Une attaque de déni de service est une cyberattaque qui vise à rendre les systèmes ou services clés non disponibles pour les utilisateurs, généralement en les écrasant de trafic ou de demandes malveillantes. DOS Attaques bombardent la cible avec des quantités aussi massives de données que les systèmes deviennent incapables de traiter les demandes légitimes et de cesser de fonctionner.
La forme d’attaque DOS la plus courante est le déni de service distribué (DDOS), qui envoie le trafic réseau à partir d’un grand nombre d’appareils avec différentes adresses IP, ce qui rend la source d’attaque difficile à filtrer ou à bloquer. Ces attaques utilisent souvent des botnets, des réseaux d’ordinateurs détournés ou des appareils IoT. Par exemple, le notoire Mirai Botnet et ses successeurs ont enrôlé des milliers d’appareils compromis – notamment des caméras de vidéosurveillance, des routeurs domestiques et des moniteurs pour bébés – que les acteurs de menace ont utilisé pour lancer des attaques DDOS massives.
Note de l’éditeur: Aux fins de cet article, nous considérons une attaque DDOS un type d’attaque DOS. Notez cependant que certains experts soutiennent qu’une véritable attaque DOS n’a qu’une seule source malveillante, avec un seul système attaquant un seul système. Les défenseurs pourraient atténuer une telle attaque relativement facilement en identifiant et en bloquant le trafic à partir de l’adresse IP pertinente.
En revanche, une attaque DDOS implique le trafic de nombreuses sources, avec plusieurs systèmes bombardant la cible. Les attaques DDOS sont plus difficiles à prévenir et à arrêter que les attaques DOS à source unique, car elles impliquent beaucoup plus d’adresses IP malveillantes.
Types d’attaques DOS
Les attaques DOS tombent dans les trois catégories suivantes:
Attaques volumétriques. L’infrastructure du réseau cible, telles que les pare-feu et les routeurs, avec de grandes quantités de trafic, via des techniques telles que le protocole de message de contrôle Internet ou les inondations du protocole de datagramme utilisateur.
Attaques de protocole. Target également l’infrastructure réseau, mais plutôt que de simplement l’inondation de données, ces attaques manipulent les comportements de protocole pour épuiser les ressources du serveur.
Attaques de couche d’application. Les sites Web cibles et les API en générant un grand nombre de demandes HTTP ou en déclenchant des fonctions d’application à forte intensité de ressources, telles que la génération de rapports complexes.
Si les services en ligne sont inhabituellement lents ou soudainement indisponibles, une attaque DOS pourrait être en cours.
Conséquences des attaques DOS
Les attaques DOS réussies peuvent perturber les affaires et dévaster les organisations. Les conséquences incluent les éléments suivants:
Pertes financières immédiates. Lorsqu’un système critique en affaires connaît des temps d’arrêt, l’organisation perd généralement de l’argent. Par exemple, même une brève panne DOS dans un marchand de commerce électronique à volume élevé entraînerait de nombreuses transactions perdues, ajoutant un impact financier significatif.
Frais de correction. Une organisation subissant une attaque DOS doit répondre et récupérer rapidement les systèmes en ligne, ce qui peut nécessiter des ressources importantes.
Dommages de réputation. Une longue panne peut gravement nuire à la réputation d’une marque, incitant les clients, les actionnaires et le public à remettre en question la capacité de l’organisation à protéger ses systèmes.
Les attaques DOS réussies peuvent dévaster les organisations.
Méthodes de prévention et d’atténuation du DOS
Comme c’est souvent le cas en cybersécurité, une once de prévention vaut une livre de guérison. La prévention et l’atténuation efficaces du DOS doivent commencer bien avant une tentative d’attaque.
L’évaluation des risques
Commencez par identifier et évaluer tous les actifs numériques, en particulier les systèmes et données critiques qui pourraient attirer des attaques. Déterminez les modèles de trafic de référence. Évaluer les vulnérabilités potentielles que les acteurs de menace pourraient exploiter.
Réduction de la surface d’attaque
Réduisez la surface d’attaque en mettant en œuvre les correctifs de sécurité nécessaires et en supprimant les systèmes inutiles orientés vers Internet.
Services de prévention et d’atténuation du DOS
Bien que possible, il est difficile de se défendre contre les attaques DOS sans le soutien d’un fournisseur tiers. En règle générale, les organisations s’appuient sur des fournisseurs de réseaux de livraison de contenu et des fournisseurs d’atténuation DDOS spécialisés – tels que CloudFlare, AWS Shield et Azure DDOS Protection – pour une protection DOS évolutive. Une entreprise qui enrôle un tel service peut s’attendre à ce qu’elle fasse ce qui suit:
Fournir une couche défensive qui se trouve entre les applications d’une organisation et l’Internet public.
Agissez comme un proxy inversé, tout le trafic atteignant d’abord les centres de données du fournisseur d’atténuation.
Distribuez des augmentations soudaines du trafic dans plusieurs centres de données appartenant à des fournisseurs.
Appliquer la limitation des taux – restreindre le nombre de demandes que les serveurs accepteront dans une certaine période – aux sources de trafic suspect.
Les autres mécanismes défensifs comprennent les éléments suivants:
Pare-feu d’application Web. WAFS Filtre les demandes de sortie ciblant des URL ou des points de terminaison API spécifiques.
Systèmes de prévention et de détection des intrusions. Les IPS et les IDS surveillent l’activité du réseau pour identifier les modèles de trafic inhabituels qui pourraient indiquer une attaque DOS. Ces outils et d’autres, tels que les pare-feu, peuvent également bloquer automatiquement le trafic provenant de sources qu’un administrateur signale comme malveillant. Notez cependant que l’usurpation IP peut facilement contourner les listes de blocs.
Routing de trou noir. Détourne tout le trafic ciblant le système. Cela a un effet similaire à l’attaque elle-même, cependant, en mettant le système hors ligne.
Plan de réponse DOS
Même lorsqu’une organisation a une stratégie d’atténuation DOS en place, son plan de réponse aux incidents devrait toujours couvrir les attaques DOS et inclure les éléments suivants:
Procédures d’escalade claires.
Quand enrôler un support tiers expert.
Mesures de continuité des activités pour maintenir les opérations critiques.
Des politiques pour quand, quoi et comment communiquer avec les parties prenantes internes, les clients et le public. Les réseaux sociaux peuvent fournir un moyen efficace d’atteindre ce dernier lorsque d’autres ressources ne sont pas disponibles.
Rob Shapland est un pirate éthique spécialisé dans la sécurité du cloud, l’ingénierie sociale et la formation de cybersécurité aux entreprises du monde entier.
