Une attaque DoS utilise un ordinateur pour submerger un système avec des demandes de données au point que le système tombe en panne. Une attaque DDoS a le même objectif mais utilise tout un réseau d’ordinateurs, ce qui rend l’attaque beaucoup plus difficile à arrêter.
Les attaques DDoS et DoS font partie des cyberattaques les plus courantes, mais comment fonctionnent-elles réellement ? Nous décomposerons chacun d’eux et examinerons en quoi ils diffèrent, ainsi que la façon dont vous pouvez vous protéger des deux.
Qu’est-ce qu’une attaque DoS ?
Une attaque DoS (Denial of Service) submerge un système de demandes de données, l’inondant finalement de tant d’entrées qu’il se bloque, incapable de suivre le rythme. Cela se produit généralement avec les pages Web, ce qui entraîne finalement la fermeture de la page Web et l’absence de réponse, refusant aux utilisateurs tout service que ce site Web peut généralement fournir – d’où le nom d’attaque « déni de service ».
Contrairement à une attaque DDoS, une attaque DoS utilise une seule source pour submerger le système. Il s’agit d’un ordinateur avec une seule connexion Internet qui envoie un flot de requêtes dans le but de planter le système cible.
Un type courant d’attaque DoS est appelé une attaque de « débordement de tampon ». Selon Microsoft :
« Un débordement de tampon collecte des données supplémentaires lorsque le volume d’un programme dépasse sa capacité mémoire. Par exemple, si un programme est écrit pour attendre 10 octets de données et qu’une requête contient 15 octets, les cinq octets supplémentaires iront dans le débordement de la mémoire tampon. La surcharge d’un débordement de tampon peut entraîner un comportement imprévisible ou un plantage d’un programme. Une attaque par débordement de tampon envoie des requêtes qui surchargent le débordement de tampon et font planter le système, ce qui peut le rendre inutilisable.
Étant donné que les attaques DoS ont tendance à être à petite échelle, elles ciblent généralement des sites Web plus petits et des individus disposant de ressources plus limitées que les sites Web de grandes entreprises comme, par exemple, Amazon ou Google.
La bonne nouvelle est que, puisqu’elles proviennent d’une source unique, les attaques DoS sont plus faciles à arrêter que les attaques DDoS. Il n’y a qu’une seule source, donc une fois que la source DoS est identifiée, elle peut être bloquée (souvent par adresse IP) pour stopper l’attaque.
Qu’est-ce qu’une attaque DDoS et comment ça marche ?
Les attaques DDoS (Distributed Denial of Service) ont le même objectif que les attaques DoS mais sont menées à l’aide d’un réseau d’ordinateurs connectés à Internet pour inonder un serveur cible à partir de plusieurs points, le martelant avec beaucoup plus de trafic qu’une attaque DoS typique ne pourrait gérer.
Les attaques DDoS sont souvent exécutées avec un botnet, un réseau d’ordinateurs sous le contrôle de l’attaquant, généralement au moyen d’un logiciel malveillant ou d’une infection virale qui permet à l’attaquant d’utiliser les ressources d’un ordinateur hôte. Les cyber-attaquants infecteront plusieurs ordinateurs au fil du temps, construisant un réseau de machines, puis mèneront une attaque DDoS une fois qu’ils auront suffisamment de puissance de calcul à leur disposition.
Parce qu’elles peuvent apporter beaucoup plus de puissance qu’une attaque DoS, les attaques DDoS peuvent également être utilisées en conjonction avec des attaques de ransomware par de mauvais acteurs qui rendent un système inutilisable jusqu’à ce qu’ils reçoivent une rançon. Ils sont également plus difficiles à suivre car ils utilisent plusieurs appareils qui peuvent se trouver n’importe où dans le monde avec une connexion Internet. Pour cette raison, les attaques DDoS sont considérées comme une menace plus élevée qu’une attaque DoS typique.
Les formes courantes d’attaques DDoS incluent les attaques basées sur le volume (ou volumétriques) et les attaques de serveur DNS. Les attaques volumétriques ciblent la bande passante d’un réseau et l’encombrent de requêtes. Une attaque de serveur DNS s’introduit dans les serveurs DNS (système de noms de domaine) du système, falsifie les adresses IP (protocole Internet), puis utilise ces fausses adresses IP pour envoyer des tonnes de fausses informations et submerger le serveur cible.
Attaques DDoS vs DoS : les différences
Pour récapituler, il existe quelques différences clés entre les attaques DDoS et DoS :
- Nombre de machines impliquées – Les attaques DoS utilisent un appareil et une connexion Internet, tandis que les attaques DDoS en utilisent plusieurs, autant que l’attaquant peut mettre la main dessus.
- Niveau de menace – Les attaques DoS sont généralement considérées comme moins menaçantes que les attaques DDoS car il n’y a qu’une seule source, qui peut être bloquée une fois tracée.
- Utilisation de logiciels malveillants – Les attaques DoS n’impliquent généralement pas de logiciels malveillants, tandis que les attaques DDoS peuvent utiliser des logiciels malveillants pour infecter les ordinateurs et former un botnet.
- Niveau de difficulté – Les attaques DoS sont plus faciles à mener que les attaques DDoS car il suffit d’une machine et d’une connexion Internet.
Il est également plus difficile de se protéger contre une attaque DDoS qu’une attaque DoS, car une attaque DDoS peut frapper un système à partir de beaucoup plus de points, en envoyant beaucoup plus de données qu’une attaque DoS à la fois.
Comment se protéger des attaques DDoS et DoS
Comme d’habitude lorsqu’on parle de cybermenaces, la meilleure défense est de devenir une cible aussi difficile que possible. Assurez-vous que votre logiciel antivirus et anti-malware est à jour. Ne cliquez pas sur les liens suspects. Vérifiez que les sites Web que vous visitez utilisent le cryptage TLS ou SSL (recherchez la petite icône de cadenas à côté de l’URL) et, si possible, activez la navigation « https » pour toutes les pages que vous visitez.
Au niveau organisationnel (entreprises, institutions, etc.), configurer un pare-feu qui ne laisse passer que les adresses IP de confiance est également une bonne solution. Cisco a un guide sur la façon de procéder. Vous pouvez également investir dans des outils tels que les équilibreurs de charge, les pare-feu et l’authentification des utilisateurs. Limiter le nombre de points d’accès à Internet peut également limiter les points d’entrée dans votre système pour les pirates malveillants.
Une fois les mesures de sécurité et un plan d’atténuation des menaces en place, testez régulièrement votre sécurité pour vous assurer qu’elle est toujours solide et colmatez toutes les faiblesses que vous pourriez trouver. Sunny Valley Networks a détaillé les mesures qu’une entreprise peut prendre pour assurer la sécurité de ses données. Et chaque entreprise devrait prendre des mesures – il est beaucoup plus difficile de réparer les dégâts par la suite que de mettre en place une solide défense préventive.