Définition HTTP Flood Attack

Dans la famille des attaques DDoS (attaque par déni de service distribué), nous vous présentons la HTTP (ou HTTPS) Flood Attack. Ce type d’action malveillante sert à rendre inaccessible un site web ou une application. Avec une surcharge de requêtes adressées au serveur web, le pirate informatique provoque tout simplement un crash. Pour vous protéger de ces attaques nuisant à votre activité, apprenez à détecter une attaque HTTP Flood et à vous en prémunir.

Attaque HTTP Flood : une attaque DDoS ciblant un serveur web

L’attaque HTTP Flood cible les serveurs web, les sites internet et les applications en ligne. L’objectif consiste à envoyer un très grand nombre de requêtes à une même cible afin de la rendre indisponible. Il s’agit donc d’une attaque DDoS reposant sur le trafic HTTP.

Qu’est-ce qu’une attaque DDoS ?

L’attaque par déni de service distribué (DDoS) consiste à envoyer une quantité inhabituelle de trafic sur une cible, comme un serveur, un réseau, un site, etc. Ces attaques utilisent des botnets, c’est-à-dire une armée d’ordinateurs et d’appareils connectés piratés, aussi appelés des machines zombies. Ces appareils sont contrôlés par des cybercriminels grâce à un logiciel malveillant téléchargé, par exemple, lors d’une tentative d’hameçonnage.

Les cybercriminels demandent à ces appareils d’envoyer un très grand nombre de requêtes à une cible. Plus les botnets sont nombreux et plus le trafic malveillant est important. Les requêtes, envoyées par des adresses IP différentes, ne sont pas faciles à distinguer du trafic légitime.

HTTP Flood : une attaque par inondation de requêtes

L’attaque par HTTP Flood inonde un serveur ou un site web par des requêtes en nombre. Submergés, les services n’arrivent plus à fonctionner correctement. Le serveur ou le site n’a pas été conçu pour recevoir un important trafic HTTP. L’objectif de ce type d’attaque est d’empêcher le trafic légitime. La connexion à votre site ou application est impossible pour vos utilisateurs. Votre service est, dans le meilleur des cas, ralenti, ou bien complètement arrêté.

L’attaque HTTP Flood n’est pas la seule à cibler les serveurs web. Les cybercriminels peuvent aussi utiliser d’autres « inondations », comme le Ping Flood, le SYN Flood ou encore le Ping of Death.

Comment fonctionne une attaque HTTP Flood ?

L’attaque HTTP Flood cible la couche application, c’est-à-dire tout ce qui touche des protocoles internet, comme le HTTP et le HTTPS. Il s’agit ainsi de toute la partie web, l’accès aux sites et applications via un navigateur. Une attaque sur la couche d’application envoie du trafic malveillant au milieu du trafic légitime. Il existe deux types d’attaques par HTTP Flood, s’appuyant sur des botnets (appareils connectés infectés contrôlés par les cybercriminels).

L’attaque HTTP GET

Lorsqu’un navigateur, le client HTTP, envoie une information à un serveur web, il utilise la requête GET. Cette dernière sert à récupérer du contenu statique, de type bloc de texte ou images pour les afficher à l’écran de l’utilisateur. La requête GET reçoit des données du serveur. Lorsque ce dernier est saturé de demandes, il dysfonctionne, ralentit ou interrompt son activité.

Les attaques GET sont simples à créer et sont accessibles aux hackers débutants. Elles sont cependant moins intéressantes en matière de résultat par rapport à l’attaque par requête POST.

L’attaque HTTP POST

La requête POST envoie des informations au serveur pour qu’il les traite. Il s’agit notamment des requêtes concernant les formulaires de connexion. Le serveur se connecte alors à la base de données pour permettre la connexion de l’utilisateur. L’attaque HTTP POST concerne toutes les données dynamiques.

Ces requêtes demandent plus de ressources au serveur, puisqu’il doit réaliser un traitement plus lourd que pour les données statiques. L’attaque génère une saturation plus rapide et un déni de service plus dommageable.

Comment détecter une HTTP Flood Attack ?

Une attaque HTTP Flood est difficile à détecter. Vous pouvez connaître un pic de trafic légitime suite à la réussite de vos opérations et stratégies commerciales. Il est aussi compliqué de distinguer un trafic malveillant d’un trafic normal, à partir du moment où les requêtes proviennent d’appareils et d’adresses IP légitimes, mais piratées. Il existe heureusement des solutions et des outils de surveillance et d’analyse pour détecter une attaque HTTP Flood.

Surveillance et analyse du trafic

Pour détecter une attaque HTTP Flood, vous devez vous montrer proactif. Surveillez votre trafic régulièrement pour, dans un premier temps, constater les pics de trafic. Lors de ces pics, analysez les logs sur le serveur, notamment les requêtes provenant d’une même adresse IP. Si les requêtes sont répétitives, il existe de fortes chances pour que ces requêtes soient malveillantes.

N’hésitez pas également à comparer le volume de trafic sur différentes périodes. Une activité anormale sur une période réputée calme peut vous mettre la puce à l’oreille. Elle est en revanche plus difficile à détecter si vous êtes un site marchand en période de soldes. Enfin, vérifiez si vous rencontrez un pic de requêtes GET ou POST.

Outils et techniques de sécurité pour détecter une attaque HTTP Flood

Du côté des outils de sécurité, des outils comme le WAF (pare-feu d’application web) sont en mesure de filtrer et bloquer les requêtes malveillantes. D’autres outils de protection, comme un système de détection d’intrusion (IDS) peut, avec une bonne configuration, relever une attaque spécifique de type DDoS.

En quoi l’attaque HTTP Flood se distingue des autres attaques DDoS ?

Les attaques HTTP Flood se distinguent des autres attaques DDoS avant tout par la cible. Il s’agit ici d’attaquer la couche applicative, alors que les autres attaques s’occupent de la couche réseau, transport, etc. Une autre différence concerne la difficulté de détection. L’attaque HTTP Flood utilise des requêtes HTTP normales alors que d’autres attaques DDoS utilisent des paquets ICMP ou UDP, plus faciles à détecter, car moins subtiles.

Quel est l’impact des HTTP Flood Attack ?

Les impacts des attaques HTTP Flood dépendent de sa puissance et de sa durée d’action. Les conséquences sont multiples et peuvent être mineures ou dramatiques pour une entreprise. Citons par exemple :

  • le ralentissement ou l’indisponibilité du serveur web rendant le site ou l’application inaccessibles ;
  • une expérience utilisateur impactée par des ralentissements ;
  • l’arrêt de l’activité ;
  • une perte d’utilisateurs et de visiteurs, préférant consulter un service similaire opérationnel ;
  • l’impact financier dû au ralentissement ou à l’arrêt de l’activité ;
  • la perte de la réputation de votre service ou marque, etc.

 

Les impacts sont variés et peuvent nuire profondément à une entreprise sur le plan financier. Il est alors préférable de se prémunir de ce genre d’attaques pour éviter ces conséquences.

Quelles mesures peut-on prendre pour prévenir une HTTP Flood Attack ?

En matière de cybersécurité, l’attaque HTTP Flood se montre très subtile. Elle exploite en effet des requêtes HTTP similaires à un trafic légitime. Il ne s’agit pas ici d’une exploitation de faille de sécurité ni de propager un virus. Pour vous prémunir de ces menaces, la première solution à mettre en place est l’utilisation de test captcha.

Ces tests demandent aux véritables humains d’intervenir manuellement sur un questionnaire, une reconnaissance d’image, etc. Le réseau de machines zombies (les botnets) agissent de manière automatisée. Ils ne sont pas en mesure d’intervenir sur ce genre d’exercice. Ce système peut détecter un botnet et le bloquer. Autre outil essentiel à installer, le pare-feu d’applications web, aussi appelé WAF. Cet outil assure à la fois la protection et l’analyse du trafic web.

L’attaque HTTP Flood visant à déstabiliser vos services web est une menace majeure à prendre au sérieux. Si le but premier n’est pas d’opérer un vol de données, elle peut avoir des conséquences financières désastreuses pour une entreprise. Cette attaque, facile à mettre en place, est aussi utilisée par un attaquant qui souhaite attirer l’attention de vos services de sécurité ailleurs.

Il peut ainsi exploiter une faille de sécurité et aspirer vos données pendant que vos actions se concentrent sur l’attaque DDoS. Il est de ce fait nécessaire de garder une vue globale sur vos systèmes lorsqu’une attaque de ce type se produit.