La présence en ligne de votre organisation risque d’être attaquée depuis tous les coins d’Internet. Les menaces sont de plus en plus nombreuses et sophistiquées, ce qui signifie que vous devez absolument verrouiller les vulnérabilités de votre application dès que possible.
Cela est particulièrement vrai pour les attaques de couche 7 contre votre application, notamment les attaques DDoS et autres attaques de robots. Bien que les attaques DDoS volumétriques de base soient détectables en raison du nombre élevé de requêtes provenant d’une seule adresse IP, la plupart des attaquants utilisent des stratégies plus sophistiquées.
En conséquence, la protection DDoS n’a jamais été aussi importante.
IMAGE: UNSPLASH
Comprendre les vecteurs d’attaque DDoS de couche 7
En partie à cause du nombre croissant d’IoT et d’autres appareils vulnérables, le nombre de robots augmente, ce qui entraîne une augmentation du volume et de l’intensité des attaques DDoS.
Ce problème est exacerbé par des éléments tels que le DDoS-as-a-service, qui permet même à un attaquant totalement inexpérimenté de lancer une attaque DDoS sur votre réseau.
L’attaque DDoS volumétrique est un type d’attaque à la fois difficile à détecter et à arrêter. Les attaques DDoS volumétriques impliquent des quantités massives de trafic qui descendent soudainement sur votre site Web ou votre application, le rendant presque impossible à utiliser pour vos clients.
La plupart des applications Web ne disposent pas de la bande passante nécessaire pour gérer l’attaque, qui consomme alors toutes les ressources informatiques disponibles.
Sans ressources disponibles, il est très difficile de stopper une attaque DDoS volumétrique. Ainsi, la plupart du temps, ces attaques ne prennent fin que lorsque l’attaquant est prêt. Généralement, la meilleure façon d’atténuer ces menaces consiste à prendre des mesures préventives qui protègent les vulnérabilités potentielles.
Ce type d’attaque exploite souvent la couche 7, ou la couche applicative du modèle OSI d’Internet. En ciblant cette couche, les robots exploitent l’accès d’une application au réseau de votre organisation. Certaines vulnérabilités courantes de la couche application peuvent être exploitées avec quelques types d’attaques, notamment :
- Inondation HTTP. Dans une inondation HTTP de base, les robots trouvent une seule page Web ou une tâche gourmande en ressources dans une application et accèdent à plusieurs reprises à ce composant de votre site ou de votre application. Les types plus complexes d’inondations HTTP se comportent de la même manière, mais ils peuvent utiliser des botnets pour envoyer des requêtes directement à votre serveur ou pour effectuer des requêtes qui contournent le cache de votre application.
- Inondation DNS. Utilisant souvent des adresses DNS inexistantes, ce type d’attaque envoie un grand nombre de requêtes DNS au serveur. Étant donné que de nombreuses adresses n’existent pas, vos ressources sont monopolisées tandis que le système tente de trouver la bonne résolution.
- Loris lent. Bien qu’il ne s’agisse pas réellement d’attaques volumétriques, Slowloris et d’autres techniques d’attaque lentes et faibles provoquent un résultat similaire. Plutôt que d’inonder vos ressources avec de gros volumes de requêtes provenant de sources multiples, Slowloris s’appuie sur des requêtes très lentes et fractionnées qui maintiennent les connexions ouvertes pendant de longues périodes. L’effet net est que vos ressources sont entièrement occupées comme s’il y avait eu une attaque DDoS volumétrique.
Étant donné que ces attaques exploitent les faiblesses de l’exécution et du fonctionnement des applications, il est important de limiter autant que possible le contact de votre application avec du trafic malveillant. Une fois que l’attaquant est capable d’accéder à votre application et de commencer à contacter vos ressources, il devient très difficile d’arrêter l’attaque.
Mécanismes de détection avancés pour les attaques de couche 7
Cependant, détecter le trafic malveillant est beaucoup plus facile à dire qu’à faire. De nombreuses attaques DDoS modernes réussissent parce que les robots sont suffisamment sophistiqués pour réussir à imiter le trafic légitime. Par ailleurs, certaines attaques réussissent parce qu’elles utilisent des botnets avec de nombreuses adresses IP différentes.
Dans la mesure où l’un des moyens de détecter une attaque DDoS consistait autrefois à rechercher un grand nombre de requêtes provenant d’un petit nombre d’adresses IP, les solutions d’atténuation ne tiennent pas toujours compte de la taille et des ressources des grands réseaux de zombies.
Pour résoudre ce problème, mettez en œuvre des solutions de détection avancées basées sur l’apprentissage automatique.
La détection des anomalies basée sur l’apprentissage automatique peut améliorer considérablement votre protection DDoS. Il est plus adaptable et plus précis que les logiciels de détection traditionnels, car l’apprentissage automatique est capable de détecter de nouveaux modèles et de choisir d’autoriser ou de bloquer en fonction du contexte.
Plutôt que de demander à votre équipe de sécurité de mettre à jour manuellement les règles, la détection basée sur le machine learning peut souvent ajuster ses paramètres automatiquement.
L’analyse comportementale du trafic applicatif est un autre outil de détection utile. Les solutions qui utilisent l’analyse comportementale peuvent collecter et analyser les données de trafic, vous aidant ainsi à comprendre d’où vient votre trafic et à quoi ressemble un comportement typique.
Cette visibilité permet à vos équipes de sécurité de détecter plus facilement les attaques, car l’analyse comportementale les alertera d’une activité potentiellement malveillante.
Stratégies d’atténuation pour les DDoS complexes de couche 7
Il est important de disposer d’une solution qui exploite une détection avancée pour détecter les attaques potentielles de couche 7, mais vous devez également vous préparer aux attaques DDoS avec des stratégies d’atténuation.
Même si la détection permet de détecter la majorité des attaques, les attaques DDoS évoluent constamment. Vous devez donc vous préparer à ce que certaines attaques passent entre les mailles de vos défenses.
Il est difficile d’atténuer efficacement une attaque DDoS une fois qu’elle a commencé, mais il existe quelques stratégies qui peuvent empêcher l’attaque de fermer complètement votre site Web ou votre application :
- Limitation de débit adaptative. Cela limite la quantité de bande passante allouée à chaque requête. Les utilisateurs individuels qui effectuent trop de demandes identiques au cours d’une période définie sont bloqués.
- Mécanismes défi-réponse. L’authentification des utilisateurs avec ces mécanismes peut empêcher les robots d’accéder à votre application. Les utilisateurs doivent interagir correctement avec le défi pour y accéder, ce qui est très difficile pour les robots.
- Filtrage du trafic adapté aux applications. Les solutions traditionnelles s’appuient sur les adresses IP des utilisateurs pour faire la distinction entre les utilisateurs légitimes et illégitimes. Avec les VPN et autres outils capables de camoufler l’adresse IP d’un utilisateur, cela n’est pas toujours efficace. Pour résoudre ce problème, certaines solutions s’intéressent désormais à la destination d’un utilisateur. Si la destination n’est pas critique pour les utilisateurs légitimes, le nombre d’utilisateurs autorisés à y accéder peut être limité pendant les périodes de fort trafic.
Les attaques DDoS de couche 7 pourraient poser un problème majeur pour votre organisation. Cependant, en mettant en œuvre des outils de détection efficaces utilisant l’apprentissage automatique, vous pouvez réduire votre risque de réussite d’une attaque. De plus, la mise en place de stratégies d’atténuation en cas d’attaque peut limiter les dommages causés à votre application.
IMAGE: UNSPLASH
Si vous êtes intéressé par encore plus d’articles et d’informations liés à la technologie de notre part chez Bit Rebels, nous avons l’embarras du choix.