Concurrence déloyale : survivre à une attaque Layer 7 DDoS
Un client de DataDome a récemment été la victime d’une attaque majeure par déni de service (DDoS) de la couche 7. Même si cette attaque était à bien des égards peu sophistiquée, par rapport à certaines des menaces que nous observons au quotidien sur les sites Web de nos clients, il n’a pas été aussi simple de la stopper qu’on pourrait le penser.
Et pour preuve : le réseau CDN de notre client (qui restera anonyme) n’avait pas réussi à détecter l’attaque et avait laissé passer le trafic malveillant, alors qu’il disposait pourtant d’une option active de protection contre les attaques DDoS.
Sans plus tarder, examinons le déroulement des événements et comment notre client a évité une catastrophe potentielle.
Profil de la victime et motivation de l’attaque
La victime de l’attaque est un petit site Web du secteur des divertissements. Le site a été lancé tout récemment et son trafic humain légitime ne représente encore que quelques milliers de visiteurs uniques par jour.
Pourquoi a-t-il été ciblé ? Nous n’avons pas de certitudes absolues, mais selon toute vraisemblance, l’attaque émanait d’un concurrent qui souhaitait perturber gravement l’activité de notre client en dégradant l’expérience utilisateur.
Pourquoi sommes-nous arrivés à cette conclusion ? Quelques semaines avant l’attaque, les propriétaires du site Web avaient reçu des menaces à peine voilées de la part d’un concurrent déjà bien établi sur le marché.
En outre, les agresseurs n’ont à aucun moment exigé de rançon. Les pirates motivés par un gain financier commencent en général par une petite attaque qui sert d’avertissement, en menaçant leur victime d’enchaîner sur une attaque de plus grande ampleur si elle ne paie pas une rançon en Bitcoin. Dans notre cas précis, il ne s’est rien passé de tel.
Nous pensons par conséquent que les auteurs de l’attaque souhaitaient décourager leur nouveau concurrent d’entrer sur le marché ou simplement provoquer une indisponibilité suffisamment longue pour entraîner l’échec de son activité naissante.
Le déroulement de l’attaque, point par point
L’attaque a été lancée le 12 novembre 2019, date du lancement d’une grande opération marketing de notre client. En l’espace de quelques heures, ses serveurs ont été submergés par environ 18 millions de requêtes.
Nos journaux révèlent qu’à son paroxysme, l’attaque atteignait le chiffre de 25 000 requêtes par seconde (Figure 1).
Figure 1 : Pic de trafic de 25 000 requêtes par seconde
Par rapport aux pics habituels de ce site Web, de seulement quelques milliers de requêtes par seconde, ce trafic correspond à une charge potentielle pour l’infrastructure de serveurs très supérieure à la normale.
Par chance, les propriétaires du site Web avaient pris au sérieux les menaces de leur concurrent, et avaient décidé d’implémenter la solution de protection anti-bot de DataDome. Nous avons détecté l’attaque dès son déclenchement et avons réussi à bloquer les requêtes malveillantes avant qu’elles ne puissent atteindre les serveurs de notre client. Si ce client n’avait pas été si prévoyant, les agresseurs auraient sans nul doute réussi à faire tomber le site, déviant les clients ailleurs.
Une attaque hyper-distribuée
Le lecteur attentif se rappellera peut-être qu’en plus de la solution de protection anti-bot de DataDome, la victime de l’attaque possédait aussi un réseau CDN doté d’une fonction de protection contre les attaques DDoS. Ce qui pousse inévitablement à se poser cette question : pourquoi le réseau CDN n’a-t-il pas réussi à identifier cette augmentation spectaculaire du volume des requêtes comme une attaque ?
La réponse probable est la distribution massive qui a caractérisé l’attaque. Le trafic malveillant provenait de 4 300 adresses IP différentes réparties entre 1 592 systèmes autonomes.
La majeure partie de ce trafic provenait de l’Asie ; la Thaïlande, l’Inde et l’Indonésie étant les trois pays les plus représentés. Au total, les requêtes malveillantes provenaient de 127 pays et de 1 400 villes.
Etant donné que le site Web et la majorité de ses clients sont basés en Europe, un pic de trafic aussi massif provenant d’une autre région du monde peut sembler assez facile à identifier comme une attaque.
Mais il reste un défi : comment éviter de bloquer les utilisateurs légitimes, que cette jeune entreprise en ligne ne pouvait pas se permettre de perdre ?
Le caractère unique des requêtes, associé à une activité apparemment légitime (il s’agissait de requêtes HTTP GET standard envoyées à la page d’accueil du site Web), faisaient qu’il était très difficile de distinguer le trafic malveillant du trafic normal des utilisateurs. C’est probablement la raison pour laquelle le réseau CDN, malgré sa fonctionnalité anti-DDoS, n’a pas bloqué l’attaque.
Ce cas d’utilisation démontre pourquoi les sites Web placés derrière des réseaux CDN et des équilibreurs de charge restent vulnérables aux attaques DDoS de la couche 7 : ces technologies ne sont tout simplement pas faites pour exécuter une détection anti-bot sophistiquée en temps réel.
La seule façon de garantir la sécurité contre les attaques DDoS de la couche 7 consiste à implémenter une solution spécialisée de protection anti-bot offrant des fonctions de détection réellement expertes.
Comment DataDome stoppe les attaques DDoS de la couche 7
La solution de protection anti-bot de DataDome fait largement appel à l’intelligence artificielle (IA) et aux technologies d’apprentissage automatique (machine learning) pour distinguer les humains des bots, avec un degré de précision que les systèmes de sécurité basés sur des règles ne peuvent tout simplement pas égaler.
Les menaces connues sont détectées en temps réel (dans un délai inférieur à 2 millisecondes), grâce à une mise en correspondance de modèles de règles personnalisées et d’IA connues et aux empreintes HTTP. Environ 99 % de toutes les requêtes de bots malveillants (« bad bots ») envoyées aux sites Web de nos clients, à leurs applications mobiles et à leurs API sont identifiées de cette façon.
Les nouvelles menaces sont identifiées grâce à l’analyse d’un ensemble étendu de signaux, tels que la détection de faux navigateur, la détection d’automatisation du navigateur, le suivi de navigateur, le suivi des événements utilisateurs et la détection d’appareils. Cette couche identifie les nouveaux bots sophistiqués en moins de 100 millisecondes. Lorsque nous détectons une nouvelle menace sur l’un des sites Web de nos clients, l’algorithme est mis à jour automatiquement et nos clients sont protégés instantanément contre le bot.
Grâce à ces fonctionnalités de détection sophistiquées, nous avons réussi à identifier et bloquer en temps réel l’attaque DDoS de la couche 7 visant le site Web de notre client. Entre-temps, le trafic des utilisateurs légitimes a pu être traité sans retards ni interruption.
Surtout, l’équipe IT de notre client n’a pas eu à lever le petit doigt : elle n’a pas eu besoin de créer des règles, de bloquer manuellement des adresses IP, de créer des tickets de support, de répondre à des demandes de résolution des incidents, ni d’effectuer une analyse post mortem. DataDome a géré le trafic malveillant en toute autonomie, et notre client a pu traiter ses opérations en toute normalité.
Avez-vous besoin de protéger votre entreprise contre les attaques DDoS de la couche 7 et d’autres attaques OWASP automatiques ? Démarrez votre essai gratuit ou contactez-nous pour demander une démo, afin de commencer à détecter et bloquer les bots malveillants dès aujourd’hui.
A propos des attaques DDoS de la couche 7
Lors des attaques DDoS de la couche 7, les cybercriminels ciblent la “couche supérieure” (couche applicative L7) du modèle OSI. Par rapport aux attaques contre les couches réseau ou de transport (couches 3 et 4), elles sont en général discrètes et lentes, mais finissent par provoquer autant de dégâts.
Pour qu’une attaque DDoS réussisse, l’agresseur doit envoyer un nombre de requêtes supérieur à celui que les serveurs de la cible peuvent traiter. Les attaques contre la couche applicative ciblent donc en général des éléments gros consommateurs de ressources de l’application Web. Du point de vue du pirate, l’exécution d’une requête HTTP ne nécessite qu’un investissement minime, mais la consommation de ressources nécessaires pour tenter d’y répondre peut être énorme.
Dans les attaques de type HTTP GET, les pirates envoient tout simplement un nombre excessif de requêtes portant sur des fichiers, des images ou d’autres actifs sur le serveur cible, ou appellent inlassablement une API jusqu’à provoquer sa panne.
Les attaques de type HTTP POST ciblent en général des soumissions de formulaires ou des éléments similaires et forcent le serveur à gérer des données de formulaire et exécuter des commandes de base de données jusqu’à le surcharger.
Comme ces requêtes semblent légitimes, les attaques DDoS de la couche 7 sont souvent difficiles à stopper sans des fonctions de détection de bot sophistiquées capables de distinguer efficacement l’activité des bots des requêtes humaines légitimes.
En savoir plus sur la protection contre les attaques DdoS de couche 7
Articles liés
Comment DataDome a contré une attaque DDoS de 2,45 milliards de requêtes visant une plateforme de contenu à fort trafic
En savoir plus
Plarium utilise la détection basée sur l'intention pour bloquer plus de 20 millions de requêtes malveillantes par mois
En savoir plus
Ubaldi.com réduit les coûts du cloud et gagne 20 heures d'ingénierie par mois
En savoir plus
Comment prévenir les attaques DDoS de couche 7 et les attaques de la couche applicative ?
En savoir plus
