Sur Internet, il existe différents types d’attaques réseau. Les plus spectaculaires et qui peuvent non seulement nuire à leur cible mais aussi à leurs voisins, sont les attaques de type Flood (attaques par inondation).

Le but de ces attaques de type Flood est de provoquer la saturation d’une ressource soit en surchargeant de calcul un serveur, soit en saturant un lien réseau. La cible n’est alors plus en mesure de répondre aux requêtes des Internautes. Concrètement, cela se traduit par un page inaccessible.

Lorsqu’une des ces attaques vise un serveur VPS, seul ce VPS est en général impacté. Dans le cas d’un service d’hébergement web mutualisé, ces attaques peuvent aussi impacter d’autres domaines d’autant plus qu’il est très difficile de connaître le domaine ciblé.

Il existe plusieurs variantes d’attaques de ce types.

Les attaques « SYN Flood »

Cette attaque consiste à demander l’ouverture de plusieurs connexions à la cible mais sans y donner suite. Un paquet de données demandant l’ouverture d’une connexion est appelé un paquet TCP SYN. La cible se trouve alors submergée par ces demandes et n’arrive plus à répondre aux demandes légitimes.

Ce type d’attaque était prisée au temps des modems téléphoniques et des petites connexions ADSL car elle ne nécessitait que peu de ressources pour nuire à la cible.

Aujourd’hui, ce type d’attaque n’est pratiquement plus utilisé les systèmes sont généralement protégés d’origine contre ce type d’attaque. Nos firewalls et nos services en font bien sûr partie.

Les attaques « Flood UDP »

Cette attaque consiste à envoyer un grand nombre de données utilisant le protocole UDP sans demande particulière à une cible. Le but étant de saturer un des liens réseaux qui relie la cible à internet. Un des liens étant saturé, la cible n’est plus en mesure de recevoir les demandes légitimes.

De même, ce type d’attaque n’est guère plus utilisé dans sa forme la plus simple (un attaquant et une cible) et est facilement bloquée.

De plus, ce type d’attaque est automatiquement bloqué si elle provient d’un serveur VPS que nous hébergeons.

graph_ddos

Traffic lors d’une Attaque DDos

Les attaques « DDoS »

DDoS est l’abrévation de Distributed Denial of Service siginifiant Déni de Service Distribué.

Cette attaque consiste à demander à des PC zombies (des ordinateurs et des serveurs infecté par un virus) d’effectuer une attaque de type « Flood UDP » à la place de l’attaquant. Ce type d’attaque peuvent produire un trafic réseau très important. Les plus importantes représentent plus de 200000 fois la vitesse de téléchargement moyenne d’une connexion 3G. Et les effets de bord peuvent être terribles pouvant rendre indisponibles les serveurs hébergeant la cible mais aussi d’autres serveurs voir des opérateurs Internet entiers.

ddos

Si dans le cas d’une attaque Flood UDP classique, il est difficile de connaître le domaine ciblé, dans le cas de cette attaque, il devient difficile de connaître le véritable attaquant.

C’est ce type d’attaque qui est en vogue en ce moment. Mais les différents opérateurs mettent en place des solutions pour limiter leur impact.

LWS dispose de moyens pour détecter ce type d’attaque. La réponse peut être graduée selon l’ampleur de l’attaque dans le but de limiter les effets de bords d’une telle attaque. De plus, si un serveur VPS que nous hébergeons tente de participer à une de ces attaques, il est automatiquement bloqué.

Qui lance ces attaques ?

La plupart des attaques enregistrées aujourd’hui sont lancées à partir de PC zombies. Ces PC zombies sont contrôlés par des hackers qui offrent l’utilisation de leur parc de PC zombies moyennant finance.

N’importe qui peut alors acheter une attaque de type DDoS. Nous avons eu le cas d’une rivalité entre deux groupes musicaux pas exemple.

Comment protéger mon site ?

Le plus simple étant d’éviter d’avoir des ennemis. Ce qui est simple quand vous ne parlez que de chatons sur votre blog, devient plus compliqué quand vous parlez de politique ou de sujet sensible.

Il est alors conseillé d’utiliser les services d’un CDN (Réseau de distribution de contenu) comme Cloudflare (Partenaire LWS). Une option permettant de relier un domaine à Cloudflare est d’ailleurs disponible dans l’espace client LWS Panel.

INFO : Mener des attaques de ce type est interdit dans de nombreux pays. En France, l’article L323-2 du Code pénal stipule que « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende« .