Types d'attaques DDoS

Au cours des deux dernières décennies, de nombreuses entreprises et gouvernements se sont de plus en plus préoccupés de la propagation de différents types d'attaques DDoS. Signalé pour la première fois en 1996, les attaques par déni de service distribué (DDoS) sont une gamme de cybermenaces dévastatrices et en constante évolution qui perturbent les réseaux électroniques en les inondant d'un trafic qu'ils ne peuvent pas gérer.

Les attaques DDoS peuvent être utilisées par les hacktivistes pour manifester leur protestation contre la censure d'Internet et d'autres initiatives controversées. Il ouvre également diverses voies aux pirates pour poursuivre des objectifs néfastes. La dernière tournure de l'épidémie DDoS est "Ransom DDoS", qui est une plate-forme qui permet aux pirates d'extorquer de l'argent pour les organisations en échange de l'arrêt d'une incursion à grande échelle.

Le DDoS est un phénomène complexe qui peut le rendre difficile à vaincre en raison de sa nature hétérogène et de ses nombreuses tactiques.

Il existe trois catégories fondamentales d'attaques DDoS qui constituent le cœur de cet écosystème :

Attaque DDoS volumétrique

Les attaques volumétriques constituent le type d'attaque DDoS le plus courant. Bien qu'ils produisent une grande quantité de trafic, dépassant parfois 100 Gbps, les pirates n'ont pas à en générer beaucoup. Cela fait des attaques volumétriques l'un des types d'attaques DDoS les plus simples, car vous pouvez utiliser une petite quantité de trafic d'attaque via une adresse IP falsifiée pour générer des gigabits.

Des attaques volumétriques basées sur des miroirs sont utilisées pour cibler les services. Ils envoient des demandes légitimes en utilisant des adresses IP falsifiées à un serveur DNS et NTP. Lorsque les serveurs DNS ou les serveurs NTP répondent, ils répondent aux requêtes légitimes. Il s'agit souvent de l'adresse IP usurpée. Dans un tel cas, l'attaque cible l'adresse URL usurpée, qui est ensuite bombardée dans le flux de données amplifié.

Attaque DDoS basée sur le protocole

Les attaques de protocole sont conçues pour exploiter une faiblesse des couches 3 et 4 des couches OSI. TCP Syn Flood est l'attaque de protocole la plus connue. Cela implique l'envoi d'une série de commandes TCP SYN à une cible, ce qui peut la submerger et la rendre insensible. En plus d'être une attaque contre les applications, la récente panne de Dyn incluait également le port d'inondation TCP Syn 53 des serveurs de Dyn. En fin de compte, les attaques de protocole visent à épuiser les ressources du serveur ou les ressources du pare-feu.

Attaque DDoS basée sur les applications

Les attaques DDoS contre les applications sont les plus difficiles à détecter et, dans certains cas, même à atténuer. Les attaques de couche application sont les attaques les plus sophistiquées et les plus furtives, car elles peuvent générer du trafic à faible débit avec une seule machine attaquante. Ces attaques sont difficiles à détecter à l'aide des systèmes de surveillance traditionnels basés sur les flux.

Les pirates qui utilisent des attaques de couche d'application ont une connaissance approfondie des protocoles et des applications impliqués. Le trafic d'attaque ciblant les couches applicatives est souvent légitime. Cela implique l'activation d'un processus back-end qui monopolise les ressources et les rend indisponibles, ce qui rend de telles attaques plus difficiles à prévenir.

Récemment, NS1, un fournisseur de services DNS basé sur le cloud, a subi une attaque DDoS contre son infrastructure DNS anycast. Certains des sites Web les plus connus, tels que Yelp, ont été touchés par l'attaque. NS1 a confirmé l'attaque et a déclaré qu'il s'agissait d'une combinaison d'attaques volumétriques et de couches applicatives comprenant des attaques par paquets malformés et des requêtes DNS directes malveillantes. Les attaquants ont attaqué l'infrastructure de NS1 et leur fournisseur d'hébergement, provoquant la panne de leur site Web.

Outre ces trois catégories mentionnées ci-dessus, les attaques DDoS sont classées en dizaines de sous-catégories qui relèvent de l'une des trois catégories principales et présentent des caractéristiques uniques.

Voici d'autres exemples d'attaques DDoS modernes :

Attaque DDoS par inondation SYN

Cette attaque exploite la poignée de main à trois voies de TCP et est utilisée pour établir toute connexion entre les clients, les hôtes et les serveurs utilisant le protocole TCP. Un client envoie normalement un message SYN (synchronisation) à l'hôte pour demander une connexion.

Une attaque par inondation SYN consiste à envoyer une multitude de messages à partir d'une adresse usurpée. Le résultat est que le serveur de réception ne peut pas traiter ou stocker autant de fichiers SYN et refuse le service aux clients.

Attaque DDoS terrestre

Pour effectuer une attaque de déni de réseau local (LAND), un acteur malveillant envoie un courrier SYN fabriqué dans lequel les adresses IP de destination et source sont les mêmes. Lorsque le serveur cible tente de répondre à ce message, il se crée des réponses récurrentes. Cela provoque un scénario d'erreur qui peut éventuellement conduire à l'incapacité de l'hôte cible à répondre.

Attaque DDoS par inondation SYN-ACK

Ce vecteur d'attaque exploite l'étape de communication TCP, où le serveur génère un paquet SYN-ACK pour accuser réception de la demande du client. Les escrocs inondent la RAM et le processeur du serveur cible avec une multitude de paquets SYNACK malveillants pour exécuter ces attaques DDoS.

ACK & PUSH ACK Flood Attaque DDoS

Une fois que la négociation à trois voies TCP a établi une connexion, les paquets ACK et PUSH ACK peuvent être envoyés dos à dos jusqu'à la fin de la session. Un serveur cible qui subit ces attaques DDoS ne peut pas identifier l'origine des paquets falsifiés et gaspille ainsi ses ressources de traitement en essayant de déterminer comment il doit les gérer.

Attaque DDoS par inondation ACK fragmentée

Ce type est une imitation de la technique ACK & PUSH ACK Flood. Ce sont de simples attaques DDoS qui inondent un réseau informatique cible d'un nombre limité de paquets ACK fragmentés. Chaque paquet ACK a une taille maximale de 1500 octets. C'est un problème courant pour les routeurs et autres équipements réseau d'essayer de réassembler ces paquets fragmentés. Les systèmes de prévention des intrusions (IPS) peuvent détecter les paquets fragmentés et les empêcher d'atteindre leurs pare-feu.

Spoofed Session Flood (Fake Session Attack)

Les cybercriminels peuvent utiliser de faux paquets SYN pour contourner les outils de protection du réseau. Ils soumettent également plusieurs paquets ACK et au moins un paquet RST ou FIN. Cela permet aux criminels de contourner les défenses qui se concentrent sur le trafic entrant et de ne pas renvoyer l'analyse du trafic.

Attaque par inondation UDP

Ces attaques DDoS exploitent plusieurs paquets UDP (User Datagram Protocol). Les connexions UDP n'ont pas de mécanisme d'établissement de liaison comme TCP, et les options de vérification d'adresse IP sont donc limitées. Le volume de trafic factice généré par cette exploitation dépasse la capacité maximale du serveur à traiter et répondre aux requêtes.

Attaque DDoS par inondation DNS

Il s'agit d'une variante d'UDP Flood, qui cible spécifiquement les serveurs DNS. Ce malfaiteur crée de faux paquets de requêtes DNS qui semblent légitimes et semblent provenir de nombreuses adresses IP différentes. DNS Flood est l'un des raids DDoS de déni de service les plus difficiles à détecter et à récupérer.

Attaque DDoS par inondation VoIP

Cette attaque DDoS est l'une des formes les plus répandues d'attaques DDoS, et elle cible un serveur Voice over Internet Protocol (VoIP). Une multitude de requêtes VoIP frauduleuses est envoyée depuis de nombreuses adresses IP pour drainer les ressources du serveur cible et le faire tomber.

Attaque DDoS par inondation NTP

Network Time Protocol (NTP), un protocole réseau qui existe depuis le début et est responsable de la synchronisation d'horloge entre les appareils électroniques, est la clé d'un autre vecteur d'attaque DDoS. L'objectif est de surcharger le réseau cible avec des paquets UDP en utilisant des serveurs NTP accessibles au public.

Attaque DDoS CHARGEN Flood

Semblable à NTP, le Character Generator Protocol, ou CHARGEN, est une ancienne version de NTP. Il a été développé dans les années 1980. Malgré cela, il est toujours utilisé sur certains appareils connectés comme les imprimantes et les photocopieurs. Cela implique l'envoi de petits paquets contenant l'adresse IP fabriquée d'un serveur victime à des appareils sur lesquels le protocole CHARGEN est activé. Les appareils connectés à Internet envoient des paquets UDP flood au serveur victime en réponse. Cela inonde le serveur de données redondantes.

Attaque DDoS par inondation SSDP

En exécutant des attaques DDoS basées sur la réflexion Simple Service Discovery Protocol (SSDP) sur des appareils en réseau exécutant des services Universal Plug and Play (UPnP), les malfaiteurs peuvent exploiter ces appareils. De petits paquets UDP, qui contiennent de fausses adresses IP, sont envoyés à plusieurs appareils compatibles UPnP par l'attaquant. Le serveur est submergé par ces demandes jusqu'à ce qu'il soit forcé de s'arrêter.

Attaque DDoS HTTP Flood

Dans ces types d'attaques DDoS, un attaquant envoie des requêtes GET/POST apparemment légitimes à un serveur ou à une application Web, siphonnant la plupart ou la totalité des ressources. Cette technique implique des botnets composés d'« ordinateurs zombies » qui ont été précédemment infectés par des logiciels malveillants.

Êtes-vous prêt à faire face à ces types d'attaques DDoS ? Avoir protection DDoS avancée pour votre site Web sans changer d'hébergeur maintenant.