WordPress: Comprendre les attaques DDoS: un guide pour les administrateurs WordPress

WordPress: Comprendre les attaques DDoS: un guide pour les administrateurs WordPress

Un déni de service distribué (DDoS) est un type d’attaque par déni de service (DoS) dans laquelle l’attaque provient de plusieurs hôtes par opposition à un, ce qui les rend très difficiles à bloquer. Comme pour toute attaque DoS, l’objectif est de rendre une cible indisponible en la surchargeant d’une manière ou d’une autre.

Généralement, une attaque DDoS implique un certain nombre d’ordinateurs ou de bots. Pendant l’attaque, chaque ordinateur envoie par malveillance des demandes de surcharge de la cible. Les cibles typiques sont les serveurs Web et les sites Web, y compris les sites Web . Par conséquent, les utilisateurs ne peuvent pas accéder au site Web ou au service. Cela se produit car le serveur est obligé d’utiliser ses ressources pour gérer ces demandes exclusivement.

Il est important que les administrateurs comprennent et soient préparés aux attaques DDoS. Ils peuvent survenir à tout moment. Dans cet article, nous allons explorer en détail les DDoS et vous fournir quelques conseils pour protéger votre site .

DDoS est une attaque visant à perturber et non à pirater

Il est important de comprendre qu’une attaque DDoS n’est pas un piratage malveillant au sens traditionnel. Le piratage implique qu’un utilisateur non autorisé accède à un serveur ou à un site Web qu’il ne devrait pas avoir.

Un exemple de piratage traditionnel est lorsqu’un attaquant exploite une vulnérabilité dans le code, ou lorsqu’il utilise un renifleur de paquets pour voler des mots de passe . Une fois que le pirate a les informations d’identification, il peut voler des données ou contrôler le site Web.

DDoS sert un objectif différent et ne nécessite pas d’accès privilégié. DDoS vise simplement à perturber le fonctionnement normal de la cible. Avec les hacks traditionnels, l’attaquant peut vouloir passer inaperçu pendant un certain temps. Avec DDoS, si l’attaquant réussit, vous le saurez presque immédiatement.

Différents types d’attaques par déni de service distribué

Le DDoS n’est pas qu’un seul type d’attaque. Il existe plusieurs variantes différentes et elles fonctionnent toutes un peu différemment sous le capot. Dans la catégorie DDoS, il existe plusieurs sous-catégories dans lesquelles les attaques peuvent être classées. Voici la liste des plus courantes.

Attaques DDoS volumétriques

Les attaques DDoS volumétriques sont techniquement simples: les attaquants inondent une cible de demandes de surcharge de capacité de bande passante. Ces attaques ne ciblent pas directement . Au lieu de cela, ils ciblent le système d’exploitation et le serveur Web sous-jacents. Néanmoins, ces attaques sont très pertinentes pour les sites Web . Si les attaquants réussissent, votre site ne diffusera pas de pages aux visiteurs légitimes pendant la durée de l’attaque.

Les attaques DDoS spécifiques qui entrent dans cette catégorie incluent:

  • Amplification NTP
  • Inondations UDP

Attaques DDoS de la couche application

Les attaques DDoS de la couche application se concentrent sur la couche 7, la couche application. Cela signifie qu’ils se concentrent sur votre serveur Web Apache ou NGINX et sur votre site Web . Les attaques de couche 7 obtiennent plus pour leur argent en ce qui concerne les dommages causés par rapport à la bande passante dépensée.

Pour comprendre pourquoi c’est le cas, examinons un exemple d’une attaque DDoS sur l’API REST . L’attaque commence par une requête HTTP, comme un HTTP GET ou HTTP POST de l’une des machines hôtes. Cette demande HTTP utilise une quantité relativement triviale de ressources sur l’hôte. Cependant, sur le serveur cible, il peut déclencher plusieurs opérations. Par exemple, le serveur doit vérifier les informations d’identification, lire dans la base de données et renvoyer une page Web.

Dans ce cas, nous avons une grande différence entre la bande passante utilisée par l’attaquant et les ressources consommées par le serveur. Cette disparité est généralement exploitée lors d’une attaque. Les attaques DDoS spécifiques qui entrent dans cette catégorie incluent:

  • Inondations HTTP
  • Attaques au ralenti

Attaques DDoS basées sur un protocole

Les attaques DDoS basées sur le protocole suivent le même épuiser les ressources modèle que les autres attaques DDoS. Cependant, ils se concentrent généralement sur les couches réseau et transport, par opposition au service ou à l’application.

Ces attaques tentent de refuser le service en ciblant des appliances telles que des pare-feu ou la pile TCP IP sous-jacente exécutée sur votre serveur. Ils exploitent des vulnérabilités dans la façon dont la pile réseau du serveur gère les paquets réseau ou dans le fonctionnement de la communication TCP. Voici des exemples d’attaques DDoS basées sur un protocole:

Attaques DDoS multi-vecteurs

Comme vous pouvez vous y attendre, les attaquants ne se limitent pas à un seul type d’attaque. Il est de plus en plus courant que les attaques DDoS adoptent une approche multivectorielle. Les attaques DDoS multivectorielles sont exactement ce à quoi vous vous attendez: les attaques DDoS qui utilisent plusieurs techniques pour mettre une cible hors ligne.

Comprendre la réflexion et l’amplification dans DDoS

Deux termes qui reviennent fréquemment avec les attaques DDoS sont réflexion et amplification. Ces deux techniques sont des techniques utilisées par les attaquants pour rendre les attaques DDoS plus efficaces.

Réflexion est une technique où l’attaquant envoie une demande avec une adresse IP usurpée à un 3rd serveur de fête. L’adresse IP usurpée est l’adresse de la cible. Lors de ce type d’attaques, les attaquants utilisent généralement une variété de protocoles UDP. Voici comment cela fonctionne:

  1. L’attaquant envoie une demande UDP avec l’adresse IP usurpée, par exemple l’adresse IP de votre site à un grand nombre de serveurs appelés réflecteurs.
  2. Les réflecteurs reçoivent la demande et répondent à l’IP de votre site en même temps.
  3. Les réponses des réflecteurs inondent votre site , le surchargeant potentiellement et le rendant indisponible.

Amplification fonctionne comme la réflexion. Bien que cela nécessite moins de bande passante et de ressources, car les demandes envoyées aux réflecteurs sont beaucoup plus petites que les réponses que les réflecteurs envoient à la cible. Cela fonctionne de manière similaire à ce que nous avons vu avec les attaques par déni de service distribué de la couche application.

Le rôle des botnets dans les attaques DDoS

Vous êtes-vous déjà demandé d’où les attaquants obtiennent les ressources pour coordonner les attaques?

La réponse est les botnets. Un botnet est un réseau ou des appareils qui ont été compromis par des logiciels malveillants. Il peut s’agir d’un PC, d’un serveur, d’un réseau ou d’un appareil intelligent. Le logiciel malveillant permet aux attaquants de contrôler à distance chaque hôte compromis individuel.

Lorsqu’ils sont utilisés pour DDoS, les botnets exécutent une attaque coordonnée par déni de service contre un hôte cible ou un groupe d’hôtes donné. En bref: les botnets permettent aux attaquants de tirer parti des ressources sur les ordinateurs infectés pour mener des attaques. Par exemple, ce fut le cas lorsque plus de 20000 sites ont été utilisés pour mener des attaques DDoS contre d’autres sites en 2018 (en savoir plus).

La motivation derrière les attaques par déni de service distribué

« Pourquoi les gens effectuent-ils des attaques DDoS? » est une bonne question à poser à ce stade. Nous avons examiné les raisons pour lesquelles un pirate malveillant ciblerait votre site dans le passé, mais un seul de ces points s’applique vraiment aux DDoS: l’hactivisme. Si quelqu’un n’est pas d’accord avec votre point de vue, il peut vouloir faire taire votre voix. DDoS fournit un moyen de le faire.

Au-delà de l’activisme, la cyber-guerre au niveau de l’État ou les attaques industrielles à motivation commerciale sont également des moteurs possibles des DDoS. Et les attaquants espiègles sont assez communs, les adolescents s’amusent et utilisent les DDoS pour créer du chaos.

Bien sûr, l’un des plus grands facteurs de motivation est l’argent. Les attaquants peuvent demander une rançon pour arrêter d’attaquer votre site Web . Il se pourrait qu’ils bénéficient commercialement si votre site est en panne. Pour aller plus loin, il existe des services DDoS pour la location!

Exemples concrets de déni de service distribué

Quelle est la gravité des attaques par déni de service distribué? Voyons quelques-unes des attaques DDoS célèbres des dernières années.

GitHub (deux fois!): GitHub a subi une attaque massive par déni de service en 1015. Il semblait que les attaques visaient deux projets anti-censure sur la plate-forme. Les attaques ont affecté les performances et la disponibilité de GitHub pendant plusieurs jours.

Puis en 2018, GitHub a de nouveau été la cible d’une attaque DDoS. Cette fois, les attaquants ont utilisé une attaque basée sur le memcaching. Ils ont exploité les méthodes d’amplification et de réflexion. Malgré la taille de l’attaque, les attaquants n’ont fait tomber GitHub que pendant environ 10 minutes.

La nation d’Estonie: Avril 2007 a marqué la première cyber-attaque connue contre une nation entière. Peu de temps après que le gouvernement estonien a décidé de déplacer la statue du soldat de bronze du centre de Tallinn vers un cimetière militaire, des émeutes et des pillages ont eu lieu. Dans le même temps, les attaquants ont lancé un certain nombre d’attaques par déni de service distribué qui ont duré des semaines. Ils ont eu un impact sur les services bancaires en ligne, les médias et les services gouvernementaux dans le pays.

DNS Dyn: Le 21 octobre 2016, Dyn a subi une attaque DDoS à grande échelle. En raison de l’attaque, les services DNS Dyn n’ont pas pu résoudre les requêtes des utilisateurs. En conséquence, des milliers de sites Web à fort trafic, notamment Airbnb, Amazon.com, CNN, Twitter, HBO et VISA n’étaient pas disponibles. L’attaque a été coordonnée via un grand nombre d’appareils IoT, notamment des caméras Web et des moniteurs pour bébé.

Conseils pour se protéger contre les attaques DDoS

En tant qu’administrateur individuel, vous n’avez pas les ressources et l’infrastructure pour repousser une attaque DDoS. Bien que de nombreux hébergeurs Web offrent une sorte d’atténuation des attaques DDoS. Alors demandez-en plus lors du choix d’un hébergeur pour votre site . Vous pouvez également utiliser un Pare-feu d’application / Web (WAF) et réseau de distribution de contenu (CDN). Nous avons couplé les WAF et les CDN en une seule entrée car il existe des fournisseurs, comme Sucuri, qui les fournissent tous les deux dans une seule solution.

Lorsque vous utilisez un WAF ou un CDN, le trafic est d’abord acheminé et filtré par le service avant de frapper votre site Web. Cette configuration peut empêcher de nombreuses attaques au col tout en limitant les dégâts des autres. Certains CDN offrent des avantages qui permettent la détection et la réponse aux attaques DDoS. Puisqu’ils peuvent bénéficier d’économies d’échelle dans le cloud, les CDN et les WAF en ligne peuvent décharger les attaques. Ils les redirigent vers des réseaux qui ont beaucoup de bande passante et les bons outils pour les gérer.

Dissuader les pirates et les attaques DDoS

Cependant, comme nous l’avons vu avec le BruteForce Botnet, il existe plusieurs bonnes pratiques de sécurité que vous pouvez mettre en œuvre sur votre site Web afin qu’il n’attire pas l’attention des attaquants et éventuellement des attaques DDoS:

  • Gardez votre site à jour: garder à jour votre noyau , vos plugins, vos thèmes et tous les autres logiciels que vous utilisez réduit le risque qu’une vulnérabilité connue soit utilisée contre vous. Garder votre site à jour réduit également les chances qu’il fasse partie d’un botnet.
  • Utilisez un scanner pour vérifier les vulnérabilités: certaines attaques DoS exploitent des problèmes comme Slowloris. Ceci et d’autres failles de sécurité peuvent être détectés par les scanners de vulnérabilité. Ainsi, lorsque vous analysez votre site Web et votre serveur Web, vous identifiez souvent des vulnérabilités que les attaques DDoS peuvent exploiter. Il existe une variété de scanners que vous pouvez utiliser. Nous utilisons le scanner de sécurité WPScan non intrusif pour les administrateurs .
  • Consultez les journaux pour améliorer la sécurité et identifier les problèmes: Les journaux d’audit et autres journaux peuvent aider à identifier très tôt les comportements malveillants. Grâce aux journaux, vous pouvez identifier les problèmes pouvant être causés par des attaques DDoS, comme des codes d’erreur HTTP spécifiques. Les journaux vous permettent également d’analyser et d’analyser la source d’une attaque. Il existe plusieurs fichiers journaux que les administrateurs peuvent utiliser pour mieux gérer et sécuriser leur site Web.
  • Renforcez l’authentification des utilisateurs: c’est peut-être la dernière meilleure pratique, mais elle est aussi importante que toutes les autres. Mettez en œuvre des politiques de mot de passe solides pour garantir que les utilisateurs de votre site Web utilisent des mots de passe forts. En plus de cela, ajoutez une authentification à deux facteurs avec un plugin .

Le post Comprendre les attaques DDoS: un guide pour les administrateurs est apparu en premier sur WP White Security.

*** Ceci est un blog syndiqué de Security Bloggers Network de WP White Security rédigé par Robert Abela. Lisez l’article d’origine sur: https://www.wpwhitesecurity.com/understand-prevent-ddos-attacks-guide--administrators/

All the CMS Templates You Could Ask For.

WordPress: Comprendre les attaques DDoS: un guide pour les administrateurs WordPress

2M+ items from the worlds largest marketplace for CMS TemplatesEnvato Market.



WordPress: Comprendre les attaques DDoS: un guide pour les administrateurs WordPress

#Comprendre #les #attaques #DDoS #guide #pour #les #administrateurs #