Déni de service distribué ou DDoS a une longue histoire, et il est devenu complètement courant lorsque le groupe Anonymous a commencé ses opérations contre tout site Web contre Wikileaks. Jusque-là, le terme et ce qu’il signifiait n’étaient connus que des personnes connaissant Internet Security.
Déni de service distribué
Que sont les attaques DDOS
Je suis sûr que vous en connaissez tous le sens. Pour les débutants, ce terme est un déni de service «distribué», causé par le trop grand nombre de demandes adressées au serveur par rapport à ce qu'il peut gérer.
Lorsqu'il est impossible de traiter les demandes en temps réel en raison du trafic important envoyé intentionnellement par un certain nombre d'ordinateurs compromis, le serveur de site se bloque et cesse de répondre à toute autre demande émanant de différents clients. Le réseau des ordinateurs compromis est appelé BOTNET. Fondamentalement, tous les ordinateurs et les appliances intelligentes du réseau sont contrôlés par des pirates informatiques et les propriétaires de ces ordinateurs ne savent pas qu’ils ont été piratés.
Étant donné que les demandes sont nombreuses et proviennent d’endroits différents (les régions des ordinateurs piratés peuvent varier), on parle alors de «déni de service distribué» ou DDoS. Pour qu'un DDoS se produise, le nombre et l'intensité des tentatives de connexion doivent être supérieurs à ce que le serveur cible peut gérer. Si la bande passante est élevée, tout attaquant DDoS aura besoin de plus d’ordinateurs et de requêtes plus fréquentes pour mettre le serveur hors service.
POINTE: Google Project Shield offre une protection gratuite contre les attaques DDoS et certains sites Web.
Méthodes de DDoS populaires et outils d'attaque
Nous venons de discuter d'une des nombreuses méthodes DDoS décrites dans la section ci-dessus. On l'appelle déni distribué ”Car les lignes de communication ne sont pas ouvertes par un ou deux, mais par des centaines d’ordinateurs compromis. Un pirate informatique ayant accès à de nombreux ordinateurs peut à tout moment commencer à envoyer des requêtes au serveur qu’il souhaite supprimer. Puisqu'il ne s'agit pas d'un ou deux, mais de nombreux ordinateurs installés à travers la planète, il est «distribué». Le serveur ne peut plus répondre aux demandes entrantes et aux plantages.
Parmi les autres méthodes est la Méthode de poignée de main. Dans un scénario normal, votre ordinateur ouvre une ligne TCP avec le serveur. Le serveur répond et attend que vous complétiez la poignée de main. Une poignée de main est un ensemble d’actions entre votre ordinateur et votre serveur avant le début du transfert des données. En cas d’attaque, le pirate informatique ouvre TCP mais ne termine jamais la négociation - ce qui permet au serveur d’attendre. Un autre site web?!
Une méthode rapide de DDoS est la Méthode UDP. Il utilise des serveurs DNS (Domain Name Service) pour lancer une attaque DDoS. Pour les résolutions URL normales, vos ordinateurs utilisent le protocole UDP (User Datagram Protocol), car ils sont plus rapides que les paquets TCP standard. En bref, le protocole UDP n’est pas très fiable car il n’existe aucun moyen de vérifier les paquets perdus, etc. Mais il est utilisé partout où la vitesse est une préoccupation majeure. Même les sites de jeux en ligne utilisent UDP. Les pirates utilisent les faiblesses des paquets UDP pour créer un flot de messages sur un serveur. Ils peuvent créer de faux paquets qui semblent provenir du serveur ciblé. La requête enverrait de grandes quantités de données au serveur ciblé. Comme il existe plusieurs résolveurs DNS, il devient plus facile pour le pirate informatique de cibler un serveur qui met le site hors service. Dans ce cas également, le serveur ciblé reçoit plus de requêtes / réponses qu'il ne peut en gérer.
Il existe de nombreux outils tiers qui agissent comme un botnet si le pirate informatique ne possède pas beaucoup d'ordinateurs. Je me souviens de l’un des nombreux groupes de piratage informatique qui demandait à des personnes sur Twitter de saisir des données aléatoires dans un formulaire de page Web et de cliquer sur Envoyer. Je ne l'ai pas fait mais j'étais curieux de savoir comment cela fonctionnait. Probablement, il a également envoyé du spam répété aux serveurs jusqu'à ce que la saturation soit atteinte et que le serveur tombe en panne. Vous pouvez rechercher de tels outils sur Internet. Mais rappelez-vous que le piratage informatique est un crime et que nous ne soutenons aucun cybercrime. Ceci est juste pour votre information.
Après avoir parlé des méthodes d'attaques DDoS, voyons si nous pouvons éviter ou empêcher les attaques DDoS.
Lis: Qu'est-ce qu'un chapeau noir, un chapeau gris ou un hacker blanc?
Protection et prévention DDoS
Vous ne pouvez pas faire grand chose, mais vous pouvez quand même réduire les risques de DDoS en prenant certaines précautions. Une des méthodes les plus utilisées par de telles attaques consiste à encombrer la bande passante de votre serveur avec de fausses requêtes de réseaux de zombies. Acheter un peu plus de bande passante réduira voire empêchera les attaques par DDoS, mais cela peut être une méthode coûteuse. Plus de bande passante signifie payer plus d'argent à votre fournisseur d'hébergement.
Il est également bon d'utiliser une méthode de transfert de données distribué. Autrement dit, au lieu d’un seul serveur, vous avez différents centres de données qui répondent aux demandes en partie. Cela aurait été très coûteux par le passé, lorsque vous deviez acheter plus de serveurs. De nos jours, les centres de données peuvent être appliqués au cloud, ce qui réduit votre charge et la distribue depuis plusieurs serveurs au lieu d'un seul.
Vous pouvez même utiliser la mise en miroir en cas d'attaque. Un serveur miroir contient la copie la plus récente (statique) des éléments sur le serveur principal. Au lieu d'utiliser les serveurs d'origine, vous pouvez utiliser des miroirs afin que le trafic entrant puisse être détourné et ainsi permettre l'échec / la prévention d'un DDoS.
Pour fermer le serveur d'origine et commencer à utiliser des miroirs, vous devez disposer d'informations sur le trafic entrant et sortant sur le réseau.Utilisez un moniteur qui garde affiche le véritable état du trafic et, s’il déclenche une alarme, ferme le serveur principal et dévie le trafic vers des miroirs. Alternativement, si vous gardez un onglet sur le trafic, vous pouvez utiliser d'autres méthodes pour gérer le trafic, sans avoir à le fermer.
Vous pouvez également envisager d'utiliser des services tels que Sucuri Cloudproxy ou Cloudflare, car ils offrent une protection contre les attaques DDoS.
Voici quelques méthodes auxquelles je pourrais penser pour prévenir et réduire les attaques DDoS, en fonction de leur nature. Si vous avez déjà eu des expériences avec DDoS, partagez-les avec nous.
Lire aussi: Comment se préparer et faire face à une attaque DDoS.
