Attaques DDoS : comprendre les menaces L3, L4 et L7 et s'en protéger
Une attaque par déni de service distribué (DDoS) vise à rendre un service indisponible en le submergeant de trafic depuis un grand nombre de sources. Derrière ce terme générique se cachent en réalité des attaques très différentes, qui ne se combattent pas de la même manière. Les classer par couche réseau aide à comprendre — et à s'en défendre.
Les attaques volumétriques (couches 3 et 4)
Ce sont les plus médiatisées : l'attaquant sature votre lien en envoyant un débit massif (aujourd'hui couramment plusieurs centaines de Gbps, parfois des Tbps). Les techniques classiques sont l'amplification (DNS, NTP, memcached : l'attaquant envoie une petite requête qui déclenche une énorme réponse vers votre adresse usurpée) et les floods UDP/ICMP.
Contre elles, la seule défense réaliste est en amont, dans le réseau de l'opérateur : la capacité doit être suffisante pour absorber l'attaque, et le trafic malveillant filtré avant d'atteindre votre lien. Un firewall installé chez vous est déjà noyé bien avant d'avoir pu réagir.
Les attaques protocolaires (couche 4)
Plutôt que de saturer la bande passante, elles épuisent les ressources d'un équipement (serveur, load balancer, firewall) en exploitant le fonctionnement des protocoles. Le SYN flood en est l'archétype : l'attaquant ouvre des milliers de connexions TCP à moitié établies et laisse la table d'état de la machine se remplir.
La parade repose sur des mécanismes comme les SYN cookies, la limitation du nombre de connexions par source et, là encore, un filtrage en amont capable de distinguer les connexions légitimes du bruit.
Les attaques applicatives (couche 7)
Les plus sournoises. Le trafic ressemble à des requêtes légitimes — un flot de requêtes HTTP vers une page coûteuse, par exemple — mais en volume suffisant pour épuiser votre application ou votre base de données. Le débit brut peut être faible : ce sont le nombre de requêtes et leur coût qui font mal.
Elles demandent une analyse fine : profilage du comportement, défis (challenges) type JavaScript ou captcha, limitation de débit par client, et règles applicatives (WAF). Une simple mesure du débit ne les détecte pas.
Les bonnes pratiques
- Protéger en amont, dans le réseau : la mitigation doit intervenir avant votre lien d'accès, pas après.
- Disposer de capacité et de scrubbing : un réseau surdimensionné qui « nettoie » le trafic absorbe les pics sans couper le service.
- Superviser en continu : détecter tôt, c'est réagir avant l'indisponibilité — d'où l'intérêt d'un NOC 24/7.
- Préparer un plan : savoir qui contacter et quelles actions déclencher fait gagner un temps décisif le jour J.
C'est l'approche de notre offre de protection anti-DDoS : une mitigation L3/L4/L7 intégrée à notre réseau, sans équipement supplémentaire chez vous, supervisée en permanence. Elle est incluse nativement dans notre transit IP.
Un projet réseau à concrétiser ?
Parlons de vos besoins — devis personnalisé sous 24 h, sans engagement.