DOS ET DDOS
Qu’est-ce qu’une attaque par déni de service (DoS) ?[modifier | modifier le wikicode]
Une attaque (DoS) consiste à inonder délibérément un réseau de fausses requêtes dans le but de perturber , voir rendre inaccessible un service, comme un service WEB, un service de fichiers, le service de messagerie, ect... Si la plupart des attaques DoS n’entraînent pas de perte de données et sont généralement résolues sans versement de rançon, elles coûtent du temps, de l’argent et d’autres ressources à l’entreprise pour le rétablissement des activités stratégiques.
Déroulement d’une attaque DoS[modifier | modifier le wikicode]
Une attaque DoS consiste le plus souvent à inonder l’hôte ou le réseau ciblé de demandes de services illégitimes. Elle se caractérise par l’utilisation d’une fausse adresse IP qui empêche le serveur d’authentifier l’utilisateur. Le traitement de cette vague de fausses requêtes submerge le serveur, provoquant son ralentissement et parfois même son plantage, et empêche les utilisateurs légitimes d’y accéder. Pour qu’une attaque de ce type soit fructueuse, le cyberattaquant doit disposer de plus de bande passante que sa cible.
Types d’attaques DoS[modifier | modifier le wikicode]
Il existe 3 types d'attaques DDoS:
- Attaques basées sur le volume,
- Attaques de protocole, et
- Attaques de la couche application.
Voici les méthodes d'attaque DDoS:
- Débordement de mémoire tampon (buffer overflow) Le débordement ou dépassement de mémoire tampon est la forme la plus fréquente d’attaque DoS. Dans ce type d’exploit, le cyberadversaire dirige vers une adresse IP plus de trafic que le système n’est à même de traiter. La machine ciblée consomme alors toutes les mémoires tampons disponibles ou la totalité des régions de la mémoire de stockage qui conservent temporairement les données pendant leur transfert au sein du réseau. Un débordement de mémoire tampon se produit lorsque le volume de données dépasse la bande passante disponible, notamment l’espace disque, la mémoire ou le processeur, ce qui provoque un ralentissement des performances et le plantage du système. Attaques par inondation (flood attacks) Les attaques par inondation consistent à envoyer au système un volume de trafic impossible à gérer par le serveur, ce qui provoque son ralentissement et parfois son arrêt. Les attaques par inondation les plus fréquentes sont les suivantes : Les attaques par inondation ICMP, communément appelées attaques smurf ou ping, exploitent des terminaux réseau mal configurés. Dans ces attaques, les cyberadversaires déploient des paquets frauduleux, ou fausses adresses IP, qui envoient une commande ping à chaque terminal connecté au réseau ciblé sans attendre de réponse. La gestion par le réseau de cette augmentation du trafic provoque un ralentissement, voire l’arrêt, du système. Une attaque par inondation SYN consiste à envoyer une demande de connexion à un serveur, sans jamais établir cette connexion avec l’hôte. Ces demandes continuent d’inonder le système jusqu’à ce que tous les ports ouverts soient saturés, ce qui empêche les utilisateurs légitimes d’accéder au serveur.
- Inondation UDP
- SYN flood
- Ping de la mort
- Slowloris
- Amplification NTP
- Inondation HTTP
Quelle est la différence entre une attaque DoS et une attaque DDoS ?[modifier | modifier le wikicode]
Les attaques DDoS sont lancées à partir de plusieurs systèmes, tandis que les attaques par déni de service (DoS, denial-of-service) émanent d’un système unique. Les attaques DDoS sont plus rapides et plus difficiles à contrer que les attaques DoS. En effet, ces dernières sont plus faciles à bloquer dans la mesure où une seule machine malveillante doit être identifiée.
Pourquoi les attaques DDoS représentent-elles une menace grandissante ?[modifier | modifier le wikicode]
Les attaques DDoS se multiplient à la vitesse grand V. Malgré une baisse du nombre d’attaques DDoS en 2018 à la suite de la fermeture par le FBI des principaux sites de location d’attaques DDoS sur le Dark Web, ces attaques ont enregistré une hausse de 151 % au premier semestre 2020. Dans certains pays, les attaques DDoS représentent jusqu’à 25 % du trafic Internet total lors d’une attaque.
Quels sont les signes d’une attaque DDoS ?[modifier | modifier le wikicode]
Les victimes d’une attaque DDoS observent généralement un ralentissement de leur réseau, de leur site web ou de leur terminal, ou une absence de réponse.
Protection contre les attaques DDoS[modifier | modifier le wikicode]
L’atténuation et la neutralisation des attaques DDoS requièrent une approche pluridimensionnelle, car aucun outil ne peut garantir à lui seul une protection complète contre tous les types d’attaques DDoS. Voici quelques outils de base à ajouter à votre arsenal de sécurité :
Pare-feu d’application web (WAF, Web Application Firewall) : un pare-feu d’application web s’apparente à un point de contrôle pour les applications web dans le sens où il surveille les requêtes de trafic HTTP entrant et filtre le trafic malveillant. Lorsqu’une attaque DDoS de la couche application est détectée, les règles du WAF peuvent être rapidement modifiées pour limiter le débit des requêtes et bloquer le trafic malveillant en mettant à jour la liste de contrôle d’accès (ACL, Access Control List).
Solution de gestion des événements et des informations de sécurité (SIEM) : une solution SIEM est un outil qui procure une visibilité sur les activités malveillantes en extrayant des données dans les moindres recoins d’un environnement et en les regroupant au sein d’une interface unique centralisée, où elles sont utilisées pour caractériser les alertes, produire des rapports et appuyer la réponse à incident.
Réseaux de diffusion de contenus et répartiteurs de charge : les réseaux de diffusion de contenus (CDN, Content Delivery Networks) et les répartiteurs de charge (load balancers) peuvent être utilisés pour atténuer le risque de surcharge d’un serveur et les problèmes de performances/disponibilité subséquents en distribuant automatiquement les flux entrants de trafic sur plusieurs serveurs.
Comparaison des principaux outils DDoS[modifier | modifier le wikicode]
https://fre.myservername.com/8-best-ddos-attack-tools
Ressources :
