La cybercriminalité a récemment augmenté, avec des attaques de ransomware (WannaCry, NotPetya), des bases de données piratées (Equifax, Sony, Yahoo) et des logiciels de backdoors (Floxif / CCleaner, ShadowPad / NetSarang). Bien que l'ampleur et la portée de ces attaques soient étonnantes, le fait est que les cybercriminels ne se limitent pas à voler vos données, votre identité ou votre argent. La portée des crimes dans le monde virtuel est aussi grande que dans le monde réel, si ce n'est plus. Les attaques par déni de service (DDoS), ou déni de service distribué, ont récemment divisé la communauté des hackers au chapeau blanc au fil des ans. Alors que Cloudflare, le fournisseur de services CDN, annonce désormais la protection gratuite contre la DDoS pour tous ses clients, le débat séculaire entre DDoS «éthiques» et DDoS malveillants a repris son envol. Les deux parties ont pleinement soutenu leurs arguments respectifs. Alors que le débat sur les attaques par DDoS fait rage sur Internet, jetons un regard détaillé sur le phénomène aujourd'hui afin d'essayer non seulement d'en savoir plus à ce sujet, mais également de comprendre pourquoi les hacktivistes et les groupes de défense de la liberté d'expression continuent d'échouer. leurs efforts pour parvenir à un consensus à ce sujet en premier lieu:
Qu'est-ce que le DDoS et comment ça marche?
En termes simples, une attaque par déni de service distribué (DDoS) est une tentative de perturbation artificielle du fonctionnement normal d'un site ou d'un réseau en inondant le serveur cible avec une quantité de trafic accablante qui ralentit ou bloque complètement le réseau. . Ceci est réalisé en utilisant plusieurs systèmes compromis dans le cadre de ce qu'on appelle un "réseau de bot" qui peut inclure n'importe quel périphérique connecté au réseau, y compris, mais sans s'y limiter, les ordinateurs, les smartphones et les périphériques IoT. Les hackers Black Hat ainsi que les hacktivistes utilisent divers outils sophistiqués pour mener ces attaques non seulement en inondant les serveurs cibles d'un volume de trafic démesuré, mais également en utilisant des techniques d'infiltration plus subtiles et difficiles à détecter qui ciblent une sécurité réseau critique. des infrastructures, telles que des pare-feu et IDS / IPS (système de détection / prévention des intrusions).
Qu'est-ce que le DoS et en quoi diffère-t-il du DDoS?
Les attaques par déni de service (DoS) sont exactement ce que cela ressemble, dans la mesure où elles empêchent des utilisateurs légitimes d'accéder à des serveurs, systèmes ou autres ressources réseau ciblés . Comme dans le cas des attaques DDoS, une personne ou des personnes menant une telle attaque inonderaient généralement l'infrastructure ciblée d'un nombre excessivement élevé de demandes superflues afin de surcharger ses ressources, rendant ainsi difficile, voire impossible, le réseau affecté. système pour répondre aux demandes authentiques de service. Pour un utilisateur final, les effets du DoS ne diffèrent pas totalement de ceux du DDoS, mais contrairement au premier qui utilise généralement une seule machine et une connexion Internet singulière pour mener l'attaque, ce dernier utilise plusieurs périphériques compromis pour inonder la cible visée., ce qui rend incroyablement difficile à détecter et à prévenir.
Quels sont les différents types d'attaques DDoS?
Comme mentionné précédemment, les cybercriminels et les hacktivistes utilisent une myriade de vecteurs d'attaque pour mener leurs attaques DDoS, mais la grande majorité de ces attaques relèvent pour la plupart de trois grandes catégories: attaques de bande passante ou volumétriques, attaques de protocole ou Attaques par épuisement d'état, et Attaques de couche d'application ou Attaques de couche 7. Toutes ces attaques ciblent divers composants d’une connexion réseau composée de 7 couches différentes, comme le montre l’image ci-dessous:
1. Attaques volumétriques ou attaques de bande passante
On pense que ces types d’attaques constituent plus de la moitié de toutes les attaques DDoS menées chaque année dans le monde. Il existe différents types d’attaques volumétriques, le plus courant étant UDP ( User Datagram Protocol ), un attaquant envoyant un grand nombre de paquets UDP à des ports aléatoires d’un hôte distant, obligeant le serveur à vérifier et à répondre à -existantes, ce qui le rend insensible au trafic légitime. Des résultats similaires peuvent également être obtenus en inondant un serveur victime de requêtes d'écho ICMP (Internet Control Message Protocol) provenant d'adresses multiples souvent spoofées. Le serveur cible tente de répondre de bonne foi à chacune de ces demandes fictives, finissant par devenir surchargé et incapable de répondre aux demandes d'écho ICMP authentiques. Les attaques volumétriques sont mesurées en bits par seconde (Bps).
2. Attaques protocolaires ou attaques d'épuisement de l'Etat
Les attaques de protocole, également appelées attaques par épuisement d’état, utilisent la capacité de la table d’état de connexion des serveurs d’applications Web, mais aussi d’autres composants d’infrastructure, y compris des ressources intermédiaires, telles que des équilibreurs de charge et des pare-feu. Ces types d'attaques sont nommés «attaques de protocole» car ils ciblent les faiblesses des couches 3 et 4 de la pile de protocoles pour atteindre leur objectif. Même les dispositifs commerciaux de pointe spécialement conçus pour maintenir l'état sur des millions de connexions peuvent être gravement affectés par les attaques de protocole. L'une des attaques de protocole les plus connues est le «flot de SYN» qui exploite le «mécanisme de négociation à trois voies» dans TCP. La façon dont cela fonctionne est que l’hôte envoie un flot de paquets TCP / SYN, souvent avec une adresse d’expéditeur falsifiée, afin de consommer suffisamment de ressources du serveur pour rendre presque impossible l’acheminement des requêtes légitimes. D'autres types d'attaques de protocole incluent Ping of Death, Smurf DDoS et les attaques par paquets fragmentés. Ces types d'attaques sont mesurés en paquets par seconde (Pps).
3. Attaques de couche d'application ou attaques de couche 7
Les attaques de la couche application, souvent appelées attaques de la couche 7 en référence à la 7e couche du mode OSI, ciblent la couche où les pages Web sont générées pour être livrées aux utilisateurs qui envoient les demandes HTTP. Parmi les différents types d’attaques de couche 7, on peut citer la fameuse attaque « Slowloris », l’attaquant envoyant un grand nombre de requêtes HTTP «lentement» à un serveur cible, mais sans jamais y répondre. L'attaquant continuera à envoyer des en-têtes supplémentaires à intervalles rapprochés, forçant ainsi le serveur à conserver une connexion ouverte pour ces requêtes HTTP sans fin, finissant par utiliser suffisamment de ressources pour que le système ne réponde plus aux requêtes valides. Une autre attaque populaire de la couche 7 est l’attaque HTTP Flood, où un grand nombre de requêtes HTTP, GET ou POST bidon inondent le serveur ciblé en peu de temps, ce qui entraîne un déni de service pour les utilisateurs légitimes. Étant donné que les attaques de la couche application incluent généralement l'envoi d'un nombre anormalement élevé de requêtes à un serveur cible, elles sont mesurées en requêtes par seconde (Rps).
Outre les attaques à un seul vecteur décrites ci-dessus, il existe également des attaques à plusieurs vecteurs qui ciblent simultanément les systèmes et les réseaux à partir de plusieurs directions différentes. Il est donc de plus en plus difficile pour les ingénieurs réseaux d'élaborer des stratégies complètes contre les attaques par DDoS. Un exemple d'attaque multi-vecteur de ce type se produit lorsqu'un attaquant associe l'amplification DNS, qui cible les couches 3 et 4, à HTTP Flood qui cible la couche 7.
Comment protéger votre réseau contre les attaques par DDoS
Étant donné que la plupart des attaques DDoS agissent en surchargeant le trafic sur un serveur ou un réseau cible, la première chose à faire pour limiter les attaques DDoS consiste à différencier le trafic authentique du trafic malveillant . Cependant, comme on pouvait s'y attendre, les choses ne sont pas si simples, étant donné la diversité, la complexité et le degré de sophistication de ces attaques. Ceci étant le cas, pour protéger votre réseau contre les attaques DDoS les plus récentes et les plus sophistiquées, les ingénieurs réseau doivent élaborer des stratégies bien conçues pour ne pas jeter le bébé avec l'eau du bain. Étant donné que les pirates s'efforceront de rendre leur trafic malveillant normal, les tentatives d'atténuation impliquant la limitation de tout le trafic limiteront le trafic honnête, tandis qu'une conception plus permissive permettra aux pirates de contourner plus facilement les contre-mesures. Cela étant, il faudra adopter une solution en couches afin de parvenir à la solution la plus efficace.
Cependant, avant de passer aux détails techniques, nous devons comprendre que puisque la plupart des attaques DDoS impliquent de couper les voies de communication d’une manière ou d’une autre, une des choses évidentes à faire est de vous protéger et que votre réseau est plus redondant: plus bande passante et plus de serveurs répartis sur plusieurs centres de données sur différentes géolocalisations, ce qui constitue également une assurance contre les catastrophes naturelles, etc.
Une autre chose importante à faire est de suivre certaines des meilleures pratiques du secteur en matière de serveurs DNS. L'élimination des résolveurs ouverts est l'une des premières étapes critiques de votre défense contre les attaques DDoS, car à quoi sert un site Web si personne ne peut résoudre votre nom de domaine en premier lieu? Cela étant, il faut regarder au-delà de la configuration de serveur à double DNS habituelle que la plupart des bureaux d'enregistrement de noms de domaine fournissent par défaut. De nombreuses entreprises, y compris la plupart des principaux fournisseurs de services CDN, offrent également une protection DNS améliorée par le biais de serveurs DNS redondants protégés par le même type d'équilibrage de charge que votre site Web et d'autres ressources.
Alors que la plupart des sites et des blogs externalisent leur hébergement à des tiers, certains choisissent de servir leurs propres données et de gérer leurs propres réseaux. Si vous appartenez à ce groupe, certaines des pratiques de base, mais critiques, du secteur que vous devez suivre consistent à mettre en place un pare-feu efficace et à bloquer ICMP si vous n'en avez pas besoin. Assurez-vous également que tous vos routeurs éliminent les paquets indésirables . Vous devez également contacter votre fournisseur d'accès pour vérifier s'il peut vous aider à bloquer le trafic souhaité. Les conditions varient d'un fournisseur de services Internet à un autre. Vous devez donc vous renseigner auprès de leurs centres d'exploitation réseau pour savoir s'ils offrent de tels services aux entreprises. En général, voici certaines des étapes que les fournisseurs de CDN, les FAI et les administrateurs de réseau utilisent souvent pour limiter les attaques DDoS:
Acheminement des trous noirs
Le Black Hole Routing, ou Blackholing, est l’un des moyens les plus efficaces d’atténuer une attaque par DDoS, mais il ne doit être mis en œuvre qu’après une analyse appropriée du trafic réseau et la création d’un critère de restriction strict, car sinon, il “noircirait” ou le trafic entrant sur une route nulle (blackhole), qu’il soit authentique ou malveillant. Il va techniquement contourner un DDoS, mais l'attaquant aura atteint son objectif de perturber le trafic réseau de toute façon.
Limitation de taux
Une autre méthode souvent utilisée pour limiter les attaques par DDoS est la «limitation de vitesse». Comme son nom l'indique, cela implique de limiter le nombre de demandes qu'un serveur acceptera dans un délai spécifié . Il est utile pour empêcher les scrapers Web de voler du contenu et pour limiter les tentatives de connexion par force brute, mais il doit être utilisé conjointement avec d'autres stratégies pour pouvoir gérer efficacement les attaques DDoS.
Pare-feu d'applications Web (WAF)
Bien que cela ne soit pas suffisant en soi, les proxys inversés et les WAF sont quelques-unes des premières étapes à franchir pour atténuer diverses menaces, pas seulement les attaques DDoS. Les WAF aident à protéger le réseau cible contre les attaques de couche 7 en filtrant les requêtes en fonction d'une série de règles permettant d'identifier les outils DDoS, mais il est également très efficace pour la protection des serveurs contre l'injection SQL, le script intersite et les demandes de falsification entre sites.
Anycast Network Diffusion
Les réseaux de diffusion de contenu (CDN) utilisent souvent les réseaux Anycast comme moyen efficace de limiter les attaques DDoS. Le système fonctionne en réacheminant tout le trafic destiné à un réseau sous-attaque vers une série de serveurs distribués situés à différents endroits, diffusant ainsi l’effet perturbateur d’une tentative d’attaque DDoS.
Comment Cloudflare propose-t-il de mettre fin définitivement aux attaques DDoS avec sa protection gratuite contre les attaques DDoS?
L'un des réseaux de diffusion de contenu les plus importants au monde, Cloudflare, a récemment annoncé son intention de protéger ses clients contre les attaques DDoS non seulement contre des attaques payantes, mais également contre ses clients gratuits, quelles que soient leur taille et leur ampleur . Comme prévu, l’annonce, faite plus tôt cette semaine, a suscité beaucoup d’engouement au sein du secteur, ainsi que dans les médias technologiques internationaux, qui sont généralement habitués aux CDN, y compris Cloudflare, en expulsant leurs clients sous-attaqués ou en exigeant plus d’argent. eux pour la protection continue. Alors que les victimes devaient jusqu’à présent se défendre elles-mêmes, les blogs et les entreprises dont les sites Web et les réseaux sont toujours menacés d’avoir publié un contenu controversé ont reçu une promesse d’une protection gratuite et illimitée contre les attaques DDoS.
Bien que l'offre de Cloudflare soit réellement révolutionnaire, il convient de mentionner que l'offre de protection gratuite et sans mesure s'applique uniquement aux attaques de niveau 3 et 4, tandis que les attaques de couche 7 ne sont disponibles que pour les forfaits payants à partir de 20 USD. par mois.
En cas de succès, quelle sera l'offre de Cloudflare sur le "hackivisme"?
Comme prévu, l'annonce de Cloudflare a ravivé le débat parmi les hacktivistes et les experts en sécurité Internet sur le piratage éthique et la liberté d'expression. De nombreux groupes hacktivistes, comme Chaos Computer Club (CCC) et Anonymous, ont longtemps soutenu qu'il était nécessaire d'organiser des «manifestations numériques» contre des sites Web et des blogs qui propageaient une propagande haineuse et des idéologies bigotes, souvent violentes. Cela étant, ces groupes de hackers activistes, ou hacktivistes, ont souvent ciblé des sites Web terroristes, des blogs néo-nazis et des trafiquants de pornographie enfantine victimes d'attaques DDoS, la dernière victime étant le blog d'extrême droite 'Daily Stormer' qui a fait l'éloge de la récente assassinat d'un militant des droits de l'homme à Charlottesville, en Virginie, par un extrémiste de droite.
Alors que certains, comme le PDG de Cloudflare, Mattew Prince, et l’EFF (Electronic Frontier Foundation) ont reproché aux hacktivistes d’essayer de faire taire la liberté de parole face aux attaques DDoS, les partisans de l’hacktivisme affirment que leurs protestations numériques contre des idéologies abominables ne sont pas différentes de celles qui occupent une ville Tenue d'un sit-in sur le modèle du mouvement "Occupy" qui a débuté avec la célèbre manifestation Occupy Wall Street le 17 septembre 2011, attirant l'attention du monde entier sur l'inégalité socio-économique croissante dans le monde.
Si certains prétendent que les attaques DDoS sont un outil de protestation authentique, permettant aux pirates éthiques d’agir rapidement contre les terroristes, fanatiques et pédophiles afin de mettre définitivement hors-ligne leur contenu immoral (et souvent illégal), de telles attaques ont également un côté sombre . Les journalistes d'investigation et les dénonciateurs ont souvent été la cible de telles attaques dans le passé, et ce n'est que l'année dernière que le site Web du journaliste spécialisé dans la cybersécurité, Brian Krebs, a été détruit par une attaque massive de DDoS qui mesurait à 665 Gbps la folie. . Krebs avait précédemment rendu compte d'un service israélien de location de DDoS appelé vDOS, qui avait permis l'arrestation de deux ressortissants israéliens. L'attaque aurait probablement donné lieu à des représailles.
Attaques de DDoS et plan de Cloudflare pour les transformer en une chose du passé
En dépit des affirmations audacieuses de Cloudflare de faire des attaques DDoS une chose si le passé, de nombreux experts affirment qu'il n'est pas techniquement possible de rendre les attaques DDoS entièrement obsolètes à ce stade. Tandis que les sociétés gigantesques telles que Facebook ou Google disposent des redondances d’infrastructures nécessaires pour ne pas subir de telles attaques, l’extension de cette protection à chaque site isolé peut constituer un défi, même pour les plus gros CDN. Cependant, Prince a affirmé que Cloudflare est capable d'absorber "tout ce que l'Internet nous jette", de sorte que seul le temps nous dira si les attaques par DDoS seront définitivement consignées dans les annales de l'histoire, ou si des groupes de hacktivistes seront en mesure de contourner des contre-mesures pour poursuivre leur croisade morale contre la violence, la haine et l'injustice.
