2

Introduction

Dans le panorama complexe de la sécurité informatique, les attaques par déni

de service distribué (DDoS) émergent comme une menace omniprésente,
mettant à l'épreuve la résilience des infrastructures numériques. Ce rapport se
consacre à une exploration approfondie des différents éléments liés aux
attaques DDoS, cherchant à dévoiler leur nature, à démêler les types d'attaques
sophistiquées, à élaborer des stratégies de détection précoces, à définir des
réponses tactiques face à ces assauts, et à examiner les aspects liés à
l'exploitation des failles de sécurité.

L'objectif principal de cette analyse est de fournir une compréhension

holistique des attaques DDoS, permettant aux professionnels de la sécurité
informatique de développer des défenses robustes contre ces menaces
évolutives. Chaque élément de ce rapport est soigneusement élaboré pour
éclairer les diverses facettes de ce défi, contribuant ainsi à renforcer les lignes
de défense numérique dans un monde connecté constamment sous le regard
vigilant des attaquants

[Date] 3
 Chapitre 1

Les attaques DDoS

1.1 Quʼest-ce quʼune attaque DDoS ?

Une attaque par déni de service distribué (DDoS) se produit lorsque plusieurs
machines opèrent de concert pour attaquer une même cible en vue de perturber le trafic sur
un serveur, service ou réseau déterminé en surchargeant la cible ou son infrastructure au
moyen d'un déluge de trafic en ligne.
Le DDoS permet d'envoyer un nombre exponentiel de requêtes à la cible, ce qui ne fait
qu'augmenter l'ampleur de l'attaque. Cela complique aussi l'attribution, car la véritable
source de l'attaque est plus difficile à identifier.
Les attaques par DDoS peuvent avoir un effet dévastateur sur toute entreprise en ligne, c'est
la raison pour laquelle il est essentiel de comprendre leur fonctionnement et le moyen de les
atténuer rapidement.
Les raisons derrière les attaques par DDoS varient énormément, tout comme les personnes et
organisations qui les organisent. Certaines attaques sont lancées par des individus et des
hacktivistes mécontents qui souhaitent neutraliser les serveurs d'une entreprise pour faire
connaître leur point de vue, s'amuser en exploitant des points faibles ou exprimer leur
désapprobation.
D'autres attaques de ce type sont motivées par l'appât financier, comme pour les attaques
visant à perturber ou neutraliser les opérations en ligne d'un concurrent afin d'attirer ses
clients pendant la période d'interruption. Dans d'autres cas, il est question d'extorsion ; les
pirates attaquent alors une entreprise et installent des rançongiciels sur les serveurs avant
d'exiger le paiement de sommes importantes pour réparer les dégâts.

1.2 Fonctionnement bien expliqué

Une attaque par DDoS a pour objectif de surcharger les appareils, services et réseaux de
la cible au moyen d'un trafic en ligne fictif, et de les rendre inaccessibles ou inutiles aux
utilisateurs légitimes.
Alors qu'une attaque par déni de service implique un ordinateur « d'attaque » et une victime,
les attaques par DDoS s'appuient sur une véritable armée d'ordinateurs infectés ou de
« robots » pour exécuter plusieurs tâches de manière simultanée. Ces botnets (un groupe
d'appareils piratés et connectés en ligne) sont capables de mener des attaques de grande
ampleur. Les agresseurs exploitent des failles de sécurité ou des points faibles de certains
appareils pour contrôler de nombreux périphériques à l'aide d'un logiciel de contrôle. Une fois
qu'il a le contrôle, l'agresseur ordonne au botnet d'exécuter une attaque

4
par DDoS contre une cible. Dans ce cas, les appareils infectés sont également des victimes de
l'attaque.
Des botnets composés d'appareils compromis peuvent également être loués à des agresseurs
potentiels. Bien souvent, les services du botnet sont offerts par attaque, ce qui permet même
aux utilisateurs sans compétences particulières d'initier des attaques par DDoS.
Lors d'une attaque par DDoS, les cybercriminels exploitent le comportement normal entre les
périphériques réseau et les serveurs et ciblent souvent les appareils réseau qui établissent la
connexion Internet. Par conséquent, les agresseurs se concentrent sur les appareils en
périphérie du réseau (p. ex., routeurs, commutateurs) plutôt que les serveurs individuels. Une
attaque par DDoS surcharge la bande passante du réseau ou les appareils qui fournissent la
bande passante.

1.3 Comment identifier une attaque par DDoS ?

Le meilleur moyen pour détecter et identifier une attaque par DDoS consiste à contrôler et
analyser le trafic réseau. Ce dernier peut être surveillé via un pare-feu ou un système de
détection des intrusions. Un administrateur peut même établir des règles afin d'émettre une
alerte en cas de détection d'une charge de trafic anormale et d'identifier la source du trafic ou
des paquets réseau qui répondent à certains critères.
Les symptômes d'une attaque par DoS peuvent ressembler à des problèmes de disponibilité
non-malveillants, comme les problèmes techniques associés à un réseau spécifique ou à un
opération de maintenance effectuée par un administrateur système. Cependant, les symptômes
suivants peuvent indiquer une attaque par DoS ou DDoS :
 Performance réseau inhabituellement lente
 Indisponibilité d'un service réseau et/ou site Web particulier
 Impossibilité d'accéder à un site Web
 Une adresse IP émet une quantité inhabituellement grande de requêtes durant une
période limitée
 Le serveur répond par une erreur 503 en raison d'une panne de service
 L'analyse des journaux révèle un fort pic de trafic réseau
 Tendances de trafic inhabituelles, comme des pics à des heures atypiques de la journée
ou des tendances qui semblent sortir de l'ordinaire

[Date] 5
Types d’attaques DoS et DDoS

Les attaques DoS et DDoS peuvent prendre de nombreuses formes et être utilisées à
des fins diverses. Il peut s’agir de faire perdre des clients à une entreprise, de paralyser
un concurrent, de distraire l’attention d’autres attaques, ou simplement de causer des
problèmes ou de faire une déclaration. Voici quelques formes courantes prises par ces
attaques.

Attaque Teardrop

Une attaque Teardrop est une attaque DoS qui envoie d’innombrables fragments de
données de protocole Internet (Internet Protocol, IP) à un réseau. Lorsque le réseau
tente de recompiler les fragments dans leurs paquets d’origine, il n’y parvient pas.

Par exemple, l’attaquant peut prendre des paquets de données très volumineux et les
diviser en multiples fragments que le système ciblé va réassembler. Cependant,
l’attaquant change la façon dont le paquet est désassemblé pour induire en erreur le
système ciblé, qui est alors incapable de réassembler les fragments en paquets
d’origine.

Attaque par saturation

Une attaque par saturation est une attaque DoS qui envoie plusieurs demandes de
connexion à un serveur, mais ensuite ne répond pas pour établir la liaison.

Par exemple, l’attaquant peut envoyer diverses demandes de connexion en tant que
client, mais lorsque le serveur tente de communiquer pour vérifier la connexion,
l’attaquant refuse de répondre. Après avoir répété le processus d’innombrables fois, le
serveur devient tellement saturé de demandes en attente que les clients réels ne
peuvent pas se connecter, et le serveur devient « occupé » ou même tombe en panne.

Attaque par fragmentation IP

Une attaque par fragmentation IP est un type d’attaque DoS qui fournit des paquets de
réseaux altérés que le réseau récepteur ne peut pas réassembler. Le réseau est alors
encombré de paquets volumineux non assemblés qui utilisent toutes ses ressources.

Attaque volumétrique

Une attaque volumétrique est un type d’attaque DDoS utilisé pour cibler les ressources
de largeur de bande. Par exemple, l’attaquant utilise un réseau zombie pour envoyer un
volume élevé de paquets de requêtes à un réseau, submergeant sa largeur de bande de

6
requêtes d’écho d’Internet Control Message Protocol (ICMP). Cela entraîne un
ralentissement ou même l’arrêt total des services.

Attaque de protocole

Une attaque de protocole est un type d’attaque DDoS qui exploite les faiblesses des
couches 3 et 4 du modèle OSI. Par exemple, l’attaquant peut exploiter la séquence de
connexion TCP en envoyant des requêtes, mais en ne répondant pas comme prévu ou
en répondant avec une autre requête en utilisant une adresse IP source usurpée. Les
requêtes sans réponse utilisent les ressources du réseau jusqu’à ce qu’il devienne
indisponible.

Attaque au niveau de l’application

Une attaque au niveau de l’application est un type d’attaque DDoS qui cible la couche
7 du modèle OSI. Un exemple de ce type d’attaque est Slowloris, dans laquelle
l’attaquant envoie des requêtes Hypertext Transfer Protocol (HTTP) partielles, mais ne
les termine pas. Des en-têtes HTTP sont envoyés périodiquement pour chaque requête,
ce qui entraîne l’immobilisation des ressources réseau.

Amplification DDoS :

Dans une attaque d'amplification, l'attaquant envoie des requêtes à des serveurs mal
configurés, exploitant leur capacité à générer des réponses beaucoup plus
volumineuses que les requêtes initiales. Ces réponses amplifiées sont dirigées vers
la cible, saturant ainsi sa bande passante et provoquant un déni de service.

DNS Reflection Attack :

Les attaques de réflexion DNS exploitent les serveurs DNS en envoyant des
requêtes avec une adresse IP source falsifiée. Les serveurs DNS renvoient leurs
réponses à la cible, augmentant ainsi la charge sur ses ressources.

HTTP Flood :

Une attaque HTTP Flood consiste à inonder un serveur cible avec un grand nombre
de requêtes HTTP légitimes. Cela peut entraîner une surcharge du serveur, le
rendant incapable de répondre aux demandes légitimes.

SYN/ACK Flood :

Les attaques SYN/ACK Flood exploitent le processus de poignée de main TCP.

L'attaquant envoie un grand nombre de demandes de connexion SYN sans finaliser
le processus, laissant les connexions en attente et épuisant les ressources du
serveur.

[Date] 7
Ping of Death :

Cette attaque exploite des vulnérabilités dans la manière dont certains systèmes
traitent les paquets ICMP de taille anormalement grande. L'envoi de tels paquets
peut provoquer un débordement de tampon et entraîner un crash du système cible.

NTP Amplification :

Similaire à l'amplification DDoS, cette attaque utilise des serveurs NTP mal
configurés pour amplifier le trafic dirigé vers la cible en renvoyant des réponses plus
volumineuses que les requêtes initiales.

DNS Spoofing :

L'attaquant falsifie les réponses DNS pour rediriger le trafic légitime vers des
serveurs malveillants. Cela peut entraîner une surcharge du réseau cible ou un
détournement de trafic.

Smurf Attack :

Une attaque Smurf exploite le protocole ICMP en envoyant des paquets de demande
d'écho (ping) à des réseaux de diffusion avec une adresse IP source falsifiée. Les
réponses sont renvoyées à la cible, provoquant une saturation du réseau.

L’attaquant continue l’assaut jusqu’à ce qu’aucune nouvelle connexion ne puisse être

établie par le serveur. Ce type d’attaque est très difficile à détecter, car plutôt que
d’envoyer des paquets corrompus, il envoie des paquets partiels et utilise peu de
largeur de bande, voire aucune.

8
[Date] 9
10