Types d’attaques DoS et DDoS

Les attaques DoS et DDoS peuvent prendre de nombreuses formes et être utilisées à
des fins diverses. Il peut s’agir de faire perdre des clients à une entreprise, de paralyser
un concurrent, de distraire l’attention d’autres attaques, ou simplement de causer des
problèmes ou de faire une déclaration. Voici quelques formes courantes prises par ces
attaques.

Attaque Teardrop

Une attaque Teardrop est une attaque DoS qui envoie d’innombrables fragments de
données de protocole Internet (Internet Protocol, IP) à un réseau. Lorsque le réseau
tente de recompiler les fragments dans leurs paquets d’origine, il n’y parvient pas.

Par exemple, l’attaquant peut prendre des paquets de données très volumineux et les
diviser en multiples fragments que le système ciblé va réassembler. Cependant,
l’attaquant change la façon dont le paquet est désassemblé pour induire en erreur le
système ciblé, qui est alors incapable de réassembler les fragments en paquets
d’origine.

Attaque par saturation

Une attaque par saturation est une attaque DoS qui envoie plusieurs demandes de
connexion à un serveur, mais ensuite ne répond pas pour établir la liaison.

Par exemple, l’attaquant peut envoyer diverses demandes de connexion en tant que
client, mais lorsque le serveur tente de communiquer pour vérifier la connexion,
l’attaquant refuse de répondre. Après avoir répété le processus d’innombrables fois, le
serveur devient tellement saturé de demandes en attente que les clients réels ne
peuvent pas se connecter, et le serveur devient « occupé » ou même tombe en panne.

Attaque par fragmentation IP

Une attaque par fragmentation IP est un type d’attaque DoS qui fournit des paquets de
réseaux altérés que le réseau récepteur ne peut pas réassembler. Le réseau est alors
encombré de paquets volumineux non assemblés qui utilisent toutes ses ressources.

Attaque volumétrique

Une attaque volumétrique est un type d’attaque DDoS utilisé pour cibler les ressources
de largeur de bande. Par exemple, l’attaquant utilise un réseau zombie pour envoyer un
volume élevé de paquets de requêtes à un réseau, submergeant sa largeur de bande de
requêtes d’écho d’Internet Control Message Protocol (ICMP). Cela entraîne un
ralentissement ou même l’arrêt total des services.
Attaque de protocole

Une attaque de protocole est un type d’attaque DDoS qui exploite les faiblesses des
couches 3 et 4 du modèle OSI. Par exemple, l’attaquant peut exploiter la séquence de
connexion TCP en envoyant des requêtes, mais en ne répondant pas comme prévu ou
en répondant avec une autre requête en utilisant une adresse IP source usurpée. Les
requêtes sans réponse utilisent les ressources du réseau jusqu’à ce qu’il devienne
indisponible.

Attaque au niveau de l’application

Une attaque au niveau de l’application est un type d’attaque DDoS qui cible la couche
7 du modèle OSI. Un exemple de ce type d’attaque est Slowloris, dans laquelle
l’attaquant envoie des requêtes Hypertext Transfer Protocol (HTTP) partielles, mais ne
les termine pas. Des en-têtes HTTP sont envoyés périodiquement pour chaque requête,
ce qui entraîne l’immobilisation des ressources réseau.

Amplification DDoS :

Dans une attaque d'amplification, l'attaquant envoie des requêtes à des serveurs mal
configurés, exploitant leur capacité à générer des réponses beaucoup plus
volumineuses que les requêtes initiales. Ces réponses amplifiées sont dirigées vers
la cible, saturant ainsi sa bande passante et provoquant un déni de service.

DNS Reflection Attack :

Les attaques de réflexion DNS exploitent les serveurs DNS en envoyant des
requêtes avec une adresse IP source falsifiée. Les serveurs DNS renvoient leurs
réponses à la cible, augmentant ainsi la charge sur ses ressources.

HTTP Flood :

Une attaque HTTP Flood consiste à inonder un serveur cible avec un grand nombre
de requêtes HTTP légitimes. Cela peut entraîner une surcharge du serveur, le
rendant incapable de répondre aux demandes légitimes.

SYN/ACK Flood :

Les attaques SYN/ACK Flood exploitent le processus de poignée de main TCP.

L'attaquant envoie un grand nombre de demandes de connexion SYN sans finaliser
le processus, laissant les connexions en attente et épuisant les ressources du
serveur.

Ping of Death :
Cette attaque exploite des vulnérabilités dans la manière dont certains systèmes
traitent les paquets ICMP de taille anormalement grande. L'envoi de tels paquets
peut provoquer un débordement de tampon et entraîner un crash du système cible.

NTP Amplification :

Similaire à l'amplification DDoS, cette attaque utilise des serveurs NTP mal
configurés pour amplifier le trafic dirigé vers la cible en renvoyant des réponses plus
volumineuses que les requêtes initiales.

DNS Spoofing :

L'attaquant falsifie les réponses DNS pour rediriger le trafic légitime vers des
serveurs malveillants. Cela peut entraîner une surcharge du réseau cible ou un
détournement de trafic.

Smurf Attack :

Une attaque Smurf exploite le protocole ICMP en envoyant des paquets de demande
d'écho (ping) à des réseaux de diffusion avec une adresse IP source falsifiée. Les
réponses sont renvoyées à la cible, provoquant une saturation du réseau.

L’attaquant continue l’assaut jusqu’à ce qu’aucune nouvelle connexion ne puisse être

établie par le serveur. Ce type d’attaque est très difficile à détecter, car plutôt que
d’envoyer des paquets corrompus, il envoie des paquets partiels et utilise peu de
largeur de bande, voire aucune.

Comment améliorer la protection contre les attaques

DDoS et DoS
Pour renforcer la protection contre les attaques DDoS (Distributed Denial of Service)
et DoS (Denial of Service), voici quelques pratiques et informations supplémentaires:

Surveillance du réseau :
Utilisez des outils de surveillance en temps réel pour identifier les modèles de trafic
normaux. Les anomalies peuvent indiquer une attaque en cours. La détection
précoce est cruciale pour une réponse rapide.

Tests de simulation d'attaques :

Effectuez régulièrement des tests de simulation d'attaques pour évaluer la résilience
de votre infrastructure. Cela permet d'identifier les vulnérabilités et de former les
équipes de sécurité à réagir efficacement en cas d'attaque.
Plan de protection :
Élaborez un plan de protection détaillé. Cela devrait inclure des listes de contrôle, la
constitution d'une équipe d'intervention, la définition des paramètres de réponse aux
incidents, et le déploiement de solutions de protection contre les DDoS.

Identification des systèmes critiques :

Identifiez et protégez en priorité les systèmes critiques. Cela permet de concentrer

les ressources de protection sur les éléments les plus importants de votre
infrastructure.

Prévision de la bande passante supplémentaire :

Avoir une bande passante supplémentaire peut aider à absorber les pics de trafic
pendant une attaque. Bien que cela ne stoppe pas nécessairement l'attaque, cela
peut réduire son impact en assurant la disponibilité des services.

Protection multicouche :

Utilisez des solutions de protection DDoS multicouche. FortiDDoS de Fortinet, par

exemple, offre une évaluation continue des menaces et une protection des couches
3, 4 et 7 du modèle OSI. La protection multicouche est essentielle pour contrer les
attaques DDoS sophistiquées qui ciblent différentes couches du réseau.

Outils de reporting avancés et analyses :

Adoptez des outils de reporting avancés et des analyses pour évaluer l'efficacité des
mesures de protection, comprendre les tendances des attaques, et ajuster votre
stratégie de sécurité en conséquence.

Collaboration avec les fournisseurs de services cloud :

Si votre infrastructure repose sur des services cloud, collaborez avec les fournisseurs
de services cloud pour mettre en place des mécanismes de protection DDoS au
niveau du cloud.

Éducation continue des employés :

Sensibilisez et formez régulièrement les employés à la cybersécurité. La vigilance
des utilisateurs peut contribuer à détecter et à signaler des activités suspectes.

Mise à jour régulière des systèmes :

Assurez-vous que tous les systèmes, logiciels, et dispositifs de sécurité sont
régulièrement mis à jour pour corriger les vulnérabilités connues.

En combinant ces pratiques, les organisations peuvent renforcer significativement

leur posture de sécurité contre les attaques DDoS et DoS. La défense contre ces
attaques nécessite une approche holistique qui intègre à la fois des mesures
préventives et réactives.