Découvrez le fonctionnement des attaques DDoS

 

Les attaques DDoS sont devenues de véritables fléaux pour les sites web. Simples et bon marché, ces attaques mettent régulièrement des sites hors services pendant plusieurs heures. CerberHost, notre cloud de très haute sécurité, vous protège contre ces attaques. Découvrez comment fonctionnent les DDoS.

DDoS : le contexte

Le principe d’une attaque DDoS est d’épuiser les ressources à disposition d’un serveur, celles liées au réseau en général. Elle peut aussi saturer le disque, la RAM ou les processeurs des machines visées.

Une attaque DDoS peut être de deux natures : les DDoS applicatives et les DDoS réseau. Leurs méthodes sont différentes, les moyens de les bloquer également. En règle général, lorsque vous entendez parler de DDoS il s’agit de DDoS réseau.

Depuis quelques années, le phénomène prend de l’ampleur. Les attaques sont plus nombreuses et les volumes de trafic plus massifs : elles peuvent atteindre des trafics de plusieurs centaines de gigabits par seconde. Tous les services sont menacés : emails, SSH, web, etc. Le plus souvent, elles ciblent le web.

On estime qu’une attaque DDoS coûte aux victimes de 7000 à 40 000 CHF par heure en moyenne, selon le rapport de Neustar. Le coût peut-être encore plus élevé pour des très grands sites.

Ces attaques sont une véritable méthode de nuisance en ligne, quasi intraçables. L’origine d’une DDoS est rarement connu et son auteur jamais poursuivi. Ces attaques peuvent servir à obtenir une rançon, à écraser la concurrence ou encore à bâillonner un média qui dérangerait un hacker.

D’où viennent les DDoS ?

Les attaques DDoS sont le plus souvent générées par des centaines, voire des dizaines de milliers de machines infestées par un virus ou malware.

Elles appartiennent à un “Botnet” (contraction anglaise de “robot” et “network” désignant un ensemble de “machines zombies” utilisée pour des usages malveillants, des spams par exemple) ou un “voluntary botnet” (un ensemble de “machines zombies” appartenant à des personnes qui ont choisi de rejoindre un botnet, c’est le cas des Anonymous avec L.O.I.C ou H.O.I.C – Low / High Orbit Ion Canon).

Parfois, les attaquants usurpent l’adresse IP d’une machine et génèrent une DDoS : il s’agit de l’IP spoofing. On appelle cette technique la DrDOS (Distributed Reflexion Denial of Services).

L’avenir des DDoS

La progression de ces attaques, dont la fréquence et le volume augmentent, est préoccupante. Le site du sénat Américain a été bloqué il y a quelques années par les Anonymous, avec 20 Mb/s. Des attaques dépassant les 100 Gb/s, voire 400 Gb/s ont ciblé à plusieurs reprises Cloudflare. Les attaques DDoS sont devenues des réflexes pour les hackers. Quelques dollars suffisent pour commanditer une attaque. Depuis l’ordinateur qui me sert à écrire cet article, je pourrais envoyer en quelques instants un DDoS de plusieurs Gb/s à l’aide d’un simple script Perl.

Ce type d’action peut être puni d’ue amende allant jusqu’à 75 000 CHF et d’une peine de prison de 3 ans. Cependant, on ne parvient jamais à remonter jusqu’aux attaquants. Par ailleurs, elles nécessitent peu de moyens et de connaissances techniques, et sont d’une efficacité redoutable. Le nombre de hackers pratiquant ce type d’attaque est donc conséquent et il risque de continuer à grandir.

 

Les réponses de CerberHost aux (D)DoS

Notre solution de Cloud hyper sécurisé, CerberHost, a recours à quatre techniques pour bloquer les DDoS et les DoS de toutes natures (applicative et de réseau) :

  • Triple fournisseur télécom : au lieu d’avoir un opérateur unique, qui pourrait être bloqué par une attaque contre nous ou un autre de ses clients, nous en avons trois.
  • Réserve proxy : nous limitons le nombre de requêtes par seconde pour bloquer les trames types des DoS applicatifs ou les éliminons lorsque nous sommes sûrs qu’il s’agit d’une attaque. Autrement dit, les DoS et DDoS applicatives sont bloquées au niveau de nos reverse proxies Nginx.
  • Réglages noyau : de nombreux patchs composent et compilent sur-mesure nos noyaux Linux. Ces derniers évitent certaines des attaques visant à épuiser les ressources en appliquant certains réglages aux piles TCP/IP et d’autres services de nos machines.