Les attaques DDoS utilisent des réseaux de machines liées à Internet.
Ces réseaux sont constitués de PC et d'autres gadgets infectés par des logiciels malveillants (tels que des appareils IoT), qui peuvent être manipulés en ligne par un attaquant. Les appareils individuels sont appelés robots (ou zombies), tandis qu'un botnet est un ensemble de robots.
L’attaquant peut diriger une attaque une fois qu’un botnet a effectivement été construit en envoyant des commandes à distance à chaque bot.
Lorsqu'un botnet cible le serveur ou le réseau d'une victime, chaque bot envoie des requêtes à l'adresse IP d'une cible, surchargeant éventuellement le serveur ou le système et déclenchant un déni de service sur le trafic régulier.
Il est difficile de distinguer le trafic d’attaque du véritable trafic Internet puisque chaque bot est un appareil Internet valide.
Identifier une attaque DDoS
Un site Web ou un service soudainement lent ou indisponible est l’indicateur le plus visible d’une attaque DDoS. Toutefois, étant donné que divers facteurs, comme une augmentation réelle du trafic, peuvent produire des problèmes de performances identiques, une analyse plus approfondie est généralement nécessaire.
Quelques-uns de ces signaux d’avertissement d’une attaque DDoS peuvent être détectés à l’aide d’outils de surveillance du trafic :
- Volumes inhabituels de trafic provenant d’une seule adresse IP ou d’une plage d’adresses IP
- Il y a une augmentation du trafic provenant d'utilisateurs ayant des profils comportementaux similaires, tels que des appareils, des emplacements ou des versions de navigateur Internet spécifiques.
- Demande inattendue élevée pour une page ou un point de terminaison particulier
- Des modèles de trafic étranges, tels que des pics à des heures inhabituelles de la journée ou des tendances qui semblent anormales (par exemple, un pic toutes les dix minutes).
D’autres symptômes plus particuliers d’une attaque DDoS peuvent différer en fonction de l’attaque.
Attaques DDoS : combien de temps durent-elles?
Attaque à long terme : Une attaque à long terme se déroule sur plusieurs heures ou jours. Par exemple, l'attaque DDoS sur AWS a provoqué une interruption de trois jours avant d'être résolue.
Burst Attack : ces attaques DDoS sont menées relativement brièvement, durant à peine une minute ou quelques secondes.
Ne vous laissez pas berner . Les attaques en rafale, malgré leur rapidité, peuvent être incroyablement dévastatrices. Avec l’introduction d’équipements de type Internet des objets (IoT), il est désormais possible de créer un trafic plus volumineux grâce à des machines informatiques plus puissantes. Par conséquent, les attaquants peuvent générer d’importantes quantités de trafic en peu de temps. Un attaquant peut bénéficier d’une attaque DDoS en rafale, car elle est beaucoup plus difficile à retracer.
Quelle est la procédure à suivre pour faire face à une attaque DDoS ?
Le trafic DDoS prend diverses formes sur l’Internet contemporain. Qu’il s’agisse d’attaques inusquables provenant d’une source unique ou d’attaques multivecteurs complexes et adaptatives, le trafic peut être conçu de plusieurs manières.
Vous aurez besoin de diverses techniques pour résister aux multiples trajectoires d’une attaque DDoS multivecteur.
En général, plus l'attaque est complexe, plus il sera difficile de distinguer le trafic d'attaque du trafic régulier. Le but de l'attaquant est d'en intégrer le plus grand nombre possible, rendant les méthodes d'atténuation inefficaces.
Les tentatives d'atténuation qui suppriment ou limitent le trafic de manière aléatoire risquent de mélanger le trafic positif et le trafic nuisible, et l'attaque pourrait également se modifier et s'adapter pour éviter les contre-mesures. Une approche à plusieurs niveaux offrira le plus grand avantage pour surmonter une tentative compliquée de perturbation.
