Blog

Attaques DDoS : comment les éviter ?

Les attaques DDoS augmentent de 31% d’année en année. En France, 8 entreprises sur 10 sont touchées.

Contrairement à d’autres types de cyberattaques, les attaques DDoS ne tentent pas de violer votre périmètre de sécurité ou de subtiliser des données. Elles visent à rendre votre site web et vos serveurs indisponibles. Elles peuvent également servir d’écran de fumée pour d’autres activités malveillantes.

Les attaques DDoS peuvent être brèves ou répétées, avec un impact sur votre site web qui peut durer des jours, des semaines, voire des mois. Comment les éviter ? Avant de répondre à cette question, retour sur la définition de cette attaque.

Attaque DDoS, un envahissement de “zombies”

Attaque DDOS

DDoS est l’abréviation de Distributed Denial of Service (déni de service distribué). Cette attaque cherche à perturber un site web ou un réseau en les inondant de trafic.

Pour mieux comprendre comment cela fonctionne, imaginez-vous attendre l’appel d’un ami. Soudain, des milliers de numéros se mettent à vous appeler simultanément sans raison. Les chances de recevoir l’appel de votre ami diminuent considérablement… Par ailleurs, votre ligne téléphonique sera totalement saturée, et inutilisable, pendant tout ce temps.

Au niveau informatique, une attaque DDoS infiltre un serveur web, pour envoyer tellement de demandes pour servir une page, qu’il s’effondre sous la demande, ou d’une base de données qui reçoit un volume trop élevé de requêtes. Le résultat est que la bande passante Internet, le CPU et la capacité RAM disponibles sont dépassés. L’impact peut aller d’une gêne mineure due à la perturbation des services à la mise hors ligne de sites web, d’applications ou même d’entreprises entières.

Les attaques par déni de service se servent d’un logiciel malveillant pour créer un botnet, qu’on peut considérer comme une armée d’ordinateurs “zombies”. Cette armée est envoyée au front, en réseau, pour attaquer un site web ou un service en ligne.

Dans de nombreux cas, le propriétaire d’un PC « zombie » n’est pas conscient de l’infection par un logiciel malveillant. Il est lui-même victime du script qui va lancer l’attaque DDoS.

Il existe plusieurs types d’attaques DDoS classées dans 3 catégories principales :

Attaques volumétriques

Les attaques DDoS basées sur le volume restent les plus courantes. Les pirates utilisent un grand nombre d’ordinateurs et de connexions Internet (souvent répartis dans le monde entier) pour inonder un site web de trafic. L’objectif ? Obstruer la bande passante disponible.

Le trafic légitime ne peut donc pas passer, et les pirates parviennent à mettre le site hors service. Un exemple d’attaque basée sur le volume est l’inondation UDP (User Datagram Protocol). Le hacker envoie des paquets d’informations et de protocoles inconnus du réseau pour le déstabiliser et le faire tomber.

Attaques de protocole

Contrairement aux attaques basées sur le volume, les attaques par protocole visent à épuiser les ressources du serveur plutôt que la bande passante. Elles ciblent spécifiquement les intermédiaires entre le serveur et le site web, tels que les pare-feu et les répartiteurs de charge. Les hackers submergent les pages web et les ressources en effectuant de fausses requêtes de protocole, afin de consommer toutes les ressources disponibles.

Un exemple de ce type d’attaque est le Smurf DDoS ou attaque par rebond. Le réseau ciblé répond aux attaques en se ciblant lui-même, ce qui augmente sa surcharge.

Attaques L7 ou d’application

En général, les attaques L7 nécessitent moins de ressources que les deux précédentes, tout en étant les plus sophistiquées. Elles ciblent les vulnérabilités au sein d’applications (d’où leur nom) telles qu’Apache, Windows et OpenBSD.

Elles font tomber les serveurs en effectuant un grand nombre de requêtes qui semblent légitimes, au premier abord, en imitant le comportement du trafic des utilisateurs. Les attaques L7 cherchent à perturber des fonctions ou des caractéristiques spécifiques d’un site web, comme les transactions en ligne. Cependant, contrairement aux autres attaques, elles peuvent passer inaperçues.

Les attaques DDoS évoluent chaque jour. Une nouvelle tendance est celle des « attaques mixtes ». Les pirates lancent une attaque de protocole pour créer une distraction, puis une attaque L7. Ces types de menaces sont de plus en plus fréquentes, complexes et parfois difficiles à combattre.

Comment savoir si on subit une attaque DDoS ?

Une attaque DDOS

Une attaque par déni de service génère beaucoup de trafic vers votre site, ce qui crée une situation délicate. Comment savoir si votre site se porte bien ou si vous subissez actuellement une manœuvre des hackers ?

Vérifiez l’origine de votre trafic pour commencer. Si vous observez une augmentation subite du nombre de visiteurs, cherchez la cause : une campagne marketing, la citation de votre entreprise à la télévision, un emailing promotionnel, la publication d’un post sur les réseaux sociaux (par votre marque ou un influenceur), etc.

Dans le cas où aucune action marketing n’est en cours pour expliquer cette hausse soudaine, attendez quelques minutes. Si une panne surgit à cause d’un pic de trafic légitime, le délai est généralement court jusqu’à ce que le site soit à nouveau opérationnel.

Enfin, pour répondre pleinement à la question de comment savoir si on subit une attaque DDoS, sachez que plusieurs indices doivent vous mettre la puce à l’oreille :

  • Le site web est indisponible pendant plusieurs minutes, sans raison apparente.
  • L’accès au site web prend beaucoup de temps.
  • Une même adresse IP effectue énormément de requêtes en quelques secondes.
  • Votre serveur répond par une erreur 503 en raison d’une interruption de service.
  • Le TTL (time to live) d’une requête ping est dépassé.
  • Vous observez des problèmes de lenteur sur vos autres outils internes, connectés au même réseau que votre site web.

Comment contrer une attaque DDoS ?

En cybersécurité, il faut toujours prévenir que guérir. Cela est encore plus vrai dans le cas des attaques DDoS. Vous ne voulez pas voir votre site inaccessible pendant des heures ou des jours. Vous risquez de perdre du chiffre d’affaires…

Alors, comment contrer une attaque DDoS ? Voici quelques bonnes pratiques à adopter dès maintenant :

Mettre en place des solutions de prévention des attaques DDoS

Équipez votre réseau, vos applications et votre infrastructure informatique de stratégies de protection à plusieurs niveaux. Cela peut être des systèmes de gestion de la prévention qui combinent pare-feu, VPN, anti-spam, filtrage de contenu et autres couches de sécurité.

Leur objectif sera de surveiller les activités et identifier les incohérences du trafic constituant des symptômes d’attaques DDoS.

Utiliser un réseau de diffusion de contenu (CDN)

Un moyen moderne et efficace de faire face aux attaques par déni de service consiste à utiliser un réseau de diffusion de contenu (CDN). Puisque les attaques DDoS fonctionnent en surchargeant un serveur, les CDN peuvent aider en partageant la charge de manière égale sur un certain nombre de serveurs, géographiquement répartis et plus proches des utilisateurs.

Ainsi, si un serveur tombe en panne, d’autres restent opérationnels et prennent le relai.

Évaluer la vulnérabilité de votre réseau

A l’aide de votre responsable informatique, identifiez les faiblesses de vos réseaux pour pouvoir renforcer les failles et contrer une attaque DDoS avant qu’elle n’ait lieu.

Pour ce faire, effectuer l’inventaire de tous les dispositifs présents sur le réseau est nécessaire. C’est l’occasion de repérer ceux qui sont obsolètes ou inutiles, afin de les supprimer. Concernant ceux à conserver, précisez leur fonction, les informations système et les éventuelles vulnérabilités qui leur sont associées. Les mesures correctives vous apparaîtront d’elles-mêmes.

Cet audit de la vulnérabilité de votre réseau doit être effectué de manière régulière pour anticiper au mieux toutes les menaces de cybersécurité.

Passer au cloud

Il y a plusieurs avantages à migrer vos données vers le cloud. Les fournisseurs « cloud » offrent des niveaux élevés de cybersécurité, notamment des pare-feu et des logiciels de surveillance des menaces. Ce qui peut contribuer à protéger vos actifs et votre réseau contre les attaques DDoS.

Le cloud dispose également d’une bande passante plus large que la plupart des réseaux privés, lui permettant de supporter la pression des attaques par déni de service. De plus, les fournisseurs offrent une redondance de réseau, en dupliquant des copies de vos données, systèmes et équipements.

Si votre service est corrompu ou indisponible en raison d’une attaque DDoS, vous disposez toujours de versions sauvegardées de votre site web, de votre application et de vos outils.

Comment bloquer une attaque DDoS ?

Une attaque DDoS peut entraîner l’arrêt de votre site web, une réduction de votre classement dans les moteurs de recherche et évidemment une perte de vos données. Même avec des mesures de protection, le risque 0 n’existe pas.

Voici comment bloquer une attaque DDoS :

Surbudgétiser la bande passante

L’un des moyens rapides d’arrêter une attaque DDoS est d’élargir votre bande passante dès que vous remarquez une augmentation soudaine et inexplicable du volume de trafic sur votre site.

La plupart des hébergeurs web vous permettent d’élargir rapidement votre bande passante et supporter un pic de trafic supplémentaire. Cela vous permettra de gagner du temps le temps de trouver l’origine de l’attaque et de la contrer complètement.

Protéger le périmètre de votre réseau

Dans les premières minutes suivant une attaque DDoS, quelques mesures techniques vous aideront à atténuer les effets. Par exemple, vous pouvez :

  • Limiter le débit de votre routeur pour éviter que votre serveur web ne soit submergé.
  • Ajouter des filtres pour indiquer à votre routeur de supprimer les paquets provenant de sources d’attaque évidentes.
  • Temporiser les connexions à demi ouvertes de manière plus agressive.
  • Abandonner les paquets usurpés ou malformés.
  • Définir des seuils inférieurs d’élimination des inondations SYN, ICMP et UDP.

Contacter votre hébergeur

Selon la puissance de l’attaque DDoS, l’hébergeur peut déjà l’avoir détectée ou il peut même en être la cible.

Son centre de données dispose probablement de bandes passantes plus larges et de routeurs de plus grande capacité que ceux de votre entreprise. Son personnel dispose également d’expérience dans la gestion des cybermenaces. Alors n’hésitez pas à l’avertir dès que l’attaque commence.

L’hébergeur peut « bloquer le routage » de votre trafic pour empêcher les paquets d’atteindre votre site.

Notre astuce pour contrer les attaques DDoS

Après une attaque DDoS, analysez vos logs pour identifier les services ciblés, évaluer les dégâts et les modèles utilisés. Cela vous permettra de reconnaître vos points faibles pour renforcer votre protection. Déposez plainte auprès du commissariat de police et informez la CNIL s’il y a eu vol des données personnelles.

Afin de contrer et bloquer les attaques DDoS avant qu’elles surviennent, faites appel à un expert en cybersécurité en déposant une annonce sur Codeur.com. Il pourra vous aider à sécuriser au maximum votre réseau informatique et votre site web.