ake78 (3D & photo) - Fotolia

Comment détecter les attaques DDoS

Les attaques DDoS sont fréquentes, souvent du fait d’hacktivistes. Bien qu’elles frappent généralement sans prévenir, des signaux peuvent contribuer à leur détection avancée.

Les attaques DDoS surviennent souvent de manière soudaine et inattendue. L’instant d’avant, un site web traite activement les demandes des clients, puis, il ne le fait plus, les utilisateurs recevant des messages d’erreur 503 Service Unavailable.

En l’absence d’une surveillance adéquate, les administrateurs de sites ne se rendent compte du problème que lorsque les utilisateurs commencent à se plaindre. Et, à moins qu’un acteur malveillant n’ait envoyé des demandes d’extorsion menaçant de lancer une attaque et qu’une revendication de groupe hacktiviste ne soit découverte, il se peut que la raison pour laquelle un site est inaccessible ne soit pas claire au départ. 

Il est donc important de déterminer si une panne est due à un trafic légitime plus important que la normale ou à un afflux de trafic malveillant dans le cadre d’une attaque DDoS.

Indicateurs d’attaques DDoS

Les éléments suivants peuvent indiquer qu’une attaque DDoS est en cours :

  • Une seule adresse IP ou une série d’adresses IP effectuant des requêtes excessives et consécutives.
  • Trafic important provenant d’un seul lieu géographique ou d’un seul appareil.
  • Schéma de trafic inhabituel.
  • Service répondant de manière persistante à des messages d’erreur 500 Internal Server Error ou 503 Server Unavailable indiquant qu’il n’est pas disponible ou qu’il ne peut pas traiter les demandes.
  • Alertes sur les problèmes de bande passante, de mémoire ou de ressources CPU.
  • Les TTL (time-to-live) des paquets sont dépassés en raison d’une attaque consommant une bande passante excessive.

Les attaques DDoS peuvent viser différentes couches de l’Open Systems Interconnection (OSI), mais les couches 3, 4 et 7 sont les plus populaires, car les attaques y sont relativement faciles à lancer et peuvent avoir un impact énorme.

Les attaques DDoS multivectorielles ciblent simultanément plusieurs couches du modèle OSI. Par exemple, une attaque DDoS multivectorielle peut inclure une attaque par amplification DNS qui cible les couches 3 et 4, ainsi qu’une inondation HTTP qui cible la couche 7.

Les cinq vecteurs d’attaque DDoS les plus courants pour le deuxième trimestre 2024, selon Cloudflare, étaient le DNS, le SYN, le RST, le protocole UDP et l’encapsulation générique du routage (GRE).

Comment détecter les attaques DDoS

La détection rapide et précise des signes susmentionnés est essentielle pour atténuer les attaques DDoS. Il est essentiel d’intégrer des méthodes de détection automatisée des attaques DDoS dans l’infrastructure cloud et sur site afin que des mesures préventives puissent être prises immédiatement et avant que des dommages excessifs ne soient causés.

Deux méthodes permettent de détecter les attaques DDoS : l’inspection des paquets en ligne et la détection hors bande via l’analyse des flux de trafic. Ces deux méthodes peuvent être déployées sur site ou en cloud.

Les outils d’examen des paquets en ligne sont placés devant une infrastructure informatique et surveillent l’ensemble du trafic. Des dispositifs tels que les équilibreurs de charge, les pare-feu et les systèmes de prévention des intrusions peuvent assurer la détection et l’atténuation en ligne. Toutefois, ces outils sont facilement dépassés par les attaques hypervolumétriques d’aujourd’hui.

Il est préférable de déployer des dispositifs d’atténuation DDoS dédiés à l’examen des paquets en ligne qui utilisent l’apprentissage automatique pour repérer le trafic et l’activité anormaux. Dès qu’une attaque DDoS est détectée, les outils d’atténuation DDoS dédiés ajustent les configurations de protection volumétrique et protocolaire pour filtrer le trafic malveillant. Il convient toutefois de noter que cela risque d’entraîner des faux positifs et de bloquer des requêtes légitimes. L’inspection de chaque paquet de données entraîne également une augmentation de la latence.

Les outils hors bande permettent de surmonter les difficultés liées à l’inspection des paquets en profondeur à grande échelle et aux faux positifs indésirables. Ces outils analysent passivement les données de flux provenant des routeurs et commutateurs NetFlow, J-Flow, sFlow et IP Flow Information Export afin de détecter les attaques. Bien qu’ils ne puissent pas ajuster automatiquement les configurations de protection, ils peuvent envoyer des alertes ou déclencher automatiquement des mesures pour atténuer l’attaque en acheminant le trafic vers une station centralisée de nettoyage des données qui filtre le trafic légitime.

Pour approfondir sur Menaces, Ransomwares, DDoS