TikTok Shop est généralement sûr à acheter, mais il est important d'être prudent lors de l'achat à partir du marché en ligne. TikTok Shop est un
Une attaque par déni de service distribué (DDoS) est une attaque qui vise à perturber le trafic normal d’un serveur ciblé. Pour cela, le serveur, le service ou le réseau est submergé par un flot de trafic Internet, ce qui entraîne un ralentissement ou même un blocage complet. Imaginez cela comme un embouteillage qui ralentit toutes les voitures ou peut même les arrêter. Au lieu de ralentir ou d’arrêter les voitures, une attaque DDoS ralentit ou arrête le trafic Web, ce qui entraîne le ralentissement ou le blocage complet d’un site Web ou d’une application.
Comment fonctionnent les attaques DDoS ?
Les ressources du réseau ne peuvent gérer qu’un nombre fini de requêtes, et les serveurs ont une bande passante limitée. Cela signifie que le niveau de service diminue chaque fois que le volume de trafic dépasse la limite de capacité.
Généralement, l’objectif final d’un pirate est d’entraver complètement le fonctionnement normal de la source Web. En outre, le pirate peut également exiger qu’un paiement soit effectué pour mettre fin à l’attaque. Une attaque peut également viser à discréditer ou à nuire à la réputation d’une entreprise.
Les attaques DDoS sont menées à l’aide de réseaux de machines, appelées « bots » (pour « robots »), reliés à Internet. Ces réseaux sont composés d’ordinateurs et d’autres appareils, tels que des appareils IoT (Internet des objets) qui sont infectés par des logiciels malveillants. Une collection de bots est appelée un botnet et, lorsqu’un botnet est créé, le pirate peut contrôler une attaque en envoyant à chaque bot des commandes à distance.
Lorsqu’un botnet cible un serveur ou un réseau, chaque bot envoie des requêtes à leur adresse IP, ce qui submerge le serveur ou le réseau et entraîne une attaque DDoS sur le trafic normal. Comme chaque bot est un appareil Internet légitime, il peut être difficile de distinguer le trafic d’attaque du trafic normal.
Types d’attaques DDoS
Bien que la majorité des attaques DDoS visent à submerger un appareil ou un réseau ciblé avec du trafic, il existe trois principaux types d’attaques et chaque type comprend également des sous-types.
1. Attaques basées sur le volume (volumétrique)
Une attaque volumétrique vise à dépasser la bande passante d’un réseau en envoyant beaucoup de trafic ou de demandes à la cible. Ces attaques visent à submerger la cible afin de ralentir ou d’arrêter complètement ses services. La taille des demandes atteint généralement des centaines de gigabits par seconde (Gbit/s). Récemment, des nouvelles attaques ont atteint plus d’un téraoctet par seconde (Tbit/s).
Les attaques volumétriques sont courantes, car elles exigent un moindre niveau technique pour produire un volume de demandes excédentaire. La plupart du temps, les pirates utilisent de simples tactiques d’amplification. Avec ce type de tactique, le trafic provient de différentes sources, comme des adresses IP ou des réseaux, ce qui rend l’atténuation manuelle des attaques volumétriques plus problématique.
Amplification DNS
L’amplification DNS est un sous-type d’attaque volumétrique. Dans ce type d’attaque volumétrique, les pirates utilisent les fonctionnalités des serveurs DNS ouverts. Une fois qu’il a pénétré, le pirate submerge le ou les serveurs cibles avec une quantité excessive de trafic, ce qui rend le serveur et son infrastructure environnante inaccessibles.
UDP Flood
Une attaque UDP Flood est un autre sous-type d’attaque volumétrique. Dans ce type d’attaque, le pirate envoie une immense quantité de paquets UDP (User Datagram Protocol) au serveur ciblé, afin de dépasser les capacités de l’appareil à traiter les demandes et à y répondre. Cela peut entraîner le blocage du pare-feu qui protège le serveur ciblé et un déni de service du trafic légitime.
2. Attaques protocolaires
Une attaque protocolaire utilise des demandes de connexion malveillantes qui tirent parti des interactions des protocoles pour tester, utiliser et épuiser la capacité des différentes ressources d’infrastructure réseau, y compris des serveurs et des pare-feu.
SYN Flood
Une attaque SYN Flood est un sous-type d’attaque protocolaire qui vise à épuiser complètement les ressources du serveur afin de le rendre indisponible pour le trafic légitime. Les pirates peuvent submerger tous les ports ouverts d’un serveur en envoyant fréquemment des paquets de demande de connexion initiale (SYN). En conséquence, l’appareil ciblé répond lentement au trafic légitime ou pas du tout.
Ping of death
Un autre sous-type d’attaque protocolaire est appelé « ping of death » (ping de la mort). Dans ce type d’attaque, le pirate envoie un grand paquet de données malveillantes au serveur ciblé en utilisant une simple demande ping. Ce qu’il envoie est nettement plus grand que ce que le serveur peut gérer et entraîne le plantage, la déstabilisation ou le blocage du serveur.
3. Attaques applicatives
L’objectif d’une attaque applicative est d’épuiser les ressources de la cible afin d’entraîner un déni de service. Ces attaques visent principalement la couche où les pages Web sont créées sur le serveur. Le coût de traitement d’une seule requête HTTP est faible du côté client, mais le coût de réponse du serveur cible peut être élevé. Cela est dû au fait que le serveur charge fréquemment plusieurs fichiers et requêtes de base de données pour générer une page Web. Les attaques applicatives sont difficiles à atténuer, car il est difficile de distinguer entre le trafic malveillant et le trafic légitime.
HTTP Flood
Une attaque HTTP Flood est un sous-type d’attaque applicative qui vise à submerger un serveur cible avec des demandes HTTP. Le déni de service se produit lorsque la cible est saturée de demandes et n’est plus en mesure de réagir au trafic légitime.
Attaques lentes et faibles (Low-and-slow)
Les attaques lentes et faibles (également appelées « attaques de faible intensité ») sont un autre sous-type d’attaques applicatives. Il s’agit d’une attaque sournoise sur le serveur ciblé qui envoie ce qui apparaît comme du trafic légitime à un rythme extrêmement lent, ce qui le rend difficile à distinguer du trafic normal et fait que ce type d’attaque passe fréquemment inaperçu pendant longtemps.
Identifier une attaque DDoS
Bien que les cybercriminels menacent parfois les cibles avant de lancer une attaque DDoS, ces attaques se produisent souvent sans avertissement. En outre, plusieurs heures peuvent s’écouler entre le moment où le personnel de sécurité détecte une attaque DDoS et le moment où il l’atténue. Cela peut entraîner de nombreuses heures de service ralenti ou le plantage d’un site Web ou d’une application et peut avoir un impact considérable sur les ventes du site et l’impression qu’il donne le site.
Voici quelques signes d’avertissement pouvant indiquer qu’une attaque DDoS est en cours.
- L’analyse des journaux révèle des pics de trafic inhabituels que vous ne pouvez pas identifier de manière plausible.
- Vous constatez ou commencez à recevoir des rapports de ralentissement du site provenant des clients. En outre, si votre réseau interne utilise la même connexion, les employés vont également commencer à remarquer des problèmes de lenteur.
- Votre serveur répond avec une erreur d’indisponibilité 503. Cette erreur disparaît normalement lorsque le volume de trafic diminue. Après un certain temps, si elle persiste, quelque chose ne va pas.
- Certaines adresses IP demandent à plusieurs reprises de nombreuses connexions dans un court laps de temps.
- Les utilisateurs internes signalent la lenteur de l’accès aux fichiers ou ne peuvent pas y accéder du tout.
- Votre système de messagerie déborde de spam.
Comment atténuer les attaques DDoS
La distinction entre le trafic malveillant et le trafic légitime est une préoccupation essentielle pour atténuer une attaque DDoS. Voici quelques moyens d’atténuer les attaques DDoS.
Créez un plan d’intervention en cas d’attaque DDoS
En vous préparant à une attaque DDoS avant qu’elle se produise, vous saurez exactement quoi faire lorsqu’elle a lieu. Votre plan d’intervention en cas d’attaque DDoS doit posséder une liste de vérification indiquant toutes les mesures à prendre, les personnes à joindre et les outils à utiliser. Votre plan d’intervention doit également indiquer les responsabilités de chaque membre de votre équipe. La répartition précoce des responsabilités permet à tous les membres de votre équipe de savoir quoi faire lorsqu’une attaque DDoS est identifiée. L’établissement d’un plan d’intervention pourrait atténuer une attaque DDoS avant que votre organisation subisse des dommages permanents.
Surveillez le trafic
Les attaques DDoS perturbent le trafic d’un serveur ciblé en submergeant le serveur avec un flot de trafic Internet. L’utilisation d’un outil de surveillance permet de suivre en permanence le trafic de votre serveur ou de votre réseau et de recevoir des alertes et des notifications chaque fois que le trafic atteint un certain seuil. Il vous aide non seulement à identifier les attaques DDoS dès le début, mais aussi à atténuer les dommages.
Limitation du volume
Comme les attaques DDoS utilisent des botnets pour submerger un serveur ciblé, la limitation du volume est utile pour limiter le nombre de demandes qu’un utilisateur ou un bot peut envoyer, en mesurant le temps écoulé entre chaque demande envoyée par chaque adresse IP. Lorsque trop de demandes sont envoyées dans un certain délai à partir d’une même adresse IP, l’outil de limitation de volume les bloque.