Une attaque par déni de service distribué (DDoS) est une tentative de planter un serveur Web ou un système en ligne en le submergeant de données. Les attaques DDoS peuvent être de simples méfaits, vengeance ou hacktivisme, et peuvent aller d’un ennui mineur à un temps d’arrêt à long terme entraînant une perte d’activité.
Les pirates ont frappé GitHub avec une attaque DDoS de 1,35 téraoctets de données par seconde en février 2018. C’est une attaque massive, et il est douteux que ce soit la dernière du genre.,
Obtenez le stylo gratuit Testant les environnements Active Directory EBook
Contrairement aux ransomwares ou aux attaques de groupes APT, qui sont financièrement motivés, les attaques DDoS sont plus perturbatrices et ennuyeuses. Comment mauvais peut-il obtenir? Des milliers de joueurs avides ne pouvaient pas monter sur Classic WoW à cause d’une attaque DDoS! Le fait est que les attaquants ne gagnent pas d’argent avec une attaque DDoS – ils le font simplement pour causer de la douleur.,
- DoS vs DDoS
- Effet sur la Sécurité
- Types d’Attaques
- la Prévention
- les Attaques DDoS aujourd’Hui
- Attaque DDoS FAQ
Comment fonctionne une Attaque DDoS de Travail?
Les attaques DDoS fonctionnent le plus souvent par des botnets – un grand groupe d’ordinateurs distribués qui agissent de concert les uns avec les autres –en spammant simultanément un site Web ou un fournisseur de services avec des demandes de données.
Les attaquants utilisent des logiciels malveillants ou des vulnérabilités non corrigées pour installer un logiciel de commande et de contrôle (C2) sur les systèmes de l’utilisateur afin de créer un botnet., Les attaques DDoS reposent sur un nombre élevé d’ordinateurs dans le botnet pour obtenir l’effet souhaité, et le moyen le plus simple et le moins cher d’obtenir le contrôle de ce nombre de machines est de tirer parti des exploits.
L’attaque DYNDNS a exploité les caméras WIFI avec des mots de passe par défaut pour créer un énorme botnet. Une fois le botnet prêt, les attaquants envoient la commande start à tous leurs nœuds de botnet, et les botnets enverront alors leurs requêtes programmées au serveur cible., Si l’attaque dépasse les défenses extérieures, elle submerge rapidement la plupart des systèmes, provoque des pannes de service et, dans certains cas, plante le serveur. Le résultat final d’une attaque DDoS est principalement une perte de productivité ou une interruption de service – les clients ne peuvent pas voir un site Web.
Bien que cela puisse sembler bénin, le coût d’une attaque DDoS a été en moyenne de 2,5 millions de dollars en 2017. Kaspersky rapporte que les attaques DDoS coûtent 120 000 small aux petites entreprises et 2 000 000 enterprises aux entreprises. Les pirates se livrent à des attaques DDoS pour tout ce qui va des farces enfantines à la vengeance contre une entreprise pour exprimer l’activisme politique.,
Les attaques DDoS sont illégales en vertu de la Computer Fraud and Abuse Act. Lancer une attaque DDoS contre un réseau sans autorisation vous coûtera jusqu’à 10 ans de prison et jusqu’à 500 000 fine d’amende.
Quelle est la différence entre une attaque DoS et une attaque DDoS?
Une attaque par déni de service (DoS) comprend de nombreux types d’attaques, toutes conçues pour perturber les services. En plus de DDoS, vous pouvez avoir application layer DoS, advanced persistent DoS et DoS as a service. Les entreprises utiliseront DoS en tant que service pour tester leurs réseaux.,
En bref, DDoS est un type d’attaque DoS – cependant, DoS peut également signifier que l’attaquant a utilisé un seul nœud pour lancer l’attaque, au lieu d’utiliser un botnet. Les deux définitions sont correctes.
Que signifie une attaque DDoS pour ma Sécurité?
Vous devez préparer et planifier la gestion d’une attaque DDoS contre vos systèmes. Vous devez surveiller, générer des alertes et diagnostiquer rapidement une attaque DDoS en cours. L’étape suivante consiste à arrêter l’attaque rapidement sans affecter vos utilisateurs., Vous pouvez bloquer les adresses IP à l’aide de votre pare-feu de nouvelle génération ou fermer le trafic entrant vers le système ciblé et le basculement vers une sauvegarde. Il existe d’autres plans de réponse que vous pouvez mettre en œuvre, assurez-vous d’en avoir un.
Types courants d’attaques DDoS
Il existe plusieurs façons différentes pour les attaquants de perpétuer une attaque DDoS. Voici quelques-unes des plus reconnues:
Attaques de la couche application
Les attaques DDoS de la couche application visent à épuiser les ressources de la cible et à perturber l’accès au site Web ou au service de la cible., Les attaquants chargent les bots avec une demande compliquée qui taxe le serveur cible lorsqu’il tente de répondre. La demande peut nécessiter un accès à la base de données ou des téléchargements importants. Si la cible reçoit plusieurs millions de ces demandes en peu de temps, elle peut très rapidement être submergée et être ralentie ou complètement verrouillée.
Une attaque HTTP Flood, par exemple, est une attaque de couche d’application qui cible un serveur Web sur la cible et utilise de nombreuses requêtes HTTP rapides pour faire tomber le serveur. Pensez – y comme en appuyant sur le bouton de rafraîchissement en mode de tir rapide sur votre contrôleur de jeu., Ce type de trafic provenant de plusieurs milliers d’ordinateurs à la fois va rapidement noyer le serveur Web.
Attaques de protocole
Les attaques de protocole DDoS ciblent la couche réseau des systèmes cibles. Leur objectif est de submerger les tablespaces des principaux services de réseau, du pare-feu ou de l’équilibreur de charge qui transmet les demandes à la cible.
En général, les services réseau fonctionnent à partir d’une file d’attente FIFO (first-in, first-out). La première demande arrive, l’ordinateur traite la demande, puis il va et obtient la prochaine demande dans la file d’attente ainsi de suite., Maintenant, il y a un nombre limité de points sur cette file d’attente, et dans une attaque DDoS, la file d’attente pourrait devenir si énorme qu’il n’y a pas de ressources pour l’ordinateur pour traiter la première demande.
Une attaque SYN flood est une attaque de protocole spécifique. Dans une transaction réseau TCP / IP standard, il existe une poignée de main à 3 voies. Ils sont le SYN, l’ACK et le SYN-ACK. Le SYN est la première partie, qui est une demande quelconque, l’ACK est la réponse de la cible, et le SYN-ACK est le demandeur d’origine disant « merci, j’ai obtenu les informations que j’ai demandées., »Dans une attaque SYN flood, les attaquants créent des paquets SYN avec de fausses adresses IP. La cible envoie ensuite un ACK à l’adresse factice, qui ne répond jamais, puis elle s’y trouve et attend que toutes ces réponses soient expirées, ce qui épuise les ressources pour traiter toutes ces fausses transactions.
Volumétrique Attaques
L’objectif d’un dispositif d’attaque consiste à utiliser des robots pour générer une quantité importante de trafic et de boucher les travaux sur la cible. Pensez à une attaque par inondation HTTP, mais avec un composant de réponse exponentielle ajouté., Par exemple, si vous et 20 de vos amis avez tous appelé la même pizzeria et commandé 50 tartes en même temps, cette pizzeria ne serait pas en mesure de répondre à ces demandes. Les attaques volumétriques fonctionnent sur le même principe. Ils demandent quelque chose à la cible qui augmentera considérablement la taille de la réponse, et la quantité de trafic explose et obstrue le serveur.
L’amplification DNS est une sorte d’attaque volumétrique., Dans ce cas, ils attaquent directement le serveur DNS et demandent une grande quantité de données au serveur DNS, ce qui peut faire tomber le serveur DNS et paralyser toute personne qui utilise ce serveur DNS pour les services de résolution de noms.
Comment Prévenir Les Attaques DDoS?
Comment GitHub a-t-il survécu à cette attaque DDoS massive? La planification et la préparation, bien sûr. Après 10 minutes de pannes intermittentes, les serveurs GitHub ont activé leur service d’atténuation DDoS., Le service d’atténuation a redirigé le trafic entrant et nettoyé les paquets malveillants, et environ 10 minutes plus tard, les attaquants ont abandonné.
En plus de payer pour les services d’atténuation DDoS de sociétés comme Cloudflare et Akamai, vous pouvez utiliser vos mesures de sécurité standard pour les terminaux. Corrigez vos serveurs, gardez vos serveurs Memcached hors de l’Internet ouvert et formez vos utilisateurs à reconnaître les attaques de phishing.
Vous pouvez activer le routage des trous noirs lors d’une attaque DDoS pour envoyer tout le trafic vers l’abîme., Vous pouvez configurer la limitation de débit pour limiter le nombre de requêtes qu’un serveur reçoit en peu de temps. Un pare-feu correctement configuré peut également protéger vos serveurs.
Varonis surveille vos DNS, VPN, Proxies et données pour vous aider à détecter les signes d’une attaque DDoS imminente contre votre réseau d’entreprise. Varonis suit les modèles de comportement et génère des avertissements lorsque le comportement actuel correspond à un modèle de menace ou s’écarte du comportement standard. Cela peut inclure des attaques de botnet de logiciels malveillants ou des augmentations significatives du trafic réseau qui indiquent une attaque DDoS.,
Attaques DDoS Aujourd’hui
Comme tout le reste de l’informatique, les attaques DDoS évoluent et deviennent de plus en plus destructrices pour les entreprises. La taille des attaques augmente, passant de 150 requêtes par seconde dans les années 1990 – ce qui réduirait un serveur de cette époque – à la récente attaque DYNDNS et à l’attaque GitHub à 1,2 TBs et 1,35 TBs respectivement. L’objectif de ces deux attaques était de perturber deux sources majeures de productivité à travers le monde.
Ces attaques ont utilisé de nouvelles techniques pour atteindre leur énorme bande passante., L’attaque Dyn a utilisé un exploit trouvé dans les appareils de l’Internet des objets (IoT) pour créer un botnet, appelé l’attaque de botnet Mirai. Mirai a utilisé des ports telnet ouverts et des mots de passe par défaut pour prendre en charge les caméras compatibles WiFi pour exécuter l’attaque. Cette attaque était une farce enfantine mais présentait une vulnérabilité majeure liée à la prolifération des appareils IoT.
L’attaque GitHub a exploité les milliers de serveurs exécutant Memcached sur l’Internet ouvert, un système de mise en cache de mémoire open source., Memcached répond joyeusement avec d’énormes quantités de données à des demandes simples, donc laisser ces serveurs sur Internet ouvert est un non-non définitif.
Ces deux attaques montrent un risque important d’exploits futurs, d’autant plus que l’univers IoT continue de croître. À quel point serait-il amusant pour votre réfrigérateur de faire partie d’un botnet? Du bon côté, GitHub n’a même pas été abattu par l’attaque.
De plus, les attaques DDoS n’ont jamais été aussi faciles à exécuter., Avec plusieurs options DDoS-as-a-Service disponibles, les acteurs malveillants peuvent payer des frais minimes pour « louer” un botnet d’ordinateurs infectés pour exécuter une attaque DDoS contre leur cible de choix.
En septembre 2019, des attaquants ont frappé Wikipedia et World of Warcraft avec des attaques DDoS. Actuellement, il n’y a aucune indication que ces attaques sont de nouvelles technologies, mais restez à l’écoute pour toute mise à jour.
FAQ sur les attaques DDoS
Un aperçu rapide des réponses aux questions courantes des gens sur les attaques DDoS.
Q: Que se passe-t-il lors d’une attaque DDoS?,
A: Lors d’une attaque DDoS les ordinateurs distribués – botnet – spammer la cible avec autant de requêtes de données que possible.
Q: Les attaques DDoS sont-elles illégales?
R: Oui, il est illégal d’utiliser des techniques DDoS pour perturber une cible sans autorisation. C’est une bonne pratique de mettre en place un exercice DDoS afin que vous puissiez mettre en pratique votre plan de réponse aux incidents pour les attaques DDoS, qui est une utilisation légale de DDoS.
Q: Dans une attaque DDoS, quel canal de communication est couramment utilisé pour orchestrer l’attaque?
A: Les requêtes HTTP, DNS et TCP/IP sont des protocoles courants utilisés pour les attaques DDoS.