spécialisés dans des solutions de Content Delivery Network et de protection diverses liées au Web. Pour les services les plus exigeants et les plus critiques, il s’agit des meilleurs systèmes existants sur le marché. Grâce à leur expérience dans le domaine et à la puissance internationale de leurs infrastructures, certaines attaques peuvent être dispersées en quelques secondes. La rapidité de mise en place est aussi l’un des gros avantages de ces solutions. 

Prévoir une infrastructure miroir

Disposer d’une infrastructure miroir, jamais utilisée et inconnue de tous, permet de se préparer au pire. Grâce à la virtualisation, à l’existence des ips flottantes il est intéressant de garder des équipements de backup, prêts à l’emploi qui permettront d’agir vite en cas de panne. La solution peut paraître coûteuse mais sera grandement amortie lorsque vous serez victime d’une mésaventure.

Mettre en place du monitoring pour un maximum de réactivité

Plusieurs outils existent sur le marché pour vous permettre de monitorer vos équipements critiques et d’être alerté rapidement quand un comportement anormal est observé. La réactivité est un des éléments clés pour se protéger : réagir pendant que vos serveurs répondent encore peut vous permettre de faire les actions de base pour bloquer une partie du mauvais trafic, observer en temps réel ce qu’il se passe sur vos machines. Des services de cloud monitoring tels que DataDog ou Newrelic permettent d’aller loin dans le monitoring de serveur ou d’applications et vous permettent d’anticiper tous types de problèmes.

Laisser un commentaire