Technologies Web : Le gouvernement peut-il empêcher une attaque DDoS ?
Les attaques DDoS font partie de la vie dans le monde du Web. Vous ne serez jamais totalement protégé, mais des procédures peuvent réduire ces risques.
Will Hogan
Le 8 Décembre 2010, un groupe de hackers a lancé des attaques par déni de service distribuées (DDoS) contre les serveurs Web de Visa et de PayPal. Un autre incident s’est produit quasiement en même temps, au cours duquel des hackers ont attaqué le site Web officiel du gouvernement suédois. Ces attaques ont été largement couronnées de succès. Tous les services proposés par ces sites ont été sérieusement perturbés.
Si une entreprises majeure comme Visa qui opère sur le plan mondial ne peut empêcher ces attaques, les gouvernements et les agences gouvernementales peuvent-ils bloquer de telles attaques de leurs serveurs Web ? La réponse simple est « non », ou peut-être « probablement pas ».
Pour comprendre pourquoi ces types d’attaques sont si difficiles à prévenir, évaluez précisément ce qu’est une attaque DDoS et en quoi elle diffère d’une attaque par déni de service (DoS). Ensuite vous pourrez réfléchir aux étapes que vous devrez entreprendre pour préparer et mettre à l’abri votre infrastructure contre de telles attaques.
Flux de connexions
Une des limites que les ordinateurs partagent est le nombre maximal de connexions simultanées. À chaque instant, il ne peut y avoir plus de 65,535 connexions établies sur un ordinateur ou un serveur Windows. Il s’agit d’une limite intéressante et qui présente une importance spéciale car elle est à l’origine d’une attaque DoS de base.
Si un hacker, ou un groupe de hackers, peuvent maintenir 65,535 sessions simultanées à un serveur, ils dénieront effectivement ce service à d’autre personnes. Personne d’autre ne pourra se connecter jusqu’à ce que ces connexions soient éliminées. Une fois qu’un serveur Web atteint ce seuil, il ne peut accepter d’autres connexions, d’où le deni de service.
Il existe généralement deux types d’attaques DoS. Certaines sont conçues pour que le système tombe en panne (comme le « ping de la mort »). D’autres ont pour objectif d’inonder le système avec des requêtes de ressources (bande passante, temps processeur, espace disque, etc.). Les deux sont potentiellement dévastatrices, chacune à leur façon.
Vous pouvez configurer vos routeurs pour qu’ils ne répondent pas aux requêtes ou aux diffusions ping et qu’ils ne transmettent pas les paquets destinés aux adresses de diffusion. Les systèmes de filtrage d’IP modernes sont désormais suffisamment intelligents pour atténuer ces menaces en refusant tout ping plus large que le niveau configuré. Ils peuvent également être configuré pour autoriser un nombre limité de connexions simultanées provenant d’une adresse IP unique.
La limitation du nombre de connexions simultanées est efficace contre les attaques de flux DoS si la limite définie est faible (cinq ou six connexions par exemple). Pour générer suffisamment de requêtes de ressources, cela signifierait qu’un très grand nombre de hackers soient impliqués (trop pour être organisés en un seul groupe). À cause de cela, les hackers DoS ont du trouver une autre alternative.
Les attaques DDoS permettent aux hackers d’outrepasser cette restriction. Lors d’une attaque DDoS, les hackers n’envoient pas l’attaque DoS depuis leur propre ordinateur. Au lieu de cela, ils utilisent un réseau d’ordinateurs dans lequel ils ont réussi à placer un « agent zombie ». Cela leur permet d’utiliser ces ordinateurs pour déclencher l’attaque DDoS (plus communément appelé botnet). Un seul hacker peut ainsi contrôler plusieurs milliers d’« agents zombies », chacun envoyant cinq ou six connexions à un serveur Web, sans que le propriétaire de l’ordinateur ne soit au courant de ce qu’il se passe.
Un petit groupe de hackers, agissant ensembles, peuvent facilement dénier l’accès à tout utilisateur bien intentionné ou faire tomber en panne un système entier. La technologie de filtrage d’IP actuelle ne peut empêcher ces types d’attaques, mais y a-t-il quelque chose à faire ?
Il existe des étapes pour réduire le risque, ainsi que de raisons pour lesquelles ces attaques ne fonctionneront probablement pas :
- Faites en sorte que tous les systèmes d’exploitation et les applications d’ordinateurs soient entièrement protégés contre les infiltrations malveillantes. C’est une bonne idée, mais difficilement réalisable. Même si c’était possible, vous ne pourrez pas vous prémunir d’un idiot qui ouvre un courrier électronique indésirable, qui double-clique sur la pièce jointe ou qui installe par inadvertance un Trojan.
- Installez votre application de service Web sur un grand nombre de serveurs indépendants situés dans différentes régions du monde. Chaque serveur pourra toujours être attaqué, mais les chances sont minces pour qu'ils soient tous en panne.
- Installez votre application de service Web sur un grand nombre de serveurs indépendants situés au même endroit. Installez en amont un groupe d’équipements d’équilibrage de la charge. Cela peut être très coûteux, mais si le service que vous proposez est essentiel, alors qu’est-ce que cela rapporte à l’entreprise d’hébergement de ne pas être victime d’une attaque réussie ?
Des attaques DDoS se produisent. Même les gouvernements ne sont pas immunisés. Au cours de l’été 2010, le serveur du Central Applications Office irlandais a subi une attaque DDoS. En 2009, lors des élections iraniennes, le site Web officiel du gouvernement iranien a été attaqué et rendu inaccessible. En 2001, le serveur du ministère des finances irlandais a subi une attaque DDoS.
Actuellement, il n’existe pas de méthode de protection infaillible pour empêcher une attaque DDoS. Cependant, pour les services Web critiques, vous devez faire quelque chose : croiser les bras en attendant une attaque n’est pas une option. Vous devez décider quelle est la meilleure stratégie pour protéger votre entreprise.
.jpg)
Will Hogan est le directeur exécutif d’Idappcom Ltd., les développeurs de Traffic IQ Professional.