Un déni de service distribué (DDoS) est un type d'attaque DoS dans lequel plusieurs systèmes compromis sont utilisés pour cibler un seul système. Ces types d'attaques peuvent causer des dommages importants et étendus, car ils affectent généralement toute l'infrastructure et créent des temps d'arrêt coûteux et perturbateurs.
DDoS contre DoS
Comme mentionné ci-dessus, une attaque DDoS est un type d'attaque DoS. La principale façon d'identifier une attaque DDoS par rapport à un autre type d'attaque DoS est de regarder comment l'attaque est exécutée. Dans une attaque DDoS, le trafic entrant inondant la victime provient de nombreuses sources différentes, potentiellement des centaines de milliers ou plus. Cela rend effectivement impossible d'arrêter l'attaque simplement en bloquant une seule adresse IP; De plus, il est très difficile de distinguer le trafic utilisateur légitime du trafic d'attaque lorsqu'il est réparti sur autant de points d'origine.
Comment fonctionnent les attaques DDoS
Les attaques DDoS sont souvent accomplies par un cheval de Troie, un type de logiciel malveillant déguisé en fichier ou programme inoffensif. Une fois que les attaquants ont compromis plusieurs appareils et créé un botnet, ils utilisent ensuite un serveur de commande et de contrôle (C2) pour attaquer le système ciblé jusqu'à ce qu'il surcharge et échoue finalement. La méthode d'attaque spécifique peut varier.
Les types d'attaques DDoS comprennent:
- Attaques volumétriques: Les attaques volumétriques consomment généralement des ressources de bande passante en créant un énorme volume de trafic, ce qui empêche les utilisateurs légitimes d'accéder au système cible. Les types d'attaques volumétriques incluent l'amplification DNS, dans laquelle l'attaquant utilise l'adresse IP de la cible lors du lancement d'une requête pour une grande quantité de données. Cela signifie que le serveur envoie et reçoit simultanément les mêmes données et devient par la suite submergé.
- Attaques de protocole: Les attaques de protocole ciblent les ressources du réseau en submergeant le pare-feu ou l'équilibreur de charge, c'est pourquoi elles sont parfois appelées attaques d'épuisement d'état. Les types d'attaques de protocole incluent l'inondation SYN, dans laquelle l'attaquant manipule la poignée de main en 3 étapes d'une connexion TCP jusqu'à ce que les ressources du réseau soient consommées et qu'aucun périphérique supplémentaire ne puisse établir une nouvelle connexion.
- Attaques de la couche application: Les attaques de la couche application sont utilisées pour épuiser les ressources de la couche application. Dans ces types d'attaques, les bots envoient simultanément plusieurs millions de demandes d'application complexes, de sorte que le système est rapidement submergé. Les types d'attaques de couche d'application incluent l'inondation HTTP, qui est en fait similaire à l'actualisation répétée d'un navigateur à partir de nombreux appareils.
Il existe un certain nombre de mesures que les utilisateurs peuvent mettre en place pour prévenir ou atténuer les répercussions d'une attaque DDoS. L'élaboration et la réévaluation régulière d'un plan de réponse et la mise en œuvre de systèmes de gestion des menaces à plusieurs niveaux sont des tactiques précieuses qui peuvent éviter des temps d'arrêt coûteux à la suite d'une attaque DDoS. Il est également important de surveiller le réseau pour détecter tout signe d'avertissement. Les symptômes d'une attaque DDoS imminente incluent des volumes élevés de trafic qui:
- Proviennent d'une adresse IP ou d'une plage d'adresses IP
- Accéder à une seule page Web
- Proviennent d'une seule caractéristique utilisateur commune (telle que la géolocalisation)
- Se produisent à des moments inattendus de la journée