Quiz: Comprendre les Attaques DDoS et Contre-mesures — 22 perguntas

Perguntas e respostas detalhadas

1. Qu’est-ce qu’un DDoS ?

Une intrusion furtive qui cherche surtout à voler des identifiants
Une attaque visant à rendre un service indisponible en utilisant plusieurs machines coordonnées
Une panne technique provoquée par une seule machine mal configurée
Une attaque qui chiffre les fichiers d’un serveur pour bloquer l’accès au service

Une attaque visant à rendre un service indisponible en utilisant plusieurs machines coordonnées

Explicação

Un DDoS cherche à rendre un service inaccessible en s’appuyant sur plusieurs machines, souvent coordonnées. La version à une seule machine correspond plutôt à un DoS.

2. En quoi un DDoS se distingue-t-il principalement d’un DoS ?

Il nécessite toujours une exploitation d’authentification
Il repose forcément sur le protocole UDP
Il vise uniquement les bases de données
Il s’appuie sur plusieurs machines au lieu d’une seule

Il s’appuie sur plusieurs machines au lieu d’une seule

Explicação

La différence clé est la répartition de l’attaque sur plusieurs machines pour un DDoS, contre une seule machine pour un DoS. L’objectif d’indisponibilité reste le même.

3. Que fait une attaque UDP Flood ?

Elle envoie un grand volume de paquets UDP vers une cible
Elle fragmente les paquets pour perturber leur réassemblage
Elle ouvre une connexion TCP complète puis la ferme immédiatement
Elle modifie les enregistrements DNS d’un domaine

Elle envoie un grand volume de paquets UDP vers une cible

Explicação

Un UDP Flood consiste à inonder la cible avec un très grand volume de paquets UDP. UDP étant sans connexion, il n’y a pas d’échange préalable de type handshake.

4. Quel mécanisme explique l’amplification DNS dans une attaque DDoS ?

Le protocole DNS établit une session avant chaque réponse
Des réponses DNS plus volumineuses que les requêtes initiales sont renvoyées vers la victime
Des fragments IP mal formés empêchent le réassemblage des paquets
Les paquets UDP déclenchent automatiquement un chiffrement côté serveur

Des réponses DNS plus volumineuses que les requêtes initiales sont renvoyées vers la victime

Explicação

L’amplification DNS exploite le fonctionnement du DNS pour faire revenir vers la victime un volume de trafic fortement accru. La fragmentation problématique relève plutôt des attaques de type Teardrop.

5. Quel est le rôle du three-way handshake TCP ?

Attribuer une adresse IP à chaque hôte du réseau
Chiffrer automatiquement les données applicatives
Répartir le trafic entre plusieurs serveurs applicatifs
Établir une connexion entre client et serveur avant l’échange de données

Établir une connexion entre client et serveur avant l’échange de données

Explicação

Le three-way handshake TCP est le mécanisme en trois étapes qui établit la connexion avant le transfert des données. Les étapes sont SYN, SYN/ACK, puis ACK.

6. Pourquoi un SYN Flood perturbe-t-il un serveur TCP ?

Parce qu’il supprime les routes réseau vers la cible
Parce qu’il envoie massivement des demandes de connexion inabouties sans ACK final
Parce qu’il empêche le serveur d’émettre le SYN initial
Parce qu’il remplace les paquets TCP par des paquets ICMP

Parce qu’il envoie massivement des demandes de connexion inabouties sans ACK final

Explicação

Dans un SYN Flood, l’attaquant envoie de nombreux SYN sans terminer le handshake, ce qui laisse des connexions semi-ouvertes. Cela épuise les ressources liées aux connexions en attente.

7. Qu’est-ce qu’un botnet ?

Un protocole qui vérifie l’authenticité des paquets
Un ensemble de machines compromises contrôlées à distance pour mener des actions malveillantes
Un pare-feu qui bloque automatiquement les requêtes suspectes
Un serveur DNS qui réécrit les adresses IP

Un ensemble de machines compromises contrôlées à distance pour mener des actions malveillantes

Explicação

Un botnet regroupe des machines infectées et pilotées à distance, souvent via un serveur de commande et de contrôle. Il sert fréquemment à lancer des attaques distribuées.

8. Que se passe-t-il lorsque le backlog d’un serveur est saturé ?

Le serveur transforme les requêtes entrantes en paquets DNS
Le serveur augmente instantanément sa bande passante disponible
Le serveur refuse même les nouvelles connexions légitimes jusqu’à libération d’entrées
Le serveur convertit automatiquement les connexions incomplètes en connexions établies

Le serveur refuse même les nouvelles connexions légitimes jusqu’à libération d’entrées

Explicação

Le backlog stocke les connexions TCP incomplètes en attente d’un ACK final ; s’il est plein, de nouvelles connexions légitimes peuvent être refusées. Les entrées ne deviennent pas automatiquement établies.

9. Quelle technique fait partie des variantes mentionnées du SYN Flood ?

Une attaque par phishing ciblé
Un SYN Flood distribué via un botnet
Une suppression de fichiers par ransomware
Un vol de session par injection SQL

Un SYN Flood distribué via un botnet

Explicação

Parmi les variantes citées figurent notamment le SYN Flood distribué via un botnet et d’autres formes liées à l’établissement TCP. Les autres propositions relèvent d’attaques d’un autre type.

10. Quelle contre-mesure est citée pour aider à détecter ou limiter un SYN Flood ?

La compression des requêtes DNS
La duplication des adresses MAC
Les SYN cookies
Le chiffrement asymétrique des fichiers

Les SYN cookies

Explicação

Les SYN cookies figurent parmi les mesures mentionnées pour contrer ce type d’attaque en limitant l’allocation de ressources aux connexions incomplètes. Ils visent à réduire l’impact du remplissage du backlog.

11. Quel indicateur est le plus utile pour détecter un SYN Flood en cours sur un serveur ?

Un grand nombre de connexions en état SYN_RECV
Un afflux de requêtes HTTP en mode POST
Une diminution de la taille des paquets DNS
Une hausse des connexions déjà établies

Un grand nombre de connexions en état SYN_RECV

Explicação

Un SYN Flood se traduit typiquement par une accumulation de demi-connexions en attente, visibles en SYN_RECV. Le fait d’avoir beaucoup de connexions déjà établies correspond plutôt à un trafic normal ou à une charge applicative.

12. Quelle mesure est explicitement citée comme contre-mesure possible face à un SYN Flood ?

La désactivation complète du protocole TCP
Le chiffrement systématique des paquets UDP
L’activation des SYN cookies
L’augmentation du nombre de domaines DNS

L’activation des SYN cookies

Explicação

Les SYN cookies font partie des contre-mesures mentionnées pour limiter l’impact d’un SYN Flood. Les autres propositions ne répondent pas au problème de saturation du backlog lors de l’établissement TCP.

13. Quel est l’un des rôles du RSSI pendant une crise de DDoS ?

Réécrire le code applicatif du site en production
Remplacer le pare-feu par un routeur plus rapide
Supprimer les journaux pour alléger les serveurs
Coordonner la réponse et les acteurs concernés

Coordonner la réponse et les acteurs concernés

Explicação

Le RSSI pilote la gestion d’incident en coordonnant la réponse et les bons intervenants. La conservation des journaux est au contraire importante pour l’analyse et la traçabilité.

14. Pourquoi une méthodologie inspirée de l’ANSSI est-elle utile pendant une crise DDoS ?

Pour empêcher toute communication entre équipes
Pour éviter d’identifier les causes de l’attaque
Pour remplacer totalement les outils de supervision
Pour structurer la riposte en phases et en tâches

Pour structurer la riposte en phases et en tâches

Explicação

La méthodologie ANSSI sert à organiser la réponse de manière rigoureuse, avec des phases et des tâches claires. Elle ne remplace pas les outils, mais aide à coordonner leur usage.

15. Quel usage de l’IA est évoqué comme un risque dans le contexte des DDoS ?

Automatiser et améliorer les attaques
Rendre impossible toute forme de détection
Supprimer le besoin de machines compromises
Ralentir systématiquement les débits réseau

Automatiser et améliorer les attaques

Explicação

L’IA peut servir à automatiser, adapter ou améliorer des attaques DDoS. Elle ne supprime pas les botnets ni n’empêche toute détection.

16. Quel est l’effet le plus plausible de l’IA dans les mécanismes de défense face aux DDoS ?

Aider à analyser plus vite les signaux et anomalies
Garantir l’arrêt immédiat de chaque attaque
Remplacer tout filtrage réseau par défaut
Éliminer la nécessité de superviser les ressources

Aider à analyser plus vite les signaux et anomalies

Explicação

Dans la défense, l’IA peut aider à repérer plus rapidement des anomalies et à soutenir l’analyse. Elle n’élimine ni la supervision ni le besoin de mesures de filtrage.

17. Dans une simulation d’attaque HTTP Flood, quel comportement est typiquement observé côté serveur quand le backlog est plein ?

Le serveur redirige automatiquement le trafic vers le client
Les nouveaux SYN peuvent être rejetés par RST ou ignorés
Les requêtes DNS sont converties en paquets UDP
Toutes les connexions passent immédiatement en ESTABLISHED

Les nouveaux SYN peuvent être rejetés par RST ou ignorés

Explicação

Quand le backlog est saturé, le noyau peut rejeter les nouveaux SYN en répondant par RST ou en les ignorant. Les connexions ne peuvent alors plus s’établir normalement.

18. Quel indice apparaît souvent dans les journaux pendant une attaque HTTP Flood simulée ?

Des fragments Teardrop marqués comme valides
Une baisse soudaine de toutes les erreurs réseau à zéro
Des adresses IP sources toutes identiques et légitimes
Des milliers de connexions en SYN_RECEIVED qui n’atteignent jamais ESTABLISHED

Des milliers de connexions en SYN_RECEIVED qui n’atteignent jamais ESTABLISHED

Explicação

Les logs montrent fréquemment un grand nombre de connexions bloquées en SYN_RECEIVED sans passage à ESTABLISHED. Cela reflète l’échec de l’établissement des connexions pendant l’attaque.

19. Quelle idée centrale résume la conclusion sur le déni de service distribué ?

Le protocole TCP protège automatiquement contre toute saturation
La disponibilité d’un service peut être compromise par plusieurs sources de trafic
Les attaques DDoS n’affectent que les services DNS
Un seul paquet suffit à détruire définitivement un serveur

La disponibilité d’un service peut être compromise par plusieurs sources de trafic

Explicação

La conclusion insiste sur le fait qu’un DDoS vise l’indisponibilité d’un service en saturant ses ressources via plusieurs sources. Les autres propositions sont trop absolues ou trop restrictives.

20. Quel élément est présenté comme essentiel pour répondre efficacement à un DDoS ?

La suppression immédiate de tous les logs
L’arrêt permanent de tous les services exposés
Le calme des équipes et une organisation rigoureuse pendant la crise
L’abandon de toute coordination humaine

Le calme des équipes et une organisation rigoureuse pendant la crise

Explicação

La conclusion souligne que la réponse dépend autant de l’organisation et du calme des équipes que des équipements. Supprimer les logs ou arrêter tous les services ne constitue pas une stratégie de crise pertinente.

21. Quel document est présenté comme une ressource de l’ANSSI pour approfondir la compréhension et la conduite face à un DDoS ?

Le glossaire DDoS d’Akamai consacré aux attaques de saturation
Le rapport Cloudflare DDoS 2025 Q4 sur les tendances de menace
Le guide ANSSI DDoS disponible sur messervices.cyber.gouv.fr
Le document CERT-FR RFX-010-2 sur un cas de référence

Le guide ANSSI DDoS disponible sur messervices.cyber.gouv.fr

Explicação

Le guide ANSSI DDoS est explicitement cité comme ressource de référence pour comprendre et gérer un DDoS. Le rapport Cloudflare et le document CERT-FR sont bien mentionnés, mais pour d’autres usages.

22. Quel rapport est cité pour présenter des tendances et observations sur les menaces DDoS, avec une édition 2025 Q4 ?

Le document CERT-FR RFX-010-2
Le rapport Cloudflare DDoS 2025 Q4
Le glossaire Akamai DDoS
Le guide ANSSI DDoS

Le rapport Cloudflare DDoS 2025 Q4

Explicação

Le rapport Cloudflare DDoS 2025 Q4 est la ressource indiquée pour les tendances et observations sur les menaces DDoS. Les autres documents sont des références utiles, mais ils ne correspondent pas à ce rôle précis.

Revisar com flashcards

Memorize as respostas com 18 flashcards sobre Comprendre les Attaques DDoS et Contre-mesures.

DDoS — définition ?

Attaque utilisant plusieurs machines pour rendre un service inaccessible

DoS — différence ?

Une seule machine attaque, DDoS multiple machines

UDP Flood — mécanisme ?

Inondation de paquets UDP vers une cible

Veja os flashcards →

Estude a ficha de revisão

Leia a ficha de revisão completa sobre Comprendre les Attaques DDoS et Contre-mesures.

Veja a ficha de revisão →

Similar courses

Introduction à l'Informatique et IA

Introduction aux marchés publics et réglementations du bâtiment

Bases de données

Gestion des imprimantes Windows et PDF

Introduction aux bases de données relationnelles

Bases de données

Maîtrise des Boucles en Programmation

Programmation

Maîtrise des fonctions et paradigmes de programmation

Programmation

Crie seus próprios quizzes

Importe seu curso e a IA gera quizzes com correções em 30 segundos.

Gerador de quizzes