Le monde assiste à une recrudescence des attaques par déni de service distribué (DDoS). Non seulement le nombre d’incidents explose, mais les attaques sont plus importantes et plus sophistiquées.
Parfois, la menace DDoS est négligée dans l’effervescence autour des ransomwares et des piratages de grande envergure. Pour sécuriser votre réseau, vous devez savoir comment reconnaître un incident DDoS potentiellement débilitant.
Qu’est-ce qu’une attaque DDoS ?
Une attaque DDoS inonde un serveur cible de trafic, l’empêchant de mener à bien les échanges avec les demandes de connexion légitimes. En conséquence, les utilisateurs autorisés ne peuvent pas accéder aux systèmes ou aux ressources du réseau informatique. Parfois, le système se bloque complètement.
Contrairement à son prédécesseur, le déni de service (DoS), une attaque DDoS implique généralement plusieurs systèmes détournés travaillant ensemble dans un botnet. Ce modèle distribué, qui est le plus courant aujourd’hui, rend l’identification de l’attaquant beaucoup plus difficile pour les experts en informatique.
Vous pouvez penser qu’un botnet est un groupe d’ordinateurs détournés utilisés pour exécuter des attaques massives. Cependant, ils peuvent également être constitués d’appareils de l’internet des objets (IoT), de routeurs et d’autres appareils contrôlés par un serveur central. Les botnets sont devenus des marchandises que les propriétaires louent souvent à d’autres attaquants dans le cadre de systèmes d’attaque à la location. Cette pratique a élargi le groupe de personnes capables de monter une menace.
Commande et contrôle
Un serveur d’attaque envoie des commandes au botnet, le contrôlant comme une seule unité.
Exploitation de dispositifs intelligents
Les appareils technologiques opérationnels ont un code et des adresses IP et contrôlent des systèmes physiques tels que les réseaux électriques et les drones. Les appareils IoT tels que les thermostats intelligents peuvent communiquer avec d’autres systèmes. Les attaques DDoS exploitent les vulnérabilités de ces nouvelles technologies pour accéder à des cibles, notamment des infrastructures critiques.
Attaques multisectorielles
Une attaque multivectorielle combine des méthodes DDoS pour tenter de déjouer les défenses. Une attaque de plus en plus courante et handicapante associe DDoS et ransomware.
Cibles des monocultures
Une monoculture est un groupe de systèmes présentant la même vulnérabilité exploitable. Les exemples typiques sont les appareils IoT tels que les webcams.
L’intelligence artificielle
Les attaques DDoS sophistiquées utilisent l’IA pour modifier le code à la volée afin de déjouer les mesures de sécurité.
Types d’attaques DDoS
Les attaques DDoS prennent généralement deux formes, l’infection volumétrique et l’infection de la couche applicative. Elles sont souvent combinées dans un assaut contre la cible.
Également appelée bombardement, une attaque volumétrique cible la couche IP en inondant un serveur de demandes de connexion provenant d’adresses IP usurpées qui semblent légitimes. La poignée de main incomplète occupe les ports, bloquant les demandes authentiques. Les utilisateurs peuvent constater une lenteur ou un refus d’accès.
Une attaque de couche 7 cible la couche applicative, utilisant souvent des botnets pour manipuler une application afin qu’elle soutienne une intrusion. Un exemple fréquent est l’utilisation de dispositifs IoT pour générer du trafic. Les attaques de couche 7 constituent une menace importante pour les applications cloud et web servant de nombreux clients.
Une menace de sécurité en pleine évolution
Selon Tech Republic, les incidents DDoS significatifs ont augmenté de 967 % entre 2018 et 2019. Les événements ont également une portée de plus en plus large. L’attaque la plus massive du premier trimestre 2019, à 587 Gbps, était 70 % plus importante que son équivalent l’année précédente.
Les stratégies DDoS évoluent avec la technologie. Les attaquants utilisent l’IA et l’apprentissage automatique pour trouver des vulnérabilités, se transformer pour échapper à la détection et changer de tactique. De plus en plus, ils associent un assaut volumétrique à un autre type d’attaque, comme un ransomware.
Le coût pur et simple des pertes d’activité a augmenté en parallèle. Selon CompTIA, les attaques DDoS peuvent coûter des millions de dollars par incident. Il faut savoir que le temps d’arrêt d’un réseau compromis est en moyenne de 7 à 12 heures. À raison d’environ 5 600 dollars par minute, une entreprise ou une organisation pourrait perdre entre 2,3 et 4 millions de dollars.
Comment détecter une attaque
Vos mesures de sécurité informatique devraient inclure une solution robuste de protection contre les attaques DDoS. Cependant, il n’existe pas de prévention infaillible, et vous devez connaître les signes d’une éventuelle intrusion. Soyez prêt à atténuer les menaces immédiatement et à déployer votre plan de reprise après sinistre.
Votre premier indice est souvent constitué par les plaintes des utilisateurs concernant la lenteur des performances du réseau ou l’impossibilité d’accéder à un site. La nature intermittente et de faible intensité de certaines attaques peut ressembler à des problèmes techniques, et vous pouvez d’abord penser que le service ou l’hébergement est en panne. Cependant, en inspectant le trafic, vous constaterez probablement un volume anormalement élevé ou un schéma anormal. Les ressources du réseau sont exploitées au maximum. Une recherche de programmes d’arrière-plan suspects ne donnera rien.
N’oubliez pas que les attaques peuvent se produire en rafales ou à long terme. Une rafale dure généralement moins d’une minute, tandis qu’une attaque prolongée peut durer des heures ou des jours. Les rafales sont plus difficiles à repérer, mais elles peuvent néanmoins causer des dommages considérables en raison du volume du trafic.
Signes d’une attaque :
- Les utilisateurs signalent une dégradation importante des performances du réseau.
- Les utilisateurs ne peuvent pas accéder à certains ou à tous les sites web.
- Une adresse IP envoie la même requête à intervalles réguliers.
- Un serveur renvoie une erreur 503 en raison d’une interruption de service.
- Le TIL (time to live) d’une requête ping est dépassé.
- Les journaux indiquent des pics de trafic importants.
Modèles de trafic DDoS
Comprendre les guises du trafic d’attaque vous aidera à affiner votre service de détection, à surveiller efficacement les rapports et même à repérer les problèmes en premier.
Balisage
Le balisage fait référence à la communication entre un membre du botnet et le serveur central et possède souvent une signature distincte pour laquelle vous pouvez définir des alertes.
Bombardement TCP
Cette attaque peut exploiter un cryptage faible ou inexistant. Elle usurpe des adresses IP et envoie des demandes de connexion qui ne sont jamais acquittées, laissant la connexion ouverte.
Bombardement UDP
L’attaquant submerge le serveur cible de paquets UDP.
Bombardement ICMP
Cette attaque bombarde la cible de pings de diagnostic ICMP.
Inondation HTTP
Cette attaque inonde l’application de requêtes HTTP GET ou POST. Elle exploite souvent les vulnérabilités des serveurs Apache et Nginx.
Compromission de Memcached
Memcached est un service qui répartit la mise en cache de la mémoire dans la RAM entre les systèmes afin d’améliorer les performances des sites web. Les botnets peuvent exploiter des configurations non sécurisées.
Trafic réfléchi
La réflexion envoie du trafic à travers des dispositifs pour détourner l’attention des véritables systèmes d’attaque.
Amplification
Le botnet envoie du trafic à travers des dispositifs qui multiplient le trafic sortant normal.
Prendre des mesures de protection
Aucune application de détection des DDoS ne peut effacer la nécessité de combler les failles dans la sécurité ou les processus de votre réseau. Prenez ces mesures si nécessaire :
- Verrouillez les dispositifs IoT.
- Durcissez ou remplacez les équipements existants.
- Corriger toute mauvaise configuration.
- Retirez du réseau tout actif informatique non comptabilisé.
- Vérifiez votre profil de réseau public sur un site tel que Shodan.