DDos (déni de service distribué)

DDoS est une tentative d’épuiser les ressources disponibles pour un réseau, une application ou un service afin que les utilisateurs authentiques ne puissent pas y accéder.

Depuis 2010, et en grande partie sous l'impulsion de la montée du hacktivisme, nous avons assisté à une renaissance des attaques par déni de service distribué (DDoS), ce qui a conduit à des innovations dans les domaines des outils, des cibles et des techniques. Aujourd'hui, la définition d'une attaque par déni de service distribué (DDoS) continue de se compliquer. Les cybercriminels utilisent une combinaison d’attaques à très haut volume, ainsi que des infiltrations plus subtiles et difficiles à détecter qui ciblent les applications ainsi que l’infrastructure de sécurité de réseau existante, comme les pare-feux et l’IPS.

Quels sont les différents types d’attaques DDoS ?

Les attaques par déni de service distribué (DDoS) varient considérablement et il existe des milliers de façons différentes de mener une attaque (vecteurs d'attaque), mais un vecteur d'attaque peut généralement être classé dans l'une des trois grandes catégories suivantes :

Attaques par déni de service volumétriques
Attaques par déni de service d’épuisement d’états TCP 
Attaque de la couche d’application 

Attaques volumétriques 

Les attaques volumétriques tentent de consommer la bande passante soit à l'intérieur du réseau/service cible, soit entre le réseau/service cible et le reste de l'Internet. Ces attaques consistent simplement à provoquer une congestion.

Attaques d’épuisement d’états TCP :

Ce type d'attaque tente de consommer les tables d'état de connexion présentes dans de nombreux composants d'infrastructure tels que les équilibreurs de charge, les pare-feu et les serveurs d'applications eux-mêmes. Même les appareils de grande capacité capables de maintenir l'état de millions de connexions peuvent être démantelés par ces attaques.

Attaque de la couche d’application :

Les attaques de la couche d'application ciblent certains aspects d'une application ou d'un service à la couche 7. Ce sont les attaques les plus redoutables car elles peuvent être très efficaces avec seulement une machine à la base de l'attaque qui vient générer un faible taux de trafic (ce qui rend ces attaques très difficiles à détecter et à atténuer de manière proactive). Les attaques de la couche applicative ont pris de l'ampleur au cours des trois ou quatre dernières années et les attaques d'épuisement de la couche applicative simples (épuisement HTTP GET, etc.) ont été parmi les attaques de déni de service les plus courantes observées.

Les attaquants sophistiqués d'aujourd'hui combinent les attaques volumétriques, les attaques d'épuisement d'état TCP et les attaques de couches applicatives contre les appareils d'infrastructure en une seule attaque soutenue. Ces cyberattaques sont populaires parce qu'elles sont difficiles à combattre et souvent très efficaces.

Les problèmes ne s'arrêtent pas là. Selon Frost & Sullivan, les attaques par déni de service distribué sont de plus en plus utilisées comme une tactique de diversion pour les attaques persistantes ciblées. Les attaquants utilisent des outils DDoS pour distraire les équipes réseau et de sécurité tout en essayant simultanément d'injecter des menaces persistantes avancées telles que des logiciels malveillants dans le réseau, dans le but de voler l'IP et/ou des informations sur les clients ou des données financières critiques.

Glossaire des attaques par déni de service distribué (DDoS)

Pourquoi les attaques DDoS sont-elles si dangereuses ?

Les attaques par déni de service distribué (DDoS) représentent une menace importante pour la continuité de l'activité. Les entreprises devenant de plus en plus dépendantes d’Internet et des applications et services Web, la disponibilité est devenue aussi essentielle que l’électricité.

Une attaque par déni de service distribué n'est pas seulement une menace pour les détaillants, les services financiers et les sociétés de jeux qui ont un besoin évident de disponibilité. Les attaques par déni de service distribué ciblent également les applications métier critiques sur lesquelles votre entreprise s’appuie pour gérer les opérations quotidiennes, telles que la messagerie électronique, l’automatisation de la force de vente, la gestion de la relation client et bien d’autres applications encore. En outre, d'autres secteurs, comme l'industrie manufacturière, l'industrie pharmaceutique et de santé, disposent de propriétés web internes sur lesquelles la chaîne logistique et les autres partenaires commerciaux s'appuient pour leurs opérations métier courantes. Ce sont des cibles pour les cyber-attaquants sophistiqués d'aujourd'hui.

Les attaques d’épuisement d’ordinateurs de crâne HTTP se concentrent sur le site Web

Quelles sont les conséquences d’une attaque DDoS réussie ?

L'indisponibilité d'un site web ou d'une application à destination du public peut provoquer la colère des clients, une perte de revenus et porter atteinte à l'image de marque. Lorsque les applications critiques deviennent indisponibles, les opérations et la productivité sont paralysées. Les sites web internes sur lesquels les partenaires s'appuient impliquent des perturbations de la chaîne d'approvisionnement et de la production.

Une campagne DDoS réussie signifie également que votre entreprise se rend vulnérable à d'autres attaques. Vous pouvez vous attendre à ce que les attaques continuent jusqu'à ce que des défenses contre les attaques par déni de service distribué plus robustes soient déployées.

L’inondation SVN attaque les flèches vertes et grises en se concentrant sur les appareils

Quelles sont vos options de protection en matière d’attaques par DDoS ?

Compte tenu de la nature très médiatisée des attaques DDoS et de leurs conséquences potentiellement dévastatrices, de nombreux fournisseurs de sécurité ont soudainement commencé à proposer des solutions de protection contre les attaques par déni de service distribué. Compte tenu de l'importance de votre décision, il est essentiel de comprendre les forces et les faiblesses des options qui s'offrent à vous.

Les signes d’une attaque de lecture lente (Slow Read Attack) flèches entrelacées venant de gauche

Solutions d'infrastructure existantes

(Pare-feu, systèmes de détection/protection contre les intrusions, contrôleurs de distribution d'applications/équilibreurs de charge)

Les appareils IPS, les pare-feux et les autres produits de sécurité sont des éléments essentiels d’une stratégie de défense par couches, mais ils sont conçus pour résoudre des problèmes de sécurité fondamentalement différents de systèmes et produits de détection et d’atténuation des attaques DDoS. Les appareils IPS, par exemple, bloquent les tentatives d’intrusion qui entraînent le vol de données. Parallèlement, un pare-feu agit en tant que responsable de la mise en application des règles pour empêcher tout accès non autorisé aux données. Bien que ces produits de sécurité traitent efficacement de « l'intégrité et de la confidentialité du réseau », ils ne permettent pas de résoudre un problème fondamental lié aux attaques DDoS : la « disponibilité du réseau ». De plus, les dispositifs IPS et les pare-feu sont des solutions en ligne à état dynamique, ce qui signifie qu'ils sont vulnérables aux attaques DDoS et deviennent souvent des cibles eux-mêmes.

Tout comme les IDS/IPS et les pare-feux, les ADC et les répartiteurs de charge n’ont pas de visibilité de trafic réseau plus large ni de renseignements sur les menaces intégrés, et ce sont également des dispositifs à états vulnérables aux attaques d’épuisement d’état. L'augmentation des menaces volumétriques et des attaques combinées au niveau de l'état, fait des ADC et des répartiteurs de charge une solution limitée et partielle pour les clients nécessitant une protection DDoS de pointe.

Temporisateur du réseau CDN de post-attaque lente

Réseaux de diffusion de contenu (CDN)

La vérité est qu'un CDN s'attaque aux symptômes d'une attaque DDoS mais absorbe simplement ces gros volumes de données. Il laisse passer toute les informations à l'intérieur et à l'extérieur du réseau. Tous les visiteurs sont les bienvenus. Il y a trois mises en garde. La première est qu’il doit y avoir une bande passante disponible pour absorber ce trafic à haut volume, et que certaines de ces attaques basées sur des volumes dépassent 300 Gb/s, et il y a un prix pour toute cette capacité. Deuxièmement, il existe des moyens de contourner le CDN. Toutes les pages web ou tous les actifs n'utilisent pas le CDN. Troisièmement, un CDN ne peut pas protéger contre une attaque basée sur une application. Alors, laissez le CDN faire ce qu’il était censé faire.

Pare-feux d’application Web protégeant contre les attaques

Pare-feu d’application Web (Web Application Firewall - WAF)

Un WAF est un dispositif de traitement de paquets d’état conçu pour arrêter les attaques d’applications basées sur le Web et n’arrête donc pas tous les types d’attaque DDos tels que les attaques d’épuisement par l’état TCP. Toute attaque de réflexion ou d’amplification d’une attaque d’inondation à l’aide de nombreuses sources submergerait le WAF et rendrait l’ensemble de la solution inutile. En bref, ces deux technologies sont complémentaires dans leur utilisation pour protéger les organisations contre les attaques, mais un WAF ne protègera pas les vecteurs extensifs des attaques DDos.

Quelle est l’approche de NETSCOUT concernant la protection contre les attaques par déni de service distribué (DDoS) ?

La solution Arbor DDoS de NETSCOUT protège les réseaux les plus importants et les plus exigeants du monde contre les attaques par déni de service (DDoS) depuis plus de dix ans. Nous croyons fermement que le meilleur moyen de protéger vos ressources contre les attaques par déni de service modernes consiste à déployer des solutions d’atténuation des attaques DDoS sur plusieurs niveaux conçues sur mesure.

Seule une défense multicouche étroitement intégrée peut vous aider à protéger efficacement votre organisation contre le spectre complet des attaques par déni de service.

Les clients NETSCOUT bénéficient d’un avantage concurrentiel considérable en disposant à la fois d'une vue détaillée de leur propre réseau, via nos produits, combinée à une vision d’ensemble du trafic Internet mondial, grâce à NETSCOUT Cyber Threat Horizon, une interface Threat Intelligence ATLAS et carte de visualisation des attaques par déni de service distribué (DDoS).