Dans le cadre d'une attaque par déni de service distribué (DDoS), un type de cyberattaque, un attaquant submerge un site Web, un serveur ou une ressource réseau avec du trafic malveillant. En conséquence, la cible tombe en panne ou cesse de fonctionner, refusant le service aux utilisateurs légitimes et empêchant le trafic légitime d'arriver à destination.
D'un point de vue général, une attaque DDoS ou DoS est comme un embouteillage inattendu causé par des centaines de fausses demandes de covoiturage. Les demandes semblent légitimes pour les services de covoiturage, ils envoient donc des chauffeurs pour récupérer les passagers, ce qui encombre inévitablement les rues de la ville. Le trafic légitime ordinaire est alors entravé et les personnes ne peuvent pas arriver à destination.
Une attaque DDoS sur le site Web, l'application Web, les API, le réseau ou l'infrastructure du centre de données d'une entreprise peut provoquer des temps d'arrêt et empêcher les utilisateurs légitimes d'acheter des produits, d'utiliser des services, d'obtenir des informations ou d'accéder à d'autres ressources.
Construire un botnet — Pour lancer une attaque DDoS, les attaquants utilisent des logiciels malveillants pour créer un réseau de bots, des terminaux connectés à Internet qui sont infectés par des logiciels malveillants, que les attaquants peuvent diriger pour envoyer un flot de trafic aux cibles. Ce réseau de bots, ou botnet, peut inclure des points de terminaison tels que des terminaux Internet des objets (IoT), des smartphones et des ordinateurs personnels, ainsi que des routeurs et des serveurs réseau. Chaque terminal infecté devient capable de propager le malware à d'autres terminaux pour amplifier la taille d'une attaque.
Pour utiliser une référence culturelle populaire ici, pensez à la façon dont le Roi de la nuit dans la série télévisée Game of Thrones produite par HBO a créé une armée de Marcheurs Blancs. Le Roi de la nuit a créé un premier groupe de Marcheurs Blancs. Ces Marcheurs Blancs ont attaqué les humains pour les transformer en d'autres Marcheurs Blancs, et ainsi l'armée a continué à se développer. Et chaque membre de cette armée était contrôlé par le Roi de la nuit.
Lancer une attaque — Une fois qu'un attaquant a construit un botnet, il envoie des instructions à distance aux bots, leur demandant d'envoyer des requêtes et du trafic à un serveur, un site Web, une application Web, une API ou une ressource réseau ciblés. Il en résulte un trafic démesuré qui entraîne un déni de service, empêchant le trafic normal d'accéder à la cible.
DDoS en tant que service — Parfois, les botnets, avec leurs réseaux de terminaux compromis, sont loués pour d'autres attaques potentielles par le biais de services d'« attaque à louer ». Cela permet à des personnes mal intentionnées mais sans formation ni expérience de lancer facilement des attaques DDoS par leurs propres moyens.
L'objectif des attaques DDos est de ralentir fortement ou d'empêcher le trafic légitime d'atteindre sa destination. Par exemple, cela peut consister à empêcher un utilisateur d'accéder à un site Web, d'acheter un produit ou un service, de regarder une vidéo ou d'interagir sur les médias sociaux. En outre, en rendant les ressources indisponibles ou en diminuant les performances, les attaques DDoS peuvent entraîner un arrêt de l'activité. Cela peut avoir pour conséquence d'empêcher les employés d'accéder au courrier électronique, aux applications Web ou de mener leurs activités comme d'habitude.
Les attaques DDoS peuvent être lancées pour plusieurs raisons.
Il existe de nombreux types d'attaques DDoS et les cybercriminels en utilisent souvent plusieurs pour mettre hors service leurs cibles. Les attaques DDoS ciblent généralement l'une des sept couches différentes d'un réseau informatique, comme décrit dans le modèle d'interconnexion des systèmes ouverts (OSI ou Open Systems Interconnection). Chaque couche du modèle OSI a un but unique, comme les étages d'un immeuble de bureaux qui abritent les différentes fonctions d'une entreprise. Les attaquants ciblent différentes couches en fonction du type de ressource Web ou Internet qu'ils souhaitent perturber.
Les quatre principaux types d'attaques sont les suivants :
Les attaques DDoS au niveau de la couche applicative (attaques DDoS de couche 7) ciblent des vulnérabilités spécifiques dans les applications Web afin d'empêcher l'application de fonctionner comme prévu. Ces attaques DDoS ciblent souvent les protocoles de communication impliqués dans l'échange de données entre deux applications sur Internet. Bien qu'elles soient difficiles à prévenir et à atténuer, elles font partie des attaques DDoS les plus faciles à lancer.
Les attaques de protocole ciblent les faiblesses et les vulnérabilités des protocoles de communication Internet dans les couches 3 et 4 du modèle OSI. Ces attaques tentent de consommer et d'épuiser la capacité de calcul de diverses ressources de l'infrastructure du réseau, comme les serveurs ou les pare-feu, en envoyant des demandes de connexion malveillantes qui exploitent les protocoles TCP (Transmission Control Protocol, protocole de contrôle de transmission) ou ICMP (Internet Control Message Protocol, protocole de messages de contrôle Internet).
Les attaques par amplification/réflexion DNS ou système de nom de domaine sont un type spécifique de vecteur d'attaque DDoS volumétrique où les pirates usurpent l'adresse IP de leur cible pour envoyer de grandes quantités de requêtes à des serveurs DNS ouverts. En réponse, ces serveurs DNS répondent aux requêtes malveillantes par l'adresse IP usurpée, créant ainsi une attaque sur la cible visée par un flot de réponses DNS. Très rapidement, l'important volume de trafic créé par les réponses DNS submerge les services de l'organisation victime, les rendant indisponibles et empêchant le trafic légitime d'atteindre sa destination.
Pour expliquer ce type d'attaque à l'aide de l'analogie du covoiturage, imaginez que des centaines ou des milliers de demandes de covoiturage soient effectuées pour envoyer des taxis à l'adresse d'une victime. Ces taxis de covoiturage encombrent à présent les rues menant à la maison de la victime, empêchant les visiteurs légitimes d'atteindre l'adresse de l'individu. Cette analogie peut également être étendue pour expliquer les attaques DDoS volumétriques dans la section suivante.
Les attaques DDoS basées sur le volume sont dirigées contre les couches 3 et 4 du modèle OSI, submergeant une cible d'un flux de trafic provenant de plusieurs sources et qui finit par consommer toute la bande passante disponible de la cible, entraînant son ralentissement ou son plantage. Les attaques volumétriques sont souvent utilisées pour détourner l'attention d'autres types d'attaques DDoS ou de cyberattaques plus dangereuses.
Les organisations peuvent se protéger contre les attaques DDoS et limiter les perturbations qu'elles provoquent en mettant en place une stratégie DDos solide, des services d'atténuation des attaques DDoS supérieurs et des contrôles de cybersécurité avancés supérieurs.
Les solutions basées sur le cloud offrent une protection contre les attaques DDoS à haute capacité, hautes performances et permanente qui peut empêcher le trafic malveillant d'atteindre un site Web ou de perturber les communications avec les API Web, ce qui limite l'impact de l'attaque, tout en permettant au trafic normal de passer pour que les activités se poursuivent normalement.
Face à des attaques en constante évolution, la protection contre les attaques DDoS par un prestataire de services de mitigation qui adopte une approche de défense en profondeur peut assurer la sécurité des organisations et des utilisateurs finaux. Un service de mitigation des attaques DDoS détectera et bloquera les attaques DDoS aussi rapidement que possible, idéalement en zéro ou quelques secondes à partir du moment où le trafic d'attaque atteint les centres de nettoyage du prestataire de mitigation. Étant donné que les vecteurs d'attaque ne cessent de changer et que la taille des attaques ne cesse de croître, pour obtenir la meilleure protection contre les attaques DDoS, un prestataire doit continuellement investir dans sa capacité de défense. Pour faire face à des attaques complexes et de grande ampleur, il faut disposer des technologies adéquates pour détecter le trafic malveillant et mettre en place des contre-mesures défensives robustes afin d'atténuer rapidement les attaques.
Les prestataires de services de mitigation des attaques DDoS filtrent le trafic d'attaque pour l'empêcher d'atteindre l'actif ciblé. Le trafic d'attaque est bloqué par un service de protection Web basé sur un réseau de diffusion de contenu (CDN), un service de nettoyage DDoS ou un service DNS basé sur le cloud.
Pendant la mitigation, votre prestataire de protection DDoS déploie une série de contre-mesures visant à arrêter et à diminuer l'impact d'une attaque par déni de service distribué. Les attaques actuelles devenant plus sophistiquées, la protection par mitigation des attaques DDoS basée sur le cloud permet d'assurer une défense en profondeur à l'échelle, en maintenant l'infrastructure dorsale et les services Internet disponibles et fonctionnant de manière optimale.
Grâce aux services de protection contre les attaques DDoS, les entreprises peuvent :
Akamai fournit des services de lutte et de défense DDoS en profondeur grâce à un maillage transparent de défenses dédiées en bordure de l'Internet, de DNS distribués et de nettoyage dans le cloud. Ces services cloud spécialement conçus sont destinés à renforcer les postures de sécurité DDoS et réseau tout en réduisant les surfaces d'attaque, en améliorant la qualité de la mitigation et en réduisant les faux positifs, tout en augmentant la résilience contre les attaques les plus importantes et les plus complexes. En outre, ces solutions peuvent être adaptées aux besoins spécifiques de vos applications Web et de vos services en ligne.
Une attaque DoS, ou attaque par déni de service, est conçue pour rendre un site Web, un routeur, un serveur ou un réseau indisponible pour les utilisateurs légitimes. Une attaque DoS est lancée à partir d'un seul ordinateur, tandis qu'une attaque par déni de service distribué (DDoS) utilise un botnet ou un réseau distribué d'adresses IPv4 ou IPv6 — un réseau de robots regroupant des ordinateurs, des machines ou des terminaux IoT détournés — pour attaquer une cible depuis plusieurs endroits.
Une attaque DoS ou DDoS tente d'inonder un serveur, un site Web, un terminal de réseau ou une machine avec un volume de trafic malveillant tel qu'il ne peut plus fonctionner. Lors d'une attaque volumétrique, telle qu'une attaque ICMP flood ou UDP flood, les attaquants submergent une cible avec des quantités massives de trafic, surchargeant le système ou le chemin d'accès au système tout en empêchant le trafic et les utilisateurs légitimes d'accéder à cette ressource.
Une attaque de protocole telle qu'une attaque SYN flood tente de consommer et d'épuiser la capacité de calcul des ressources de l'infrastructure du réseau comme les pare-feu ou les équilibreurs de charge en envoyant des demandes de connexion malveillantes qui exploitent les communications du protocole. Dans le cas d'une attaque au niveau de la couche applicative comme Slowloris, les attaquants exploitent la capacité d'un serveur Web, d'un serveur d'applications ou d'une base de données en épuisant la quantité de demandes qu'il peut traiter tout en passant sous le radar des faibles volumes de demandes, ce qui le rend indisponible pour les utilisateurs.
La meilleure protection contre les attaques DoS et DDoS est une posture multicouche qui permet de protéger les sites Web, les applications, les API, les DNS de référence et les ressources réseau en utilisant des technologies qui ont fait leurs preuves en matière de blocage de ces incidents.
Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège l'activité en ligne. Nos solutions de sécurité leaders du marché, nos informations avancées sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises du monde entier. Les solutions de Cloud Computing complètes d'Akamai offrent des performances de pointe à un coût abordable sur la plateforme la plus distribuée au monde. Les grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe nécessaires pour développer leur activité en toute sécurité.
Bloquez les attaques DDoS au plus vite avec la meilleure défense à grande échelle.
Faites confiance à un DNS hautement sécurisé pour des applications Web et des API toujours disponibles.
Une sécurité tout-en-un et sans compromis des sites Web, des applications et des API.
Tous les services de protection contre les attaques DDoS ne sont pas identiques. Découvrez combien de fournisseurs de services cloud laissent à désirer et quels sont les signaux d'alerte.
Nos dernières études vous apportent les connaissances dont vous avez besoin pour mieux vous défendre contre les attaques DDoS en hausse dans la zone EMEA.
Le DNS est l'une des plus anciennes infrastructures Web. Il est toutefois traversé par une quantité incroyable de trafic d'attaques. Ce dernier rapport présente les menaces les plus répandues et plus encore.
Pour en savoir plus sur des sujets et technologies connexes, consultez les pages ci-dessous.
