Le DDoS est une technique de sabotage qui consiste à saturer les ressources d’un système pour le rendre indisponible. Au lieu d’une tentative d’intrusion, l’attaquant cherche uniquement à bloquer les accès légitimes aux services en submergeant la cible sous un trafic illégitime.
À RETENIR
Qu’est-ce qu’une attaque DDoS (Distributed Denial of Service) ?
- L’attaque provient de milliers de machines distinctes et rend le blocage d’une adresse IP source totalement inefficace.
- La saturation peut viser la bande passante du réseau, les ressources CPU du serveur, la mémoire vive ou les tables de connexion des pare-feu dans le but de provoquer un arrêt complet du service.
- Un DDoS ne vole pas de données, il bloque l’accès au service visant à paralyser une activité en ligne.
La multiplication des sources rend le filtrage impossible
Une attaque DDoS utilise un réseau de machines compromises (des botnet) pour envoyer simultanément une quantité massive de requêtes vers une cible. Le serveur visé tente de répondre à chaque demande, mais sa capacité de traitement est limitée par sa puissance de calcul et sa bande passante réseau. Très rapidement, la file d’attente sature et le système cesse de répondre aux utilisateurs légitimes.
La force du nombre pour saturer les ressources
Contrairement à une attaque DoS qui émane d’une seule machine, le DDoS répartit la charge sur des milliers de points d’origine. Si un administrateur tente de bannir les adresses IP sources, il se retrouve face à une liste mouvante et gigantesque. Le filtrage manuel devient caduc, car chaque seconde apporte de nouvelles adresses IP légitimes en apparence, mais participant à l’attaque.
Les différentes faiblesse des attaques DDoS
Les attaquants choisissent leur vecteur selon la faiblesse du système cible. Certains DDoS visent la couche réseau en inondant les routeurs de paquets. D’autres visent la couche applicative en simulant des connexions complexes qui consomment énormément de RAM ou de cycles CPU, puis si réussi le service devient indisponible.
La paralysie des services critiques comme levier de pression
Le DDoS est régulièrement utilisé pour des motifs de sabotage commercial ou de chantage. Une entreprise dont le chiffre d’affaires dépend de son site web devient vulnérable dès que l’accès est coupé. Les attaquants exigent alors une rançon pour stopper l’inondation de requêtes.
La protection contre le DDoS demande une infrastructure dédiée
Il est illusoire de penser contrer une attaque DDoS massive avec un simple pare-feu local. La saturation se produit avant même que le trafic n’atteigne vos équipements, directement au niveau de votre fournisseur d’accès ou de votre centre de données Pour contrer une DDoS, il faut des ressources abondantes sur tous les plans (RAM, Bande passante, CPU, etc..).
Dans d’autres cas, le DDoS sert de diversion. En saturant les équipes de sécurité avec une attaque massive, les malfaiteurs tentent de détourner l’attention d’une intrusion menée en parallèle sur un autre segment du réseau. Le chaos généré par l’indisponibilité des services masque les traces de l’exfiltration de données ou de l’installation de logiciels malveillants.
Quelle est la différence entre un DoS et un DDoS ?
Le DoS (Denial of Service) provient d’une source unique, ce qui le rend facile à bloquer à partir d’une IP. Le DDoS (Distributed Denial of Service) utilise des milliers de sources simultanément et rend le blocage par IP quasi.
Mon site est lent, est-ce forcément un DDoS ?
Pas du tout, une lenteur peut provenir d’une mauvaise configuration, d’une surcharge de base de données ou d’un problème matériel. Un DDoS se caractérise par une indisponibilité totale et soudaine accompagnée d’un pic de trafic anormalement élevé dans les logs réseau.
Comment savoir si je subis une attaque DDoS ?
L’examen des journaux de connexion révèle un nombre massif de requêtes identiques ou provenant de zones géographiques inhabituelles. L’utilisation d’outils de monitoring réseau permet de visualiser ce pic de trafic anormal en temps réel.
Continuer au niveau Débutant