Développement web

Attaque DDoS : Tout ce que vous devez savoir pour vous en protéger

By Steven, on 26 January, 2024, updated on 15 January, 2024 - 9 min read

Sites web inaccessibles, messageries submergées, serveurs saturés… Les attaques DDoS peuvent paralyser en un clic vos activités les plus essentielles.

Mais que cachent réellement ces trois lettres ? En quoi ces attaques consistent-elles réellement ? Dans cet article, Debugbar va lever le voile sur les attaques DDoS afin de vous permettre de comprendre en détail comment elles fonctionnent et comment vous en protéger. Prêt à percer tous les secrets des pirates 2.0 ? C’est parti !

Qu’est-ce qu’une attaque DDoS ?

Une attaque DDoS signifie “Distributed Denial of Service“, que l’on peut traduire par “déni de service distribué“.

Le principe est simple : il s’agit d’une attaque informatique qui a pour but de rendre un service, un site ou une application inaccessible.

Concrètement, les pirates vont envoyer des requêtes en masse vers le serveur, afin de surcharger complètement sa bande passante ou épuiser ses ressources.

Résultat : le serveur est complètement submergé et n’est plus en mesure de répondre aux demandes légitimes des utilisateurs. Le site devient alors inaccessible ou extrêmement lent.

Mais quel est le but de ce type d’attaque au juste ? C’est ce que nous allons voir !

hacking screen

Quel est le but d’une attaque DDoS ?

Le but principal d’une attaque par déni de service distribué (DDoS) est de rendre un service ou un site indisponible. Oui, d’accord… Mais, à ce stade là, si on est pas expert en la matière on ne comprend pas vraiment à quoi ça sert de faire ça…

Hélas, les pirates, eux, le savent ! Et ils se serviront de ces attaques pour :

  • Faire du chantage à une entreprise en menaçant de rendre son site inaccessible
  • Mener des actions activistes en vue de défendre une cause
  • Bloquer le site d’un concurrent pendant une période stratégique (journée de soldes par exemple)
  • etc.

Vous voyez donc que ce type d’attaque peut s’avérer bien plus désastreuse qu’il y paraît. Dès lors, il est important de bien les comprendre pour pouvoir s’en prémunir. Alors voyons tout de suite comment elles fonctionnent.

Comment fonctionne une attaque DDoS ?

Le fonctionnement d’une attaque DDoS est assez simple :

  1. Les pirates vont d’abord infecter des milliers voire des millions d’appareils connectés à Internet (ordinateurs, smartphones, objets connectés) à l’aide de malware.
  2. Les appareils infectés forment alors un “botnet”, un réseau d’appareils zombies contrôlés à distance par les pirates.
  3. À l’aide du botnet, les hackers vont coordonner l’envoi massif de requêtes vers la cible, saturant instantanément sa bande passante ou ses ressources.
  4. Le déluge de requêtes va ainsi empêcher les utilisateurs d’accéder normalement au site ou service visé. La cible est mise hors service.

Il s’agit donc d’un manège bien rodé. Mais attention, celui-ci peut prendre plusieurs formes.

Quels sont les différents types d’attaques DDoS ?

Il existe trois grandes catégories d’attaques DDoS :

  • Les attaques volumétriques
  • Les attaques par saturation
  • Les attaques applicatives
worried man cyber attack

1. Les attaques volumétriques

Une attaque DDoS qui veut bloquer un site internet va essayer de saturer sa connexion internet, comme quand on bouche un tuyau d’arrosage avec son pouce.

Pour cela, les pirates vont envoyer massivement des requêtes vers le site ciblé, pour consommer toute sa bande passante.

  • Ils pourront notamment utiliser des failles dans le système des noms de domaine (DNS) :
  • Ils vont usurper l’adresse IP du site visé et envoyer de fausses demandes aux serveurs DNS.
  • En réponse, les serveurs vont renvoyer d’énormes paquets de données vers le site ciblé, ce qui va le saturer.
  • Une autre technique utilisée consiste à envoyer en très grande quantité des petits paquets de données non nécessaires, appelés paquets UDP. Comme des milliers de petits colis Amazon livrés chez vous sans que vous les ayez commandés. Ces paquets vont saturer la connexion.
  • Enfin, les pirates peuvent aussi exploiter des failles dans le système qui permet aux ordinateurs de communiquer entre eux sur internet. Ils vont envoyer beaucoup de petits messages qui vont submerger le site web.

Au final, toutes ces attaques ont le même objectif : consommer toute la bande passante de la connexion internet du site visé, pour le rendre inaccessible.

C’est comme si des centaines de personnes voulaient passer en même temps par la même petite porte. Elle serait complètement bloquée.

2. Les attaques par saturation

Ici, l’objectif est d’épuiser les ressources du serveur web, comme la mémoire ou le processeur, pour le bloquer. Pour cela, les pirates vont exploiter des failles dans la façon dont les ordinateurs communiquent sur internet.

Ils pourront par exemple procéder :

  • Par SYN flood : Lorsqu’un ordinateur veut se connecter à un serveur web, il envoie une requête SYN (synchronize) pour initier la connexion. Le serveur répond par un SYN-ACK (synchronize-acknowledge) et l’ordinateur envoie un ACK pour confirmer. Dans une attaque SYN flood, les pirates vont envoyer des milliers de requêtes SYN par seconde, sans jamais envoyer le ACK final. Cela crée des connexions semi-ouvertes qui saturent les ressources du serveur.
  • Par ACK flood : Cela consiste à envoyer au serveur des paquets ACK sans qu’il y ait eu de requête SYN initiale. Cela perturbe le système de gestion des connexions du serveur.
  • Par Slowloris : Ici, les pirates ouvrent des milliers de connexions HTTP incomplètes vers le serveur web et les maintiennent ouvertes le plus longtemps possible en envoyant régulièrement de petites requêtes. Cela épuise les ressources du serveur.

Finalement, toutes ces techniques épuisent les ressources du serveur web pour le rendre inaccessible.

3. Les attaques applicatives

Ces attaques visent directement les serveurs d’applications et de bases de données. L’objectif est de monopoliser les ressources applicatives.

Pour cela, les pirates ont plusieurs techniques :

  • Ils peuvent saturer le serveur web en lui envoyant des millions de requêtes internet normales en même temps, comme si des milliers de personnes commandaient en même temps sur un site de e-commerce. Le serveur serait surchargé.
  • Ils peuvent aussi envoyer des requêtes internet très lentement, ce qui occupe le serveur continuellement. Pour représenter ce problème, il faut imaginer que c’est comme si une personne faisait sa commande très lentement, lettre par lettre, ça bloque le serveur qui ne peut plus s’occuper des autres clients.
  • Enfin, ils peuvent envoyer des requêtes erronées directement à la base de données derrière le site pour l’induire en erreur.

L’idée est, dans tous les cas, d’accaparer un maximum de ressources du serveur web et de la base de données pour tout bloquer.

Comme vous le voyez, ces attaques sont donc très vicieuses. Il est donc important d’être en mesure de les reconnaître lorsqu’elles se produisent.

unlocked hacker

Comment reconnaître une attaque DDoS ?

Identifier une attaque DDoS n’est pas toujours évident, car cela peut ressembler à un pic normal de trafic. Quelques signes doivent cependant vous alerter :

  • Votre site est inaccessible ou extrêmement lent à charger. C’est le signe principal d’une saturation des ressources du serveur.
  • Un trafic réseau anormalement élevé est observé par l’hébergeur du site. Un volume inhabituel de requêtes entrantes peut indiquer une attaque DDoS.
  • Un ralentissement ou une indisponibilité d’autres sites hébergés par le même serveur. Une attaque DDoS visant un site peut impacter les sites “voisins” sur le même serveur.
  • Une augmentation soudaine et massive du taux d’erreurs sur le serveur. Ces erreurs sont dues à l’incapacité du serveur à gérer l’afflux massif de requêtes.
  • Une indisponibilité partielle du site. Certains utilisateurs y accèdent alors que d’autres non. Cela indique une saturation localisée.
  • Une impossibilité d’accéder au site depuis certaines zones géographiques. L’attaque peut saturer certains axes réseau menant au site.

Si ce genre de problèmes persiste alors que votre connexion fonctionne normalement par ailleurs, il y a de fortes chances qu’une attaque informatique soit derrière tout ça.

Et ce type d’attaque peut toucher même les plus gros sites web :

  • En 2016, des sites comme Twitter, Paypal ou Netflix ont été rendus inaccessibles par ce type d’attaque.
  • En 2018, la plateforme de développeurs Github a été victime de la plus grosse attaque DDoS jamais enregistrée : 1,35 térabits de données par seconde !
  • En 2022, le Costa Rica a vu ses sites gouvernementaux paralysés par des cyberattaques en provenance de Russie.

Que faire lorsque l’on est victime d’une attaque DDoS ?

Lorsque vous êtes victime d’une attaque DDoS il faut agir vite et méthodiquement :

  1. Confirmez l’attaque et rassemblez des preuves
  2. Alertez votre hébergeur et/ou votre équipe IT
  3. Activez la protection DDoS existante
  4. Mettez en place des mesures d’urgence
  5. Analysez l’attaque
engineer it team

1. Confirmez l’attaque et rassembler des preuves

Avant toute chose, assurez-vous qu’il s’agit bien d’une attaque DDoS. Réunissez des captures d’écran et des données réseau pour identifier la source et le type d’attaque.

Pour ce faire vous pouvez notamment :

  • Utiliser des outils de monitoring réseau pour identifier un pic anormal de trafic entrant. Vous pouvez aussi utiliser des sites comme Pingdom pour tester la disponibilité de votre site web
  • Effectuer des captures d’écran montrant l’indisponibilité ou la lenteur de vos services
  • Mesurer et enregistrer la bande passante réseau entrante et sortante pour détecter des anomalies
  • Collecter les logs applicatifs indiquant un pic des erreurs serveur ou des temps de réponse

2. Alertez votre hébergeur et votre équipe IT

Informez immédiatement votre hébergeur web et votre service informatique qu’une attaque est en cours. Ils doivent déployer au plus vite des mesures d’urgence.

  • Contactez le support de votre hébergeur par téléphone pour signaler l’attaque DDoS et les preuves réunies. Demandez la mise en place d’un filtrage du trafic
  • Avertissez votre responsable informatique et votre équipe réseau par email et téléphone. Fournissez-leur vos relevés de données
  • Si vous utilisez un service anti-DDoS externe, prévenez également leur équipe de réponse aux incidents
  • En interne, informez vos collaborateurs qu’ils risquent de rencontrer des difficultés d’accès aux services

3. Activez les protections DDoS existantes

Si vous disposez d’une protection anti-DDoS, activez-la pour atténuer l’attaque. Vous pouvez par exemple :

  • Activer les fonctionnalités de votre pare-feu pour bloquer le trafic malveillant détecté.
  • Si vous avez un service anti-DDoS basé sur le cloud, basculer le trafic dessus pour le filtrer avant qu’il n’atteigne vos serveurs.
  • Mettre en place l’anycast routing si vous disposez de cette technologie pour distribuer la charge sur plusieurs serveurs.
  • Activer les règles de limitation de débit par adresse IP pour bloquer les IPs suspectes.
  • Augmenter les capacités de vos serveurs si possible pour absorber une partie du trafic surnuméraire.

4. Mettez en place des mesures d’urgence

Si l’attaque dépasse vos défenses habituelles, des mesures d’urgence doivent être prises rapidement :

  • Restreignez provisoirement l’accès à vos services aux seules IPs de confiance
  • Bloquez totalement certains protocoles exploits par l’attaque, quitte à diminuer temporairement les fonctionnalités
  • En dernier recours, pare-feu complet en ne laissant passer que le trafic vital le temps que l’attaque passe
  • Prévoyez une augmentation temporaire de votre bande passante pour absorber le surplus de trafic
  • Préparez la communication de crise en cas d’indisponibilité prolongée de certains services

5. Analysez l’attaque a posteriori

Une fois l’attaque terminée, il est indispensable d’analyser ce qui s’est passé pour éviter que cela se reproduise :

  • Récupérez l’ensemble des données réseau, serveurs et applicatives pour comprendre le déroulement de l’attaque
  • Identifiez les points de défaillance qui ont permis à l’attaque de saturer vos défenses
  • Estimez le coût total de l’attaque en termes financiers, matériels et d’image
  • Rédigez un rapport détaillé sur l’attaque et vos conclusions pour améliorer votre préparation future

Vous n’avez pas encore été victime d’une attaque DDoS ? Vous souhaitez vous prémunir contre ce genre d’incident ? Alors la suite va vous intéresser.

Comment se protéger efficacement contre ce type d’attaque ?

man servers

Pour se prémunir contre les attaques DDoS, il convient de mettre en place une stratégie de sécurité à plusieurs niveaux :

  1. Renforcer la sécurité du réseau
  2. Utiliser des services anti-DDoS
  3. Mettre régulièrement à jour votre site
  4. Vous assurer d’avoir suffisamment de ressources réseau

1. Renforcez la sécurité du réseau et des serveurs

La première ligne de défense consiste à renforcer la sécurité de son infrastructure réseau et systèmes. Pour cela, il est recommandé de :

  • Utiliser un pare-feu puissant et correctement configuré, capable de détecter les attaques DDoS et de bloquer les trafics malveillants
  • Mettre à jour régulièrement systèmes et applications pour éviter les vulnérabilités exploitables
  • Renforcer la sécurité du code des applications contre les injections SQL, XSS et autres failles

2. Ayez recours à des services anti-DDoS

Une autre mesure incontournable est de s’appuyer sur des services anti-DDoS spécialisés :

  • Ils filtrent le trafic en amont pour stopper les attaques avant qu’elles n’atteignent vos serveurs
  • Ils peuvent absorber de très gros volumes de trafic grâce à leur réseau de diffusion massif
  • Ils analysent en permanence le trafic pour détecter les schémas d’attaque

3. Mettre à jour votre site web

Les hackers profitent souvent des failles de sécurité dans les sites web pour lancer leurs attaques.

Il faut donc régulièrement mettre à jour votre site web, votre blog ou votre boutique en ligne pour corriger les failles. Comme quand vous installez les mises à jour de Windows sur votre ordinateur.

4. Assurez-vous de disposer de ressources réseau suffisantes

Il est aussi recommandé de :

  • Disposer d’une capacité de bande passante excédentaire pour absorber des pics soudains de trafic
  • Avoir un plan de continuité d’activité en cas d’attaque majeure

En appliquant ces 4 conseils, vous réduirez drastiquement le risque que votre site web soit bloqué et inaccessible à cause d’une cyberattaque.

Attaques DDoS : l’essentiel à retenir

En résumé, les attaques DDoS (Distributed Denial of Service) sont une menace grandissante pour les entreprises et services en ligne. Elles exploitent les failles des protocoles et serveurs pour saturer les réseaux par un afflux massif de requêtes et peuvent s’avérer pénalisantes à bien des égards. Une stratégie de défense sur plusieurs niveaux est donc indispensable pour s’en prémunir efficacement.

  • Différents types d’attaques par déni de service existent : volumétriques, par saturation ou applicatives
  • Savoir identifier les signes d’une attaque est crucial pour réagir rapidement
  • Il est nécessaire de confirmer l’attaque via des données réseau avant d’agir
  • Si vous êtes victime de ce type de cyberattaque, il faut alerter votre hébergeur et activer vos protections DDoS
  • Pour éviter de subir une attaque DDos, il faut renforcer la sécurité du réseau et utiliser une protection anti-DDoS

Steven