Qu’est-ce qu’une attaque DDOS et comment peut-elle faire planter un site Web ou un jeu?
Si vous avez été en ligne au cours des dernières années, vous avez probablement entendu parler de services forcés hors ligne lors d'une attaque DDoS. Sans avertissement, votre site Web ou jeu vidéo préféré n'est plus en ligne parce que quelqu'un ou quelque chose le «DDoSing».
Bien que le terme DDoS semble cryptique, il fait désormais partie du lexique Internet commun. Mais si vous ne savez toujours pas ce qu'est une attaque DDoS et comment une attaque DDoS peut planter un jeu vidéo, lisez la suite.
Qu'est-ce qu'une attaque DDoS?
DDoS signifie déni de service distribué, et c'est le nom donné à une attaque qui submerge un service de requêtes, le forçant hors ligne.
Lorsque vous entendez parler d'un site Web ou d'un jeu vidéo détruit par des pirates informatiques, cela signifie souvent qu'ils subissent une attaque DDoS. Les attaquants ciblent un site Web, un service ou un jeu vidéo spécifique et inondent les serveurs exécutés de demandes de données. Le nombre de requêtes peut rapidement submerger l'infrastructure du serveur hébergeant le service, le forçant hors ligne.
Une attaque DDoS est parfois appelée DDoSing.
Comment fonctionne une attaque DDoS?
Dans une attaque DDoS, les données ne doivent pas nécessairement être plusieurs fichiers volumineux demandés pour le téléchargement. En fait, c'est souvent le contraire, où des milliers de machines font toutes de petites requêtes de données simultanément. Bien que chaque demande individuelle soit petite, le nombre de demandes amplifie l'effet sur des milliers d'appareils.
Alors, qui contrôle des milliers d'ordinateurs qu'ils peuvent utiliser pour envoyer des demandes à un seul serveur?
Pour la plupart, les attaques DDoS proviennent de grands botnets , des groupes d'ordinateurs compromis sous le contrôle d'un attaquant. L'attaquant peut pointer la puissance de son botnet sur une cible, inondant le site Web ou les serveurs de jeux vidéo de requêtes, les mettant hors ligne.
Diriger un énorme volume de trafic vers la victime arrête tout trafic régulier accédant au site Web ou au jeu vidéo, provoquant un déni de service. Le fait que le trafic provienne de nombreuses sources signifie que l'attaque est distribuée, d'où l'attaque par déni de service distribué.
À tout moment, plusieurs attaques DDoS peuvent avoir lieu dans le monde. Vous êtes plus susceptible d'entendre parler d'eux lorsqu'ils mettent hors ligne un service majeur, mais vous pouvez utiliser la carte d'attaque numérique comme une approximation de ce qui se passe.
Comme pour la plupart des types de cyberattaques, il existe de nombreux types d'attaques DDoS. DDoS est le terme générique donné au style d'attaque, mais il existe de nombreuses options différentes pour les attaquants .
Attaque de couche d'application
Une attaque DDoS au niveau de l'application cible les demandes de sites Web, effectuant simultanément un nombre important de demandes de données. Par exemple, l'attaquant peut faire des milliers de requêtes pour télécharger un fichier spécifique, entraînant un ralentissement du serveur jusqu'à une exploration.
Ces demandes sont presque impossibles à distinguer des demandes des utilisateurs réguliers, ce qui rend difficile l'atténuation d'une attaque DDoS au niveau de l'application.
Les attaques DDoS de la couche application se concentrent principalement sur la perturbation du trafic HTTP. Un type d'attaque DDoS courant dans la couche d'application est le HTTP Flood, où un attaquant crée autant de requêtes HTTP aussi rapidement que possible. Pensez-y comme si vous appuyez sur le bouton d'actualisation de votre navigateur des milliers de fois, mais des milliers d'autres navigateurs s'actualisent également simultanément.
Attaque de protocole
Une attaque DDoS de protocole cible le réseau de la victime, ciblant des ressources serveur de nature différente. Par exemple, une attaque de protocole peut surcharger un pare-feu ou un équilibreur de charge, les obligeant à cesser de fonctionner.
Une attaque DDoS SYN Flood est un exemple utile. Lorsque vous faites une demande sur Internet, trois choses se produisent. Tout d'abord, la demande de données, connue sous le nom de SYN (abréviation de Synchronization). Deuxièmement, la réponse à la demande de données, connue sous le nom de ACK (abréviation de Acknowledgement). Enfin, le SYN-ACK, qui est essentiellement le demandeur confirmant que les données sont arrivées. Cela semble déroutant mais se déroule en un clin d'œil.
Le SYN Flood envoie essentiellement des tas de faux paquets SYN à partir de fausses adresses IP, ce qui signifie que l'ACK répond à une fausse adresse, qui à son tour ne répond jamais. La demande reste là pendant que d'autres s'accumulent, provoquant un déni de service.
Attaque volumétrique
Une attaque DDoS volumétrique peut fonctionner de manière similaire à une attaque de couche application, inondant le serveur cible de requêtes, mais avec un modificateur qui peut amplifier le nombre de requêtes simultanées.
L'amplification DNS est l'un des types d'attaque DDoS les plus courants et constitue un excellent exemple d'attaque volumétrique. Lorsque l'attaquant fait une requête au serveur, il inclut une adresse falsifiée, souvent l'adresse IP de la cible elle-même. Chaque requête revient à l'adresse IP cible, amplifiant le nombre de requêtes.
Pourquoi utiliser une attaque DDoS?
Il existe de nombreuses raisons pour lesquelles un attaquant choisira de DDoS une cible, comme la couverture d'un vecteur d'attaque différent ou pour causer un préjudice financier à la victime.
- Interruption de service: à l'origine du DDoS se trouve une interruption de service. Si vous inondez les serveurs de requêtes, les utilisateurs réguliers ne peuvent pas accéder au service. Dans certains cas, des attaques DDoS ont été utilisées pour mettre des concurrents hors ligne, forçant les utilisateurs du service à faire défection vers le concurrent en ligne.
- Hacktivisme et politique: certains groupes hacktivistes, tels que Anonymous, sont bien connus pour avoir utilisé des attaques DDoS pour mettre leurs cibles hors ligne pendant des périodes prolongées. Une attaque DDoS peut coûter considérablement à une entreprise ou à une autre organisation en termes de temps d'arrêt, de coûts de serveur, de frais de données, d'ingénieurs, etc. De même, mettre hors ligne des sites gouvernementaux à l'aide d'un DDoS peut forcer un gouvernement à agir ou est une manifestation de protestation.
- Couverture pour une attaque plus importante: l' activité DDoS peut en fait être une couverture pour un vecteur d'attaque différent, en exécutant des interférences pour garder une équipe de réponse informatique ou cyber occupée. En même temps, la véritable attaque a lieu ailleurs. Il y a eu plusieurs exemples d'entreprises criminelles utilisant cette technique de distraction DDoS pour commettre d'autres crimes.
- Mucking Around / Exploration / Testing: Parfois, un DDoS se produit parce que quelqu'un, quelque part, teste une nouvelle technique ou un nouveau script, et cela va mal (ou fonctionne parfaitement!).
Ce ne sont que quatre raisons pour lesquelles un attaquant pourrait DDoS un jeu vidéo ou un site Web. Il y a plus de raisons là-bas.
Une attaque DDoS est-elle illégale?
Oui, en un mot. Une attaque DDoS est illégale en vertu de la Computer Fraud and Abuse Act aux États-Unis, de la Computer Misuse Act au Royaume-Uni et est passible d'une peine maximale de 10 ans d'emprisonnement au Canada.
Les lois et les interprétations varient dans le monde entier, mais la plupart des pays dotés de politiques de cybersécurité et d'abus informatique qui fonctionnent définissent une attaque DDoS comme une activité illégale.
DDoS en tant que service
Vous avez entendu parler de Software-as-a-Service (SaaS) et peut-être d'Infrastructure-as-a-Service (IaaS), mais qu'en est-il de DDoSaaS? C'est vrai, les kits et plates-formes «Déni de service distribué en tant que service» sont disponibles sur les forums de piratage Web sombre.
Au lieu de prendre le temps de créer un botnet, un attaquant potentiel peut payer le propriétaire d'un botnet existant pour qu'il pointe son réseau vers une cible. Ces services portent généralement le nom de «stresseur», ce qui implique que vous pouvez les utiliser pour tester votre réseau contre un attaquant théorique.
Cependant, sans vérification des clients et aucune mesure prise pour garantir la propriété du serveur, ces plates-formes DDoSaaS sont sujettes à des abus.
Exemples d'attaques DDoS
En résumé, voici quelques exemples d'attaques DDoS de ces dernières années. Selon le rapport Cyber Threats & Trends de Neustar pour Q1 / Q2 2020 [PDF, inscription requise], le nombre d'attaques fournissant une charge de données soutenue de plus de 100 Gbps a augmenté de plus de 250% sur une période de 12 mois.
La liste suivante permet d'illustrer la taille variable entre les attaques DDoS et la façon dont cette taille a augmenté au cours des dernières années.
- Septembre 2016. Le botnet Mirai récemment découvert attaque le site Web du journaliste de sécurité Brian Krebs avec 620 Gbps, perturbant massivement son site Web mais échouant finalement en raison de la protection Akamai DDoS. Le botnet Mirai exploite les appareils de l'Internet des objets pour augmenter ses capacités.
- Septembre 2016. Le botnet Mirai attaque l'hébergeur français OVH, se renforçant à environ 1 Tbps.
- Octobre 2016. Une énorme attaque a détruit la plupart des services Internet sur la côte est des États-Unis. L'attaque visait le fournisseur DNS Dyn, ses services recevant un trafic estimé à 1,2 Tbit / s, fermant temporairement des sites Web tels que Airbnb, Amazon, Fox News, GitHub, Netflix, PayPal, Twitter, Visa et Xbox Live.
- Novembre 2016. Mirai frappe les FAI et les fournisseurs de services mobiles au Libéria, faisant tomber la plupart des canaux de communication dans tout le pays.
- Mars 2018. GitHub est frappé par le plus grand DDoS enregistré à l'époque, enregistrant quelque 1,35 Tbps de trafic soutenu.
- Mars 2018. La société de sécurité réseau Arbor Networks affirme que son trafic global ATLAS et son système de surveillance DDoS enregistrent 1,7 Tbps.
- Février 2020. Amazon Web Services (AWS) a été frappé par une attaque de 2,3 Tbps, bien qu'Amazon n'ait pas révélé la cible réelle de l'attaque DDoS.
Il y a eu beaucoup plus d'attaques DDoS en dehors de ces sept, et beaucoup d'autres se produiront – probablement en augmentant la capacité.
Les attaques DDoS ne s'arrêteront pas
Alors que les attaques DDoS continuent de détruire avec succès les serveurs de jeux vidéo, les sites Web et les services, les attaquants y verront une option viable.