Qu'est-ce qu'un DDoS?
June 22, 2023
DDoS est l'abréviation de "distributed denial of service" (attaque par déni de service distribué). Cette définition explique beaucoup de choses sur l'essence de cette situation. Cependant, les raisons ainsi que les moyens d'évitement doivent d'abord être présentés. Alors, parlons d'abord de son fonctionnement - cela vous donnera des indices pour protéger votre site web contre les attaques DDoS.
L'attaque par déni de service distribué se produit lorsque le serveur reçoit tellement de requêtes qu'il ne peut pas les traiter. Le serveur peut manquer de mémoire vive (RAM) ou de puissance de calcul (CPU), mais l'effet sera le même: les pages web ne s'ouvriront pas et les codes d'erreur suivants peuvent apparaître:
| 500 | something is wrong with the server, without more precise specification; |
| 502 | invalid response from the server; |
| 503 | server is temporarily unavailable to handle a request; |
| 504 | time for server response is exceeded; |
| 509 | host receives more traffic than the site can handle; |
| 520 | server returns an unknown error; |
| 521 | original website server is not available for the intermediary server (usually Cloudflare); |
| 522 | connection timed out; |
| 523 | intermediary server (same Cloudflare) is not able to connect to your host server; |
| 524 | connection through the Cloudflare server is timed out. |
Comment effectuer une attaque DDoS?
Surcharger le serveur n'est pas facile, surtout si nous parlons de pages de grandes entreprises ou de services en ligne. Plus d'une douzaine de services Google, Netflix, Amazon et Microsoft - reçoivent des centaines de milliers de requêtes par minute - et leurs serveurs continuent de fonctionner sans problème. Le bon réglage du routage des réponses et la location ou la construction de plus de serveurs rendront votre service disponible pour plus de clients, en plus d'être plus résistant à toute surcharge.
Les cybercriminels qui commettent des attaques DDoS n'inventent rien de nouveau. L'essence de ce type d'attaque consiste à créer un nombre énorme de requêtes qui surchargent le serveur. Ces attaques sont généralement menées à l'aide de botnets - des groupes d'ordinateurs infectés par un virus qui les transforme en "zombies". Ces machines (certains des botnets découverts étaient plus grands que 100 000 ordinateurs) sont contrôlées à partir d'un centre de commande unique. Les criminels peuvent leur ordonner d'envoyer des requêtes vers n'importe quel site, même vers google.com. Avec un botnet suffisamment important, vous pouvez désactiver ou rendre difficile la connexion même à des ressources importantes et bien connues.
Parfois, des personnes commettent des attaques DDoS involontaires lorsque la foule envoie de nombreuses requêtes vers le même serveur. Par exemple, vous avez peut-être été témoin d'une telle situation lors des élections de 2020 aux États-Unis, lorsque les gens ont ouvert massivement le site fec.gov (où les résultats officiels étaient publiés), causant certains problèmes en raison de la surcharge du serveur.
Types d'attaques DDoS
Bien que toutes les attaques DDoS soient basées sur des botnets et réalisées dans un seul but final, elles diffèrent par la création de trafic excessif. Le serveur gère des dizaines de processus différents liés à une seule requête simultanément. Le fait de modifier l'un d'entre eux, ce qui entraîne une charge accrue, est l'une des méthodes les plus populaires. Cependant, la puissance des attaques DDoS ne réside pas seulement dans les paramètres modifiés d'une requête, mais aussi dans le nombre de ces requêtes.
Alors, qu'est-ce qui rend la requête normale si difficile à traiter? Les cybercriminels qui commettent des attaques DDoS disposent d'une large gamme d'outils. Les experts divisent ces méthodes en attaques basées sur le volume, attaques de la couche d'application et attaques de protocole. Les premières indiquent clairement comment elles sont effectuées ; ces attaques sont les plus simples. Cependant, l'efficacité par système d'attaque individuel pour les attaques basées sur le volume est assez faible. Ces attaques nécessitent généralement des botnets beaucoup plus importants ou des utilisateurs pour être réalisées.
Attaques de la couche d'application
Les attaques de la couche d'application supposent l'utilisation de vulnérabilités dans le système du serveur ou dans le logiciel d'application sur ce serveur. En particulier, l'une des failles les plus souvent utilisées est les requêtes HTTP GET ou POST. La création d'un flux de ces requêtes capable de surcharger le système nécessite beaucoup moins de ressources que les autres méthodes. De plus, vous n'avez même pas besoin de déformer les paquets - les méthodes HTTP par défaut sont suffisantes. Cependant, elles sont assez difficiles à préparer car l'attaque doit être ciblée sur une certaine configuration du serveur.
Attaques de protocole
Les attaques de protocole semblent être une moyenne entre les attaques de la couche d'application et celles basées sur le volume. Une efficacité relativement élevée est associée à une facilité d'utilisation et à une grande variété de méthodes. Pings de mort, attaques par paquets fragmentés, spam SYN - ce n'est que la surface. Chacune de ces méthodes a une douzaine de sous-types qui permettent de trouver la faille de sécurité dans n'importe quel système.
Combien de temps durent les attaques DDoS?
Il existe deux délais possibles pour mettre fin au processus d'attaque DDoS. Le premier est d'atteindre la cible de l'attaque (voir ci-dessous), et le second est d'appliquer les mesures d'urgence anti-DDoS par les administrateurs du serveur, voire les deux. Par exemple, la dernière série d'attaques connue dans le monde entier liée à la guerre en Ukraine a duré près d'une semaine depuis le début des hostilités. Une douzaine de sites gouvernementaux russes et ukrainiens, des sites d'agences de presse et des banques étaient inaccessibles. Les attaquants ont atteint leur objectif mais ont probablement cherché à maintenir les sites hors service le plus longtemps possible. Pendant cette semaine, les administrateurs du site ont réussi à gérer le trafic excédentaire en interdisant les connexions ou en filtrant le trafic. Les deux parties ont fait leur travail: les attaquants ont réussi à mettre les sites hors service, et les administrateurs du système ont répliqué à l'attaque en miroir.
Néanmoins, la véritable réussite des défenseurs réside dans le fait que l'attaque n'affecte pas le site web. Bien sûr, vous ne pouvez rien faire, et les script kiddies peu compétents échoueront toujours à perturber votre site web. Mais une véritable attaque, orchestrée par des pirates informatiques compétents, nécessite de réelles technologies pour contrer cette attaque.
Comment les sites web sont-ils protégés contre les attaques DDoS?
La première attaque DDoS a eu lieu pendant la semaine du 7 février 2000. Cette attaque a été commise par un garçon de 15 ans qui a lancé une série d'attaques contre des services de commerce électronique, dont Amazon et eBay. Depuis lors, les administrateurs système ont découvert de nombreuses façons de prévenir les attaques DDoS. L'une des plus populaires et des plus connues est la résolution des captchas. Lorsque vous effectuez de nombreux clics, tout comme un ordinateur d'un botnet qui tente de surcharger le serveur avec des requêtes, un système unique vous demande de résoudre le captcha.
Une autre méthode répandue pour réduire la charge potentielle du serveur consiste à empêcher toute requête provenant d'un bot. Des services tels que Cloudflare prennent d'abord la requête vers votre site web et proposent au "visiteur" de résoudre le même captcha. Cette méthode est beaucoup plus efficace que la résolution de captcha précédemment mentionnée, car les bots ne peuvent pas atteindre la fin de l'attaque.
Bien sûr, l'optimisation de l'arrière-plan est un élément essentiel. Un arrière-plan mal conçu peut causer des problèmes même lorsque personne n'attaque votre site web. Cependant, en optimisant le code, vous augmenterez la limite supérieure des requêtes pour la période et économiserez une somme importante d'argent que vous dépenseriez pour la mise à niveau du serveur.
Attaques DoS et DDoS - quelle est la différence?
Il existe un cousin des attaques DDoS, moins connu, mais encore présent dans le monde réel. Une attaque DoS (Denial of Service) est une méthode pour déconnecter une ressource (site web, serveur de jeu, ou n'importe quel autre élément du réseau) du réseau en créant une demande excessive de requêtes, ce qui fait que la ressource ne peut pas fournir de réponse. Il est à noter que l'attaque DoS n'implique pas nécessairement l'utilisation d'un botnet. Dans le cas d'une attaque DoS, un seul ordinateur peut envoyer suffisamment de requêtes pour saturer la capacité d'une ressource donnée.
Cependant, la principale différence entre une attaque DoS et une attaque DDoS est l'échelle. Dans une attaque DDoS, des botnets massifs sont utilisés, ce qui signifie que des milliers ou des millions d'ordinateurs zombies sont impliqués dans l'envoi de requêtes. Cela rend l'attaque DDoS beaucoup plus difficile à contrer et à gérer que l'attaque DoS.
Conclusion
Les attaques DDoS sont une menace sérieuse pour les sites web et les services en ligne. Les cybercriminels utilisent des botnets pour envoyer une quantité massive de requêtes et surcharger les serveurs, ce qui entraîne une indisponibilité du service pour les utilisateurs légitimes. Il existe différents types d'attaques DDoS, y compris les attaques basées sur le volume, les attaques de la couche d'application et les attaques de protocole.
Les sites web peuvent être protégés contre ces attaques en utilisant des mesures telles que la résolution des captchas, le filtrage des bots et l'optimisation de l'arrière-plan. Il est important de prendre des mesures de sécurité appropriées pour protéger les ressources en ligne contre les attaques DDoS et garantir leur disponibilité pour les utilisateurs légitimes.