Lernzettel: Comprendre les Attaques DDoS et Contre-mesures

📋 Plan du Cours

1. Définition du DDoS
2. UDP Flood, amplification DNS et fragmentation
3. SYN Flood et protocole TCP
4. Botnet, spoofing et saturation du backlog
5. Variantes et contre-mesures du SYN Flood
6. Détection et prévention des DDoS
7. Rôle du RSSI en crise
8. Impact de l’IA sur les DDoS
9. Simulation d’une attaque HTTP Flood
10. Conclusion
11. Bibliographie

📖 1. Définition du DDoS

🔑 Notions clés & Définitions

• DDoS : Un DDoS est une attaque visant à rendre un service inaccessible en s’appuyant sur plusieurs machines, souvent coordonnées.
• DoS : Un DoS est la version à une seule machine d’une attaque qui cherche aussi à rendre un service indisponible.

📝 Points essentiels

• Un DDoS vise l’inaccessibilité d’un service en surchargeant ou perturbant ses ressources depuis plusieurs machines.
• La différence clé avec un DoS est la répartition de l’attaque sur plusieurs machines au lieu d’une seule.

💡 Astuce mémo

DDoS = DO S à plusieurs : même objectif, plusieurs machines simultanément.

📖 2. UDP Flood, amplification DNS et fragmentation

🔑 Notions clés & Définitions

• UDP Flood : Une attaque DDoS de type inondation qui envoie un grand volume de paquets via le protocole UDP vers une cible.
• Amplification DNS : Une attaque DDoS qui exploite le fonctionnement du DNS pour augmenter fortement le volume de trafic envoyé vers une cible.
• Attaque par fragmentation Teardrop : Une attaque par fragmentation qui vise à perturber la reconstruction des paquets à partir de fragments mal formés, souvent associés au type Teardrop.

📝 Points essentiels

• UDP est un protocole sans connexion qui transporte les messages sans établir de session préalable via un échange de type handshake.
• DNS est un système qui traduit des noms de domaine en adresses IP.
• La MTU (Maximum Transmission Unit) fixe la taille maximale d’un paquet transporté sur le réseau.
• L’offset indique la position d’un fragment dans un paquet original lors du découpage en fragments.
• L’attaque Teardrop s’appuie sur des fragments pour créer une reconstruction problématique côté destinataire.

💡 Astuce mémo

UDP Flood = UDP sans connexion ; Amplification DNS = DNS amplifie ; Teardrop = fragmentation qui casse la reconstruction.

📖 3. SYN Flood et protocole TCP

🔑 Notions clés & Définitions

• SYN Flood : Un SYN Flood est une attaque qui abuse de l’établissement TCP en envoyant massivement des demandes de connexion inabouties au serveur cible.
• Three-way handshake : Le three-way handshake est le mécanisme TCP en trois étapes qui établit une connexion entre client et serveur avant l’échange de données.
• Backlog : Le backlog est la file de connexions en attente utilisée par un serveur pour stocker des demandes TCP avant établissement effectif.
• TCB : Le TCB est la structure mémoire qui représente une connexion TCP en cours ou en attente sur l’hôte serveur.

📝 Points essentiels

• Une connexion TCP démarre par un SYN, puis le serveur répond par SYN/ACK, et le client termine par ACK pour établir la connexion.
• Dans un SYN Flood, l’attaquant envoie des milliers de SYN avec une adresse IP source usurpée pour déclencher le handshake sans fournir l’ACK final.
• Le serveur ouvre des connexions en attente pour chaque SYN et reste en attente des ACK qui n’arrivent jamais, ce qui ralentit puis empêche de traiter les requêtes légitimes.
• Le remplissage du backlog par des demi-connexions augmente la charge côté serveur jusqu’à une saturation complète, pouvant aller jusqu’au plantage du serveur.
• Les demi-connexions occupent des ressources liées à la prise en charge TCP, notamment via des états de connexion mémorisés (TCB) jusqu’à expiration ou résolution.

💡 Astuce mémo

SYN Flood = SYN “sans ACK” → backlog plein → serveur bloqué.

📖 4. Botnet, spoofing et saturation du backlog

🔑 Notions clés & Définitions

• Botnet : Un botnet est un ensemble de machines compromises contrôlées à distance pour exécuter des actions malveillantes.
• Spoofing : Le spoofing est une falsification d’identifiants (adresse IP ou champs d’un message) pour faire croire à une origine légitime.
• Table de connexions (backlog) : La table de connexions, ou backlog, est une zone mémoire où le serveur range les connexions TCP incomplètes en attente d’un ACK final.
• C&C : Le C&C (Command and Control) est le serveur qui pilote à distance un ensemble de machines infectées composant un botnet.

📝 Points essentiels

• Un botnet regroupe des milliers d’équipements infectés (ordinateurs, caméras connectées, routeurs) contrôlés à l’insu des propriétaires via un C&C.
• Le spoofing d’e-mail falsifie le champ From pour que le destinataire croie que le message provient d’une entreprise légitime.
• Le spoofing de site web consiste à présenter un faux site copié très fidèlement (apparence) pour tromper l’utilisateur après un lien malveillant.
• Quand des messages SYN arrivent, le serveur attend l’ACK et stocke chaque connexion incomplète dans le backlog avec une limite de capacité.
• Si le backlog est saturé, le serveur refuse même les nouvelles connexions légitimes jusqu’à libération d’entrées par expiration.

💡 Astuce mémo

From falsifié + site cloné = la victime pense “c’est officiel”, puis le backlog se remplit par les connexions SYN incomplètes.

📖 5. Variantes et contre-mesures du SYN Flood

📖 6. Détection et prévention des DDoS

📖 7. Rôle du RSSI en crise

📖 8. Impact de l’IA sur les DDoS

📖 9. Simulation d’une attaque HTTP Flood

🔑 Notions clés & Définitions

• Saturation du backlog : État du serveur où la file d’attente des connexions semi-ouvertes est pleine, ce qui empêche de nouvelles connexions d’aboutir.
• SYN_RECEIVED : État TCP côté noyau indiquant qu’un SYN a été reçu mais qu’aucun établissement de connexion n’a encore abouti.
• ESTABLISHED : État TCP où la connexion est réellement établie et prête à transférer des données.

📝 Points essentiels

• Quand le backlog est plein, le noyau rejette les nouveaux SYN entrants en répondant par RST ou en ignorant simplement le SYN.
• Le navigateur d’un utilisateur normal peut tourner indéfiniment, avec des erreurs du type connection timed out ou ERR_CONNECTION_REFUSED quand les connexions ne s’établissent plus.
• Les logs montrent typiquement des milliers de connexions en état SYN_RECEIVED qui ne passent jamais à ESTABLISHED pendant l’attaque.
• Dans les cas extrêmes, une attaque suffisamment puissante peut faire planter le serveur, déclencher des timeouts en cascade et provoquer une panne totale de l’infrastructure.

📖 10. Conclusion

🔑 Notions clés & Définitions

• Déni de service distribué : Le déni de service distribué vise à rendre un service indisponible en saturant ses ressources via plusieurs sources de trafic.
• Three-way handshake TCP : Le three-way handshake TCP est l’échange initial qui établit une connexion entre deux hôtes avant le transfert des données.
• RSSI en crise : Le RSSI pilote la gestion d’incident pendant une attaque DDoS en coordonnant la réponse et les acteurs concernés.
• Méthodologie ANSSI : La méthodologie de l’ANSSI structure la riposte en phases et en tâches pour une conduite rigoureuse de la crise DDoS.

📝 Points essentiels

• Le déni de service distribué révèle la fragilité des infrastructures face à des menaces qui évoluent constamment.
• Une faille ou une perturbation d’un mécanisme clé comme le three-way handshake TCP peut paralyser des systèmes à grande échelle.
• La réponse à un DDoS ne repose pas uniquement sur des équipements : elle dépend aussi du calme des équipes et de l’organisation pendant la crise.
• Le RSSI coordonne la réponse en appliquant une méthodologie rigoureuse inspirée de l’ANSSI et en mobilisant les bons acteurs au bon moment.

💡 Astuce mémo

TCP handshake fragile → connexion bloquée → service paralysé à grande échelle.

📖 11. Bibliographie

🔑 Notions clés & Définitions

• Guide ANSSI DDoS : Ressource ANSSI disponible sur messervices.cyber.gouv.fr pour approfondir la compréhension et la conduite face à un DDoS.
• Glossaire Akamai DDoS : Définition et notions clés sur la page Akamai pour cadrer l’attaque par déni de service distribué (DDoS).
• Rapport Cloudflare DDoS 2025 : Rapport Cloudflare présentant des tendances et des observations sur les menaces DDoS, dont l’édition 2025 Q4.
• Document CERT-FR RFX-010-2 : Publication du CERT-FR sur un cas de référence (RFX-010-2) utile pour documenter une approche et des éléments de réponse.

📝 Points essentiels

• Le guide ANSSI est accessible ici : https://messervices.cyber.gouv.fr/documents-guides/NP_Guide_DDoS.pdf/.
• La définition DDoS d’Akamai est disponible ici : https://www.akamai.com/fr/glossary/what-is-ddos/.
• Le rapport de menaces DDoS Cloudflare 2025 Q4 se trouve ici : https://blog.cloudflare.com/fr-fr/ddos-threat-report-2025-q4/.
• Le document CERT-FR référencé est ici : https://cert.ssi.gouv.fr/uploads/CERTFR-2024-RFX-010-2.pdf/.
• Les pages sur DDoS et SYN Flood de Check Point et d’autres acteurs sont listées pour complément : https://www.checkpoint.com/fr/cyber-hub/cyber-security/what-is-a-ddos-attack/what-is-a-syn-flood-attack/ et https://fr.radware.com/security/ddos-knowledge-center/ddospedia/syn-flood/.
• Les chaînes vidéo indiquées pour approfondir sont celles de Radware et Neurotek.

📅 Repères chronologiques

📊 Tableaux de synthèse

Comparaison des techniques DDoS (période II)

⚠️ Pièges & confusions fréquents

1. Confondre DoS et DDoS : un DDoS utilise plusieurs machines synchronisées, pas une seule source.
2. Croire que le serveur “n’a rien à faire” en SYN Flood : il réserve de la mémoire (TCB) et envoie des SYN-ACK.
3. Penser que le backlog stocke des connexions établies : il stocke des connexions incomplètes en attente d’un ACK final.
4. Oublier le rôle de l’ACK dans le three-way handshake : sans ACK, la connexion n’aboutit pas et la saturation s’installe.
5. Confondre SYN_RECEIVED et ESTABLISHED : les logs décrivent des SYN_RECEIVED qui ne passent jamais à ESTABLISHED.
6. Dire que le serveur reçoit toujours le trafic “vrai” : en spoofing, l’IP source est falsifiée, donc les SYN-ACK visent des adresses inaccessibles.

✅ Checklist Examen

1. Définir un DDoS et distinguer la version DoS (une seule machine) à partir de l’objectif d’indisponibilité.
2. Expliquer comment le SYN Flood déclenche le three-way handshake et pourquoi l’ACK final n’arrive pas.
3. Citer le rôle du backlog (table de connexions) et ce qui se produit quand il atteint sa capacité.
4. Décrire ce que stocke le TCB et l’état associé côté serveur lors de la réception des SYN (SYN_RECEIVED).
5. Expliquer l’IP spoofing avec raw sockets et ce que provoquent les SYN-ACK envoyés à des IP sources inexistantes.
6. Décrire le déroulement de l’attaque SYN Flood : botnet + envoi massif de SYN + remplissage du backlog + saturation complète.
7. Maîtriser les variantes du SYN Flood mentionnées (IP fixe, SYN-ACK flood, SYN Flood distribué via botnet, amplification).
8. Savoir citer les éléments de détection/contre-mesure du SYN Flood : netstat sur SYN_RECV, IDS/alertes, SYN cookies, sysctl, scrubbing center.
9. Expliquer comment détecter une attaque DDoS globalement : supervision + analyse des ressources + NetFlow/IPFIX.
10. Expliquer la prévention : diagnostic (réseau vs application), filtrage interne, action opérateur (blackholing), et protections externalisées (CDN/anti-DDoS cloud).
11. Donner les axes du rôle du RSSI : main courante hors réseau, boucliers P0→P3, sauvegarde des logs, traduction pour la direction.
12. Résumer l’impact de l’IA en attaque et en défense, puis décrire la simulation HTTP Flood (serveur local + script + requêtes GET).