Démystifier les attaques par Déni de service, DDOS

Les motivations sont également variées : jeu ou simple satisfaction narcissique, manifestation virtuelle aux accents plus politiques ou cyber-guerre économique ou militaire. Les entreprises et organisations de toutes tailles utilisant une connexion internet, disposant d’un serveur web ou d’un réseau accessible de l’extérieur sont directement concernées par ce risque.

Les objectifs des attaques sont moins nombreux que leurs types ou motivations : bloquer l’accès à un service – pour perturber l’activité de la victime et provoquer des pertes financières immédiates – ou rendre inopérants des équipements (ou services) et/ou créer une diversion pour faciliter une intrusion.  Le plus important est de comprendre que les attaques par déni de service, quel que soit leur type, ne sont souvent qu’un volet d’une attaque structurée, visant en réalité à pénétrer sur le réseau de la cible pour voler des informations stratégiques : brevets, données personnelles, financières, etc.

Comment démystifier les attaques par Déni de service, DDOS

On peut regrouper ces attaques en cinq grandes familles, des plus volumétriques – mais également plus anciennes, moins élaborées – aux moins volumétriques – plus récentes et élaborées. La première est l’envoi massif de requêtes, utilisant une grande bande passante, que les outils traditionnels de défense peuvent repérer, sans toutefois toujours savoir comment ne bloquer qu’elles pour garantir la continuité du service.
La deuxième (reflective DoS attack) est similaire mais utilise un serveur de rebond pour attaquer, pendant que la troisième (outbound DDoS attack), utilise une machine compromise au sein même du réseau cible pour lancer un DoS et bloquer tout ou partie du réseau de la victime.

Les deux familles d’attaques restantes visent, elles, la couche applicative des serveurs cibles. Ce sont les plus dangereuses car conçues pour s’attaquer aux applications. Parfois spécifiques, elles n’envoient que très peu de données, ne génèrent pas de pic de bande passante (ainsi Apache killer, conçu pour faire tomber un serveur web avec un seul paquet). Masquées au sein des attaques volumétriques, elles sont d’autant plus dangereuses que leur trafic semble conforme.

C’est d’ailleurs pour cela que les systèmes traditionnels de défense, tels que pare-feu et IPS, ne peuvent lutter. Ils n’ont pas été conçus pour cela. Déjà impactés, quasiment systématiquement par les attaques volumétriques, ils ne voient tout simplement pas les attaques applicatives.

Le Gartner préconise d’ailleurs de déployer des équipements anti-DDoS en local, puis, éventuellement, de compléter avec une offre opérateur ou MSSP. En effet, seules des solutions dédiées sur le réseau de l’entreprise peuvent parer à l’ensemble des attaques, car elles analysent aussi bien le trafic que son impact sur les applications hébergées.

C’est donc directement devant le réseau qu’il faut installer ces équipements adaptés. Ils joueront le rôle de première ligne de défense, en rejetant tout trafic anormal (et uniquement celui-ci), avant qu’il n’accède au réseau, laissant les pare-feu, en particulier les « Next Generation », jouer pleinement leur rôle classique de contrôle des utilisateurs et des applications.

Illustration : « DDoS for Dummies », Corero Network Security.