Zpedia 

/ Qu’est-ce qu’une attaque par déni de service (DoS) ?

Qu’est-ce qu’une attaque par déni de service (DoS) ?

Une attaque par déni de service (DoS) est une cyberattaque dans le cadre de laquelle des cybercriminels interrompent le service d’un hôte connecté à Internet à destination de ses utilisateurs concernés. Pour ce faire, ils envoient au réseau ou au serveur ciblé un flot constant de trafic, tel que des demandes frauduleuses, qui submerge le système et l’empêche de traiter le trafic légitime.

Explorer la protection contre les cybermenaces de Zscaler
Sécurité réseauSécurité CloudSecOps et Endpoint Security
  1. Fonctionnement
  2. DoS vs. DDoS
  3. Exemples d’attaques
  4. Comment identifier une
  5. Types d’attaques
  6. Prévention
  7. Comment Zscaler peut vous aider
  8. Ressources suggérées
  9. FAQ
  10. Autres thèmes similaires

Comment fonctionne une attaque par déni de service ?

Dans le cadre d’une attaque par déni de service, un hacker utilise un programme pour inonder un serveur de trafic malveillant. Les requêtes qui composent ce trafic semblent provenir d’utilisateurs légitimes, de sorte que le serveur valide les requêtes les unes après les autres. En fait, le « service » est « refusé » aux utilisateurs légitimes en raison de la perte de bande passante et de ressources réseau qui en résulte.

Le système ou les données piratés ne sont plus disponibles pour les utilisateurs qui en ont besoin. Les attaques par déni de service sont souvent utilisées à des fins d’extorsion car, à titre d’exemple, une entreprise qui ne peut pas fournir ses services à sa clientèle peut perdre des revenus et voir sa réputation entachée. En ce sens, les attaques par déni de service sont similaires aux ransomwares, mais l’otage est le service de la victime, plutôt que ses données.

Quelle est la différence entre une attaque DoS et une attaque DDoS ?

Alors qu’une attaque DoS est initiée à partir d’une seule source, une attaque par déni de service distribué, ou attaque DDoS, fait affluer des requêtes frauduleuses de plusieurs sources à la fois. Généralement, l’auteur de l’attaque s’appuie sur un groupe d’appareils connectés à Internet, parfois à l’échelle mondiale, pour inonder le serveur cible, ce qui peut le submerger beaucoup plus facilement qu’une attaque par déni de service (DoS).

On appelle ce groupe d’ordinateurs infectés un « botnet ». Ceux-ci fonctionnent de manière synchronisée, attendant les instructions d’un hacker à une seule adresse IP pour lancer une attaque de type « flood ». Ces attaques sont généralement programmées pour commencer à une heure précise et peuvent durer des heures, voire des jours.

Un serveur confronté à une attaque DoS peut simplement fermer la connexion unique à l’origine de l’attaque. Les attaques DDoS sont beaucoup plus dangereuses et difficiles à atténuer car l’afflux de trafic provient de plusieurs sources à la fois.

De plus, les acteurs malveillants utilisent désormais les appareils de l’Internet des objets (IoT) pour accroître la dangerosité de leurs botnets en réduisant les processus manuels. Ils peuvent notamment utiliser les dispositifs IoT pour faciliter la synchronisation des dispositifs de botnets, ce qui augmente l’efficacité de leurs attaques.

Quelles sont les attaques par déni de service les plus marquantes ?

Les attaques DDoS sont beaucoup plus courantes que les attaques DoS, principalement parce qu’elles sont beaucoup plus difficiles à neutraliser et peuvent donc être menées sur une plus longue durée.

Les fournisseurs de services cloud sont souvent victimes d’attaques DDoS en raison de leur vulnérabilité inhérente à de telles menaces. En voici quelques-uns plus récents qui ont fait la une des journaux :

  • Amazon : en février 2020, Amazon a subi l’une des plus grandes attaques DDoS jamais enregistrées. S’appuyant sur la réflexion du protocole CLDAP (Connectionless Lightweight Directory Access Protocol), les hackers ont frappé un client Amazon Web Services (AWS) à un débit de 3,3 téraoctets par seconde (To/s) pendant trois jours.
  • GitHub : en février 2018, des hackers ont inondé les serveurs de GitHub à raison de 1,35 téraoctet par seconde pendant 20 minutes. « Des dizaines de milliers de terminaux uniques » hébergeaient « plus d’un millier de systèmes autonomes différents » qui ont lancé l’attaque.
  • Google : en octobre 2020, Google a subi pendant six mois une attaque par amplification UDP montée sur trois fournisseurs de services internet (FAI) chinois, qui ont envoyé plus de 2,5 téraoctets par seconde de données indésirables aux serveurs de Google.

Comment identifier une attaque DoS ?

Les fournisseurs d’infrastructure ont tendance à ne pas filtrer les annonces de routage, qui indiquent aux internautes comment se rendre d’un endroit à un autre sur Internet. Plus important encore, ils ont également tendance à ne pas filtrer les paquets pour vérifier la source du trafic. Ces deux conditions permettent à des acteurs malveillants d’envoyer facilement du trafic offensif vers une cible.

Les hackers sont généralement motivés par trois choses : leur hostilité à l’égard de la cible (motivation typique des attaques de hacking), l’extorsion et le désir de voler les utilisateurs cibles pendant que le service leur est refusé. Bien qu’il n’existe aucun signe avant-coureur d’une attaque DoS, un professionnel de la sécurité avisé peut détecter le trafic qu’envoie un acteur malveillant pour déterminer si vous êtes une cible viable ou non.

Les hackers enverront un grand nombre de requêtes, par exemple à différentes parties d’un site Web, pour déterminer la vulnérabilité des serveurs Web à une attaque DoS. Ces premières « secousses » sur le Web sont le signe que votre entreprise pourrait être victime d’une attaque.

Grâce à une surveillance adéquate de la sécurité du réseau, votre équipe de cybersécurité peut analyser le trafic réseau et mettre en évidence des schémas de paquets qui sont autant de signes évidents d’une attaque. Pour savoir en temps réel si vous êtes victime d’une attaque, vous devez observer les métadonnées de vos dispositifs de réseau (routeurs et commutateurs, par exemple), une tâche plus facile à réaliser avec un outil de surveillance de qualité.

Types d’attaques DoS

Il existe quatre types principaux d’attaques DoS qui visent à exploiter ou extorquer les systèmes et les données :

  • Redirection du navigateur : un utilisateur demande le chargement d’une page, mais un hacker le redirige vers une autre page malveillante.
  • Fermeture de connexion : un acteur malveillant ferme un port ouvert, refusant ainsi à l’utilisateur l’accès à une base de données.
  • Destruction de données : un hacker supprime des fichiers, ce qui entraîne une erreur « ressource introuvable » lorsqu’un utilisateur demande ce fichier ou, si une application contient une vulnérabilité qui la laisse ouverte aux attaques par injection, l’acteur malveillant peut refuser le service en supprimant la table de base de données.
  • Épuisement des ressources : un hacker demande de manière répétée l’accès à une ressource particulière, surchargeant ainsi l’application Web et provoquant son ralentissement ou son arrêt du fait du rechargement répété de la page.

 

Types d’attaques DDoS

Voici quelques exemples d’attaques DDoS spécifiques qu’il est bon de garder en mémoire :

  • SYN flood : le hacker exploite une communication TCP (SYN-ACK) en envoyant une grande quantité de paquets SYN, consommant les ressources du système ciblé.
  • Spoofing : le hacker usurpe l’identité d’un utilisateur ou d’un appareil et, après avoir gagné la confiance, utilise des paquets usurpés pour lancer une cyberattaque.
  • Attaque DDoS de la couche application : comme son nom l’indique, cette attaque, une fois déployée, exploitera une vulnérabilité ou une erreur de configuration d’une application et refusera à un utilisateur l’accès ou l’utilisation de l’application.
  • Domain name system (DNS) flood : également connu sous le nom d’attaque par amplification DNS, un hacker perturbe la résolution DNS d’un nom de domaine donné en inondant ses serveurs.
  • Internet control message protocol (ICMP) flood : également connu sous le nom de « ping flood », un hacker falsifie une adresse IP source et crée une attaque smurf. Cette méthode peut également être utilisée pour envoyer un « ping of death » (ping de la mort), dans lequel un paquet volumineux provoque un débordement de la mémoire tampon.
  • User datagram protocol (UDP) flood : un hacker inonde des ports aléatoires sur sa cible, qui consomme ensuite des ressources et répond avec des paquets de « destination inaccessible ».

Prévenir une attaque DoS

Les attaques DoS ou DDoS peuvent frapper à tout moment, mais en appliquant les bonnes pratiques, vous pouvez faire en sorte que votre entreprise dispose de tous les outils et protocoles nécessaires à une défense efficace.

Examinons cinq façons de prévenir une attaque DoS :

  1. Créez un plan de réponse DoS. Examinez votre système et identifiez les failles de sécurité, les vulnérabilités ou les lacunes de posture potentielles. Élaborez un plan de réponse en cas d’attaque.
  2. Sécurisez votre infrastructure. Des solutions efficaces de pare-feu basées sur le cloud, de surveillance du trafic et de renseignements sur les menaces, telles que la détection ou la prévention des intrusions, augmentent considérablement vos chances de repousser les attaques DoS.
  3. Identifiez les signes avant-coureurs. Soyez attentif aux baisses des performances du réseau, aux interruptions de service des sites Web ou à l’augmentation soudaine du nombre de spams. Tous ces événements requièrent une action immédiate.
  4. Adoptez des services basés sur le cloud. Les ressources cloud vous offrent plus de bande passante que celles sur site, et puisque vos serveurs ne sont pas tous situés au même endroit, les acteurs malveillants éprouveront plus de difficultés à vous cibler.
  5. Surveillez les activités inhabituelles. Cela permettra à votre équipe de sécurité de détecter et d’atténuer une attaque DoS ou DDoS en temps réel. Nous verrons dans la section suivante comment réduire le risque d’attaques DoS et DDoS.

Comment réduire le risque d’une attaque par déni de service ?

Une posture de sécurité et une visibilité déficientes peuvent ouvrir la porte non seulement aux attaques DoS et DDoS, mais également à d’autres menaces telles que les malwares, les ransomwares, le spear phishing, etc. Pour assurer la sécurité de votre entreprise et maximiser vos chances d’atténuer efficacement les attaques DoS et DDoS, vous devez vous doter d’une protection DoS et DDoS adéquate. Voici quelques moyens de réduire le risque d’être victime d’une attaque DoS ou DDoS :

  • Assurez votre sécurité à partir du cloud. La sécurité fournie dans le cloud vous permet d’étendre la politique à tous vos utilisateurs, où qu’ils se trouvent et quel que soit leur appareil, et vous offre une visibilité complète sur votre environnement. De plus, grâce aux mises à jour automatiques et à l’absence de correctifs ou de réglages manuels, vous êtes toujours paré pour vous défendre contre les menaces les plus récentes.
  • Adoptez la détection et la réponse étendues (XDR). XDR est une évolution de la détection et de la réponse sur les terminaux (EDR) qui vous procure une visibilité sur les menaces au niveau des terminaux et un aperçu des risques potentiels qui pèsent sur les données et la sécurité du cloud, le tout assorti de renseignements globaux sur les menaces. Ceci permettra d’endiguer la vague de faux positifs qu’une équipe de sécurité subit normalement, lui libérant davantage de temps à consacrer à la productivité.
  • Envisagez la mise en place d’un centre d’opérations de sécurité (SOC). Un SOC géré dans le cloud vous permet de répondre à des besoins pour lesquels votre équipe de sécurité ne dispose peut-être pas de la bande passante nécessaire. À savoir, le provisionnement de la politique cloud, la détection et la réponse aux menaces, la protection des données et même la conformité, dans certains cas. Tout comme la XDR, un SOC géré vous procure, à vous et à votre équipe, la liberté de vous concentrer sur des questions plus urgentes.
  • Déployez une architecture Zero Trust. Selon Gartner, au moins 70 % des nouveaux déploiements d’accès à distance seront principalement assurés par ZTNA en remplacement des services VPN d’ici 2025, contre moins de 10 % fin 2021. En effet, la sécurité Zero Trust n’accorde l’accès qu’en fonction du contexte (c’est-à-dire l’utilisateur, l’appareil, l’emplacement et l’application), garantissant que les hackers n’auront aucun accès quelles que soient les circonstances.

En matière de Zero Trust, un seul fournisseur propose une sécurité Zero Trust native du cloud. Il se trouve qu’il s’agit du même fournisseur qui s’associe aux meilleurs architectes XDR afin que vous puissiez détecter les menaces sur l’ensemble de vos terminaux, clouds et données. Ce fournisseur, c’est Zscaler.

Comment Zscaler peut vous aider

Zscaler est le seul fournisseur de services de sécurité à disposer d’une plateforme suffisamment solide pour lutter contre les plus récentes menaces modernes, notamment les attaques DoS et DDoS. Zscaler Private Access™ (ZPA™) est une composante de Zscaler Zero Trust Exchange™, la plateforme SSE (Security Service Edge) la mieux notée et la plus déployée au monde.

La conception unique de ZPA repose sur quatre principes fondamentaux :

  • Connecter les utilisateurs aux applications sans les placer sur le réseau
  • Ne jamais exposer les applications à des utilisateurs non autorisés
  • Activer la segmentation des applications sans segmenter le réseau
  • Fournir un accès distant sécurisé sans utiliser d’appliances VPN

ZPA fournit un moyen simple, sécurisé et efficace pour accéder aux applications internes. L’accès est basé sur les politiques créées par l’administrateur informatique dans le portail d’administration ZPA et hébergées dans le cloud Zscaler. Notre Zscaler Client Connector est installé sur chaque appareil de l’utilisateur, ce qui garantit la posture de son appareil et étend un microtunnel sécurisé vers le cloud de Zscaler chaque fois qu’il tente d’accéder à une application interne.

À côté d’une application exécutée dans un cloud public ou un data center, ZPA place notre App Connector, déployé en tant que VM, qui étend un microtunnel vers le cloud de Zscaler. Le Z-Connector établit une connexion sortante vers le cloud et ne reçoit aucune demande de connexion entrante, ce qui permet d’éviter les attaques DDoS.

Dans le cloud de Zscaler, un CASB (Cloud Access Security Broker), approuve l’accès et établit la connexion entre l’utilisateur et l’application. La solution ZPA étant entièrement définie par logiciel, elle ne nécessite aucune appliance et permet aux utilisateurs de bénéficier du cloud et de la mobilité tout en préservant la sécurité de leurs applications, des avantages que ne peuvent offrir les méthodes traditionnelles de connectivité réseau et de pare-feu sur site.

promotional background

Améliorez votre posture de sécurité et protégez vos utilisateurs contre les cyberattaques les plus récentes, notamment les attaques DoS et DDoS, grâce à Zscaler Private Access.

Solliciter une démoEn savoir plus

Ressources suggérées

Analyse Zscaler ThreatLabz globale
Notre tableau de bord mondial d’application
Qu’est-ce que le déplacement latéral ?
Lire l'article
Zscaler Cloud Firewall
Sécurisez votre trafic
Qu’est-ce que la sécurité réseau ?
Lire l'article
01 / 02
Foire aux questions