Qu’est-ce qu’une attaque par déni de service distribué (DDoS) ?

DDoS

Une attaque par déni de service distribué (DDoS) est une tentative visant à de rendre indisponible un serveur Web ou un système en ligne en le submergeant de données. Une attaque DDoS peut être perpétrée par simple malice, vengeance ou « hacktivisme » et peut occasionner des dégâts allant de la perturbation mineure à une indisponibilité prolongée occasionnant une perte d’activité.

En février 2018, GitHub a été visé par une attaque DDoS d’un débit de 1,35 téraoctet de données par seconde. C’est une attaque massive, et il est fort à parier que ce ne sera pas la dernière du genre.

Comment fonctionne une attaque DDoS ?

La plupart du temps, les attaques DDoS utilisent des botnets – un important groupe d’ordinateurs qui agit de manière coordonnée et noie un site Web ou le fournisseur de service sous les demandes.

Les hackers utilisent un malware ou des vulnérabilités non corrigées pour installer un logiciel de Commande et de contrôle (C2) sur les systèmes des utilisateurs afin de créer un botnet. Les attaques DDoS comptent sur les nombreux ordinateurs du botnet pour obtenir l’effet souhaité, et le moyen le plus simple et le plus économique de contrôler autant de machines est d’utiliser des exploits (dans le domaine de la sécurité informatique, un élément de programme permettant à un individu ou à un logiciel malveillant d’exploiter une faille de sécurité informatique dans un système informatique). L’attaque récente DYNDNS a tiré avantage de caméras WI-FI utilisant des mots de passe par défaut pour créer un immense botnet.

Une fois le botnet prêt, les hackers envoient la commande de démarrage à tous les nœuds, et les botnets envoient ensuite leurs requêtes programmées au serveur visé. Si l’attaque franchit les défenses extérieures, elle submerge rapidement la plupart des systèmes, provoque des interruptions de service et dans certains cas, fait planter le serveur. Le but ultime d’une attaque DDoS est en premier lieu de provoquer une perte de productivité ou une interruption de service – les consommateurs ne peuvent plus afficher le site Web.

Cela peut paraître anodin, mais le coût d’une attaque DDoS s’élevait en moyenne à 2,5 millions de dollars en 2017. Les hackers se livrent à des attaques DDoS pour des raisons très diverses allant de la blague puérile à la vengeance contre une entreprise, ou l’expression de leur activisme politique.

Les principaux types d’attaques DDoS

Attaques visant la couche applicative

Les attaques DDoS visant la couche applicative ont pour vocation d’épuiser les ressources de la cible et de perturber l’accès à son site Web ou à son service. Les hackers chargent les bots avec une requête complexe qui épuise les ressources du serveur cible lorsqu’il essaie d’y répondre. La requête peut exiger l’accès à une base de données ou des téléchargements volumineux. Si la cible reçoit plusieurs millions de ces requêtes en un laps de temps très court, elle peut être rapidement submergée : son fonctionnement peut être considérablement ralenti ou totalement paralysé.

À titre d’exemple, une attaque HTTP Flood est une attaque visant la couche applicative qui cible un serveur Web et utilise un grand nombre de requêtes HTTP rapides pour faire planter un serveur. Un peu comme si vous appuyiez en rafale sur le bouton Refresh de votre contrôleur de jeu. Un tel trafic depuis plusieurs milliers d’ordinateurs à la fois peut rapidement noyer un serveur Web.

HTTP Flood Attack Example DDoS

Attaques de protocole

Les attaques DDoS de protocole visent la couche réseau des systèmes cibles. Leur objectif est de submerger les espaces de table des services réseau centraux, le pare-feu ou le système d’équilibrage de charge qui transmet les requêtes à la cible.

En général, les services réseau ont une file d’attente qui fonctionne sur le modèle du « premier entré, premier sorti » (FIFO). La première requête arrive, l’ordinateur la traite, puis il traite la requête suivante de la file d’attente. La place disponible dans la file d’attente n’est pas illimitée et, lors d’une attaque DDoS, la file d’attente peut devenir tellement longue que l’ordinateur n’a plus de ressources pour traiter la première requête.

Une attaque SYN flood est une attaque particulière visant le protocole. Une transaction réseau TCP/IP standard utilise une connexion en trois étapes (3-way handshake). Les trois étapes de la connexion sont SYN, ACK et SYN-ACK. La première étape, SYN, est une requête, ACK est la réponse de la cible, et SYN-ACK est l’étape durant laquelle le demandeur initial dit « merci, j’ai obtenu l’information que j’avais demandée ». Dans une attaque SYN flood, le hacker crée des paquets SYN avec de fausses adresses IP. La cible envoie alors un ACK à l’adresse factice qui ne répond jamais, puis reste là à attendre que la temporisation de toutes ces réponses expire, ce qui a pour effet d’épuiser les ressources pour traiter toutes ces fausses transactions.

SYN Flood Attack DDoS

Attaques volumétriques

L’objectif d’une attaque volumétrique est d’utiliser le botnet pour générer un trafic important et engorger la cible. Un peu comme une attaque HTTP, mais avec une réponse exponentielle. Par exemple, si 20 de vos amis et vous-même appelez en même temps le même restaurant pour commander 50 pizzas, le restaurant ne pourra pas satisfaire toutes ces demandes. Les attaques volumétriques fonctionnent sur le même principe. Elles demandent quelque chose à la cible qui aura pour effet d’augmenter considérablement la taille de la réponse : le trafic explose et engorge le serveur.

L’amplification DNS est une forme d’attaque volumétrique. Dans ce cas, le hacker s’attaque directement au serveur DNS en lui demandant de lui renvoyer une importante quantité de données, bloquant ainsi toutes les personnes qui utilisent les services de résolution de nom de ce serveur DNS.

DNS Amplification Example DDoS

Les attaques DDoS aujourd’hui

Comme tout le reste en informatique, les attaques DDoS sont en pleine évolution et deviennent plus destructrices pour les entreprises. La taille des attaques augmente, passant de 150 requêtes à la seconde dans les années 90 (à l’époque, c’était suffisant pour faire planter un serveur), à 1,2 et 1,35 To pour les attaques récentes DYNDNS et GitHub, respectivement. Ces deux attaques avaient pour mission de perturber deux sources de productivité importantes dans le monde.

Elles ont utilisé de nouvelles techniques pour consommer une quantité de bande passante colossale. L’attaque Dyn s’est appuyée sur un exploit trouvé dans des appareils IoT (Internet des objets) pour créer un botnet, appelé botnet Mirai. Mirai a utilisé des ports de télécommunication ouverts et des mots de passe par défaut pour prendre la main sur des caméras Wi-Fi et perpétrer l’attaque. Cette attaque, qui n’était au départ qu’une vulgaire farce puérile, a mis en évidence une vulnérabilité importante apparue avec la prolifération des appareils IoT.

L’attaque GitHub a tiré avantage des milliers de serveurs exécutant memchached sur l’Internet ouvert, un système de mise en cache en accès libre. Memchached répond aux requêtes simples en renvoyant allègrement d’immenses quantités de données. Par conséquent, laisser ces serveurs sur l’Internet ouvert est tout simplement impensable.

Ces deux attaques mettent en évidence le risque important présenté par les exploits de demain, d’autant plus que l’univers de l’IoT continue de s’étendre. Imaginez comme ce serait amusant si votre frigo faisait partie d’un botnet ! Voyons le bon côté des choses, l’attaque n’est pas venue à bout de GitHub.

De plus, les attaques DDoS ne sont jamais faciles à mener à bien. Les hackers disposent de diverses options de DDoS-as-a-Service et ont la possibilité, moyennant une somme modeste, de « louer » un botnet d’ordinateurs infectés pour lancer une attaque DDoS contre la cible de leur choix.

Comment faire face à une attaque DDoS ?

Comment GitHub a-t-il survécu à cette attaque DDoS massive ? Grâce à la planification et la préparation, pardi. Au bout de 10 minutes d’interruptions sporadiques, les serveurs GitHub ont activé leur service de protection contre le DDoS. Le service de protection a réacheminé le trafic entrant et supprimé les paquets malveillants. Dix minutes après, les hackers avaient baissé les bras.

En plus de vous offrir les services d’entreprises telles que CloudFlare et Akamai pour vous protéger du DDoS, vous pouvez utiliser vos systèmes classiques de protection des terminaux. Appliquez des correctifs à vos serveurs, ne mettez pas vos serveurs memchached sur l’Internet ouvert et formez vos utilisateurs à la détection des attaques de phishing.

En cas d’attaque DDoS, vous pouvez blackholer tout le trafic de manière à l’envoyer dans les abysses. Vous pouvez définir un débit limite pour plafonner le nombre de requêtes reçues par un serveur dans un laps de temps donné. Un pare-feu correctement configuré peut aussi protéger vos serveurs.

Varonis surveille DNS, VPN, proxies et données pour aider à détecter les signes d’attaque DDoS imminente visant votre réseau d’entreprise. L’analyse de la sécurité des données Varonis procède au suivi des modèles comportementaux et émet des avertissements lorsque le comportement en cours correspond à un modèle de menace ou diffère du comportement standard. Elle peut ainsi détecter les attaques de botnet ou les augmentations importantes du trafic réseau. Bénéficiez d’une démonstration individuelle pour découvrir comment Varonis protège vos données des attaques DDoS et bien plus encore.