Qu’est-ce qu’une attaque DDoS ?

Une attaque DDoS (Distributed Denial of Service) survient lorsqu’un serveur, un réseau ou un service doit refuser tout accès aux utilisateurs présents. Un hacker bloque le trafic, et aucun utilisateur légitime ne peut accéder aux données bloquées. Les attaques dites DDoS sont très puissantes, puisqu’elles se servent de différents ordinateurs infectés pour les transformer en robots qui seront dirigés à distance vers l’adresse IP d’un site. Tous ces appareils sont dirigés vers cette même adresse en même temps, ce qui provoque le plantage du service.

Ce type d’attaque peut être de longue durée et rester actif jusqu’à 24 heures. Tout type d’appareil peut être utilisé pour ce type de piratage, et votre ordinateur pourrait en faire partie sans que vous ne vous en rendiez compte, ce qui explique la difficulté à retracer ces attaques. Du fait qu’il s’agisse d’appareils occupés par un malware, formant ce que l’on appelle un botnet, il devient également très difficile de faire la différence entre le trafic malveillant et le trafic légitime.

Ces attaques peuvent cibler différentes couches de modèle OSI. Il peut s’agir de la couche réseau, pour les attaques Smurf, inondations ICMP et la fragmentation IP/ICMP. De la couche de transport qui touche le SYN, le TCP ou UDP. Ou encore d’attaques dirigées vers la couche d’application, pour des attaques chiffrées HTTP.

Les attaques DoS (Denial of Service) se différencient des attaques DDoS du fait qu’elles ne partent que d’un point de départ, tandis que les attaques DDoS viennent d’un grand nombre d’appareils et d’ordinateurs.

Les attaques DDoS peuvent être de différents types, et toucher différentes couches, comme nous le disions à l’instant.

1. Attaques de connexion TCP

Les attaques de connexion TCP sont aussi connues sous le nom de SYN flood. Elles se produisent par un mécanisme de poignée de main en trois temps (Three-ways handshake). Ce dernier est essentiel pour mettre en place une connexion. Les attaques de connexion se servent de ce mécanisme pour bloquer l’accès au site : la négociation entre l’hôte et le serveur ne peut pas se terminer, et le serveur ne peut accepter aucune autre requête tant qu’il est retenu de la sorte. En envoyant de multiples poignées de main, le serveur finit par planter.

2. Attaques volumétriques

Il s’agit du type d’attaque DDoS le plus courant. Cette attaque est relativement simple, puisque le hacker se contente d’occuper la totalité de la bande passante disponible, ce qui empêche la cible de rejoindre le site internet. Pour ce faire, les pirates se servent la plupart du temps de botnets, qu’ils dirigent selon leurs besoins.

3. Attaques par fragmentation

Comment l’attaque DDoS se produit-elle lors d’une attaque par fragmentation ? Le but est toujours le même, arriver à submerger le serveur. Cette fois, pour y parvenir, de faux paquets de données sont envoyés sur le protocole de transport TCP ou UDP. Ces faux paquets vont permettre de déformer le flux de données, ce qui perturbe le serveur et l’empêche de répondre aux requêtes.

Il s’agit là encore d’une sorte d’attaque qui a pour but de paralyser le serveur visé. Pour se faire, les pirates vont cibler les failles de sécurité des serveurs DNS (Domain Name System). Ils peuvent ensuite transformer les petites demandes en demandes de grande envergure, d’où le phénomène d’amplification, ce qui a pour effet d’inonder la bande passante. Les attaques d’amplification peuvent être de deux types, par réflexion DNS ou par réflexion CharGen. Découvrons plus en détail comment fonctionnent ces deux types d’attaques :

Le serveur DNS vous permet d’accéder aux sites sur lesquels vous souhaitez naviguer. Il exécute la recherche de l’adresse IP du domaine sur lequel vous souhaitez vous rendre, à la manière d’un véritable carnet d’adresses pour internet. L’attaque par réflexion DNS va copier l’adresse IP de la cible et envoyer de nombreuses requêtes au serveur DNS, pouvant de la sorte amplifier les réponses jusqu’à 70 fois leur taille originelle, ce qui a comme effet final la saturation du serveur de la victime.

CharGen est un ancien protocole de débogage ou de test, créé en 1983. Bien qu’il ne soit majoritairement plus utilisé aujourd’hui, de par son ancienneté, certaines imprimantes et autres appareils se servent encore de ce protocole, qui comprend pour autant de nombreuses failles de sécurité. La réflexion CharGen consiste à multiplier l’envoi de paquets de données, cachés sous l’IP de la personne ciblée vers tous les appareils fonctionnant par CharGen, ce qui inonde par la suite la victime de réponses UDP (User Datagram Protocol) et peut faire planter le site, allant parfois jusqu’à nécessiter son redémarrage.

Comme vous avez pu le voir, il existe un grand nombre d’attaques DDoS, souvent particulièrement performantes. Si la sécurité de nos connexions Internet et de nos appareils augmente, les technologies des hackers s’améliorent également, et les failles et les protocoles qu’ils utilisent sont aujourd’hui de plus en plus techniques et difficiles à tracer.

Preuve en est, une attaque DDoS menée pendant les années 90 durait en moyenne à peine 150 secondes. La plus grande attaque DDoS aujourd’hui recensée, l’attaque GitHub menée pendant l’année 2018, à quant à elle pu lancer 1,35 Tb de trafic par seconde vers le site ciblé. Cette attaque d’une durée de 8 minutes a pu paralyser temporairement le site ciblé.

Il faut savoir que les attaques DDoS sont reconnues comme étant illégales dans un grand nombre de pays. C’est notamment le cas aux Etats-Unis, où l’attaque DDoS peut être jugée comme un crime fédéral et causer une peine d’emprisonnement, mais aussi dans la plupart des pays européens, où une lourde peine de prison peut également faire office de sanction.

Pour cause, les attaques DDoS peuvent entraîner d’importants dégâts financiers. Au total, pour toutes les perturbations causées par ces attaques et les moyens employés pour les stopper, le coût d’une attaque pourrait s’élever à 50 000 dollars pour la victime. Il s’agit donc d’un coût important, qui devrait donner envie à de nombreuses personnes propriétaires de sites marchands d’utiliser une protection anti DDoS.

Si ce type d’attaque est fréquent, c’est également lié au fait qu’il s’agisse d’une activité très rentable pour les cybercriminels. Certains proposent des abonnements au mois, quand d’autres peuvent gagner des sommes importantes grâce à une attaque DDoS dirigée vers un site web important. C’est donc une pratique dont la fréquence ne tend pas à diminuer.

Comment savoir si on se fait DDoS et comment mettre en évidence cette attaque ? Est-il possible de les retracer, et de mettre en évidence les cybercriminels à leur origine ? Malheureusement, la plupart du temps, il est très difficile de retrouver la source de ces attaques. En effet, elles sont généralement lancées par des appareils piratés par milliers et répartis à travers le monde. De plus, les hackers font toujours leur possible pour augmenter leur couverture, ce qui les rend presque indétectables.

Lorsqu’une attaque DDoS est lancée sur votre serveur, il est souvent trop tard pour parvenir à l’arrêter. Néanmoins, il est important d’analyser le trafic de manière régulière, pour être en mesure de mettre en place des outils qui permettront de limiter le risque de subir de telles attaques. Grâce à ces données analysées, vous pourrez améliorer la cybersécurité de votre serveur de manière à éviter de futures attaques DDoS.

Il existe différentes solutions anti DDoS pouvant vous permettre de limiter le risque d’être la cible de telles attaques. Il peut s’agir de logiciels de surveillance de DDoS, de firewalls très efficaces pour améliorer la protection de certaines applications, ou encore de systèmes anti DDoS qui comprennent un logiciel et un hardware.

De manière générale, la plupart de ces mesures agissent de manière préventive. Elles permettent ainsi d’apporter une protection optimale aux serveurs, pour limiter le risque de subir des attaques en renforçant les systèmes de protection.

Pour autant, ces solutions sont souvent très onéreuses, et ne sont donc pas accessible à tous. Il existe néanmoins d’autres solutions moins coûteuses, qui ne seront certes pas aussi efficaces pour la mitigation des attaques, mais qui pourront tout de même aider à identifier une potentielle attaque DDoS pour être en mesure de réagir au plus vite.

Comme vous aurez pu le comprendre, les attaques de type DDoS sont principalement destinées à nuire aux plateformes plus importantes, dans le but de faire chuter les ventes ou encore de bloquer l’accès à une plateforme. Ceci, généralement dans le but de faire chanter le développeur ou la personne à qui appartient le site web. Cependant, vous pourriez vous aussi être victime d’une attaque DDoS, et plus particulièrement si vous avez l’habitude de jouer en ligne.

En effet, il s’agit d’une attaque de plus en plus courante chez les joueurs. Pour influencer la partie et perturber votre jeu, un adversaire peut déclencher une attaque DDoS de manière à faire planter votre partie. S’il ne s’agit pas d’une attaque à proprement parler, un DDoS peut tout de même être un évènement perturbant qu’il est préférable d’éviter, surtout lors des compétitions.

Bien qu’il ne soit pas possible de stopper une attaque dirigée vers le serveur du jeu, vous pouvez réduire le risque d’attaques vous visant personnellement en protégeant votre adresse IP. Pour ce faire, il est recommandé d’utiliser un VPN. Le VPN permet de masquer votre adresse IP d’origine en vous en attribuant une nouvelle, de manière à ce que le joueur qui souhaite vous nuire ne puisse pas vous atteindre.

Enfin, la présence d’une Protection Anti-menaces est un atout indéniable pour bloquer les logiciels malveillants susceptibles d’utiliser votre appareil comme bot dans le cadre d’une attaque DDoS.

Installez NordVPN sur vos appareils dès maintenant et surfez en toute sécurité !