Comment se protéger d’une attaque DDoS ?

Qu’est-ce qu’une attaque DDoS ou attaque par déni de service distribué ?

Temps de lecture : 5 mn

Une attaque par déni de service consiste à rendre un service indisponible et ainsi empêcher les utilisateurs d’y accéder. Les attaques par déni de service se font la plupart du temps à partir de plusieurs sources, qu’on nomme alors déni de service distribuées ou attaque par DDoS (Distribued Denial of Service attack).

Comment une attaque DDoS se produit ?

• Une surcharge de la bande passante du serveur le rend injoignable
• Un épuisement des ressources systèmes empêche la machine de répondre au trafic légitime

A l’heure du Big Data et de l’augmentation du nombre d’échanges commerciaux sur Internet, les attaques par déni de service (DDoS) se multiplient. Certains cybercriminels se spécialisent dans les armées de « bots malveillants » qu’ils louent à des personnes ou groupes malveillants afin de procéder à l’attaque par DDoS.

Le bot management permet d’éviter cela grâce à l’identification des bots qu’il contrôle et bloque si leur comportement est suspicieux.

Quelles sont les conséquences d’une attaque DDoS ?

L'émergence à vitesse accélérée de nouvelles technologies ( Kubernetes, NoSql...), de nouveaux langages (Swift, Rust, Typescript, Go), de nouvelles architectures (Microservices, Blockchain, Autonomous Database...) rendent obsolètes les solutions de monitoring de l'ancienne génération.

Les attaques peuvent cibler à la fois :

• Un ordinateur spécifique, un service ou un réseau complet qui sont désactivés
• Des alarmes, des imprimantes, des téléphones ou des ordinateurs portables
• Des ressources du système comme la bande passante, l'espace disque, le temps du processeur ou les informations de routage
• Les processeurs en exécutant des programmes malveillants qui déclenchent des erreurs dans les micro-codes des ordinateurs
• Les failles de sécurité du système d'exploitation
• Le système d'exploitation qui peut se retrouver en panne

Selon la zone de l'infrastructure du réseau sur laquelle l'attaque est concentrée, une attaque DDos est de type :

• Volumineuse ou inondation : la bande passante est submergée en raison de réseaux zombies, soient d’ordinateurs infectés par le logiciel malveillant.
• Par état d’épuisement TCP : les connexions des serveurs web, pare-feu et équilibreurs de charges sont perturbés au point de ne plus supporter le nombre de connexions possibles.
• Couche 7 : l’attaque porte sur une couche d’application et cible les faiblesses d’une application ou d’un serveur. L’objectif est d’épuiser une connexion en monopolisant les processus et les transactions. Cette attaque fait partie des menaces sophistiquées difficiles à détecter car générant un trafic faible qui parait légitime.
• Une combinaison des 3 types, d’autant plus difficile à y faire face pour les entreprises.
• Zero-day : l’attaque exploite une faille zero-day, soit un défaut dans un système ou une application jusqu’alors inconnue du fournisseur. Ce genre d’attaque est très difficile à combattre.

Les conséquences d’une attaque DDoS peuvent peuvent être importantes. Certains logiciels peuvent ne plus fonctionner normalement et nécessiter une intervention humaine.

Si les attaques DDoS deviennent de plus en plus envahissantes, les entreprises peuvent opter pour un service de protection DDoS dans le Cloud (Cloud Public, Cloud privé, Cloud Hybride) afin de limiter ces menaces.

Comment se protéger des attaques DDoS ?

Contrer une attaque DDoS est plus difficile que de stopper une attaque par déni de service non distribué puisque l’entreprise doit faire face à de nombreuses machines hostiles aux adresses différentes. Le fait de bloquer les adresses IP ne permet pas d’arrêter l’attaque DDoS, même si elle la limite.

Pour éviter les attaques DDOS, 2 éléments sont essentiels :

• Avoir une architecture composée de plusieurs serveurs offrant le même service au client afin de répartir les points d’accès aux services et offres. En cas d’attaque, les clients subissent un ralentissement, plus acceptable qu’un arrêt de service.
• Mettre en place un serveur tampon, appelé « cleaning center » pour filtrer et nettoyer le trafic de manière à ce que les menaces n’affectent pas le serveur.