Si vous avez été en ligne au cours des dernières années, vous avez probablement entendu parler de services forcés à se déconnecter lors d'une attaque DDoS. Sans avertissement, votre site Web ou jeu vidéo préféré n'est plus en ligne parce que quelqu'un ou quelque chose le "DDoSing".
Bien que le terme DDoS semble cryptique, il fait désormais partie du lexique Internet commun. Mais si vous ne savez toujours pas ce qu'est une attaque DDoS et comment un DDoS peut planter un jeu vidéo, lisez la suite.
DDoS signifie Distributed Denial of Service, et c'est le nom donné à une attaque qui submerge un service de requêtes, le forçant à se déconnecter.
Lorsque vous entendez parler d'un site Web ou d'un jeu vidéo supprimé par des pirates, la plupart du temps, cela signifie qu'ils subissent une attaque DDoS. Les attaquants ciblent un site Web, un service ou un jeu vidéo spécifique et inondent les serveurs en cours d'exécution avec des demandes de données. Le nombre de requêtes peut rapidement submerger l'infrastructure du serveur hébergeant le service, le forçant à se déconnecter.
Une attaque DDoS est parfois appelée DDoSing.
Dans une attaque DDoS, les données ne doivent pas nécessairement être plusieurs fichiers volumineux demandés pour le téléchargement. En fait, c'est souvent le contraire, où des milliers de machines effectuent toutes simultanément de petites requêtes de données. Bien que chaque demande individuelle soit petite, le nombre de demandes amplifie l'effet sur des milliers d'appareils.
Alors, qui contrôle des milliers d'ordinateurs qu'ils peuvent utiliser pour envoyer des requêtes à un seul serveur ?
Pour la plupart, les attaques DDoS proviennent de grands botnets, des groupes d'ordinateurs compromis sous le contrôle d'un attaquant. L'attaquant peut diriger la puissance de son botnet vers une cible, inondant le site Web ou les serveurs de jeux vidéo de requêtes, les mettant hors ligne.
Diriger un énorme volume de trafic vers la victime arrête tout trafic régulier accédant au site Web ou au jeu vidéo, provoquant un déni de service. Le fait que le trafic provienne de nombreuses sources signifie que l'attaque est distribuée, d'où l'attaque par déni de service distribué.
À tout moment, plusieurs attaques DDoS peuvent avoir lieu dans le monde. Vous êtes plus susceptible d'en entendre parler lorsqu'ils mettent hors ligne un service majeur, mais vous pouvez utiliser la carte des attaques numériques comme une approximation de ce qui se passe.
Comme pour la plupart des types de cyberattaques, il existe de nombreux types d'attaques DDoS. DDoS est le terme général donné au style d'attaque, mais il existe de nombreuses options différentes pour les attaquants.
Une attaque DDoS au niveau de la couche application cible les requêtes de sites Web, en effectuant un nombre important de requêtes de données simultanément. Par exemple, l'attaquant peut effectuer des milliers de requêtes pour télécharger un fichier spécifique, ce qui ralentit l'exploration du serveur.
Ces demandes sont presque impossibles à distinguer des demandes des utilisateurs réguliers, ce qui rend difficile l'atténuation d'une attaque DDoS de la couche application.
Les attaques DDoS de la couche application se concentrent principalement sur la perturbation du trafic HTTP. Un type d'attaque DDoS de couche application courant est le HTTP Flood, où un attaquant crée autant de requêtes HTTP aussi rapidement que possible. Pensez-y comme si vous appuyiez sur le bouton d'actualisation de votre navigateur des milliers de fois, mais que des milliers d'autres navigateurs s'actualisent également simultanément.
Une attaque DDoS protocolaire cible le réseau de la victime, ciblant des ressources serveur de nature différente. Par exemple, une attaque de protocole peut surcharger un pare-feu ou un équilibreur de charge, les obligeant à cesser de fonctionner.
Une attaque DDoS SYN Flood est un exemple utile. Lorsque vous faites une demande sur Internet, trois choses se produisent. Tout d'abord, la demande de données, connue sous le nom de SYN (abréviation de Synchronisation). Deuxièmement, la réponse à la demande de données, appelée ACK (abréviation de Acknowledgement). Enfin, le SYN-ACK, qui est essentiellement le demandeur confirmant que les données sont arrivées. Cela semble déroutant mais se déroule en un clin d'œil.
Le SYN Flood envoie essentiellement des tas de faux paquets SYN à partir de fausses adresses IP, ce qui signifie que l'ACK répond à une fausse adresse, qui à son tour ne répond jamais. La demande reste là pendant que d'autres s'accumulent, provoquant un déni de service.
Une attaque DDoS volumétrique peut fonctionner de la même manière qu'une attaque de la couche application, inondant le serveur cible de requêtes, mais avec un modificateur qui peut amplifier le nombre de requêtes simultanées.
L'amplification DNS est l'un des types d'attaques DDoS les plus courants et constitue un excellent exemple d'attaque volumétrique. Lorsque l'attaquant fait une demande au serveur, il inclut une adresse usurpée, souvent l'adresse IP de la cible elle-même. Chaque requête revient à l'adresse IP cible, amplifiant le nombre de requêtes.
Il existe de nombreuses raisons pour lesquelles un attaquant optera pour une cible DDoS, comme la couverture d'un vecteur d'attaque différent ou pour causer un préjudice financier à la victime.
Ce ne sont là que quatre raisons pour lesquelles un attaquant pourrait DDoS un jeu vidéo ou un site Web. Il existe d'autres raisons.
Oui, en un mot. Une attaque DDoS est illégale en vertu de la Computer Fraud and Abuse Act aux États-Unis, de la Computer Misuse Act au Royaume-Uni, et est passible d'une peine maximale de 10 ans d'emprisonnement au Canada.
Les lois et les interprétations varient dans le monde, mais la plupart des pays dotés de politiques de cybersécurité et d'abus informatiques définissent une attaque DDoS comme une activité illégale.
Vous avez entendu parler de Software-as-a-Service (SaaS) et peut-être d'Infrastructure-as-a-Service (IaaS), mais qu'en est-il de DDoSaaS ? C'est vrai, des kits et des plates-formes de "déni de service distribué en tant que service" sont disponibles sur les forums de piratage du dark web.
Au lieu de prendre le temps de créer un botnet, un attaquant potentiel peut payer le propriétaire d'un botnet existant pour qu'il pointe son réseau vers une cible. Ces services portent généralement le nom de "stresseur", ce qui implique que vous pouvez les utiliser pour tester votre réseau contre un attaquant théorique.
Cependant, sans vérification des clients et aucune mesure prise pour garantir la propriété du serveur, ces plates-formes DDoSaaS sont ouvertes aux abus.
Pour résumer, voici quelques exemples d'attaques DDoS de ces dernières années. Selon le rapport Neustar sur les cybermenaces et les tendances pour le 1er/le 2e trimestre 2020 [PDF, inscription requise], le nombre d'attaques délivrant une charge de données soutenue supérieure à 100 Gbit/s a augmenté de plus de 250 % sur une période de 12 mois.
La liste suivante permet d'illustrer la taille variable des attaques DDoS et la façon dont cette taille a augmenté au cours des dernières années.
Il y a eu beaucoup plus d'attaques DDoS en dehors de ces sept attaques, et bien d'autres se produiront, ce qui augmentera probablement leur capacité.
Alors que les attaques DDoS continuent de supprimer avec succès les serveurs, les sites Web et les services de jeux vidéo, les attaquants y verront une option viable.
