Billet ouvert 
+373 79 600002 
Telegram Live Chat 
F.A.Q 
Français
English 
Русский 
Română 
Deutsch 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
SécuritéAttaques DDoS : Types, couches du modèle OSI et comment protéger votre infrastructure
Les attaques par déni de service distribué (DDoS) restent l’une des menaces les plus perturbatrices et les plus coûteuses auxquelles sont confrontées les entreprises en ligne, les applications web et l’infrastructure d’hébergement aujourd’hui. Que vous gériez un petit site de commerce électronique ou des serveurs de niveau entreprise, comprendre comment fonctionnent les attaques DDoS — et comment elles correspondent à des couches spécifiques du modèle OSI — est la base de toute stratégie de défense sérieuse.
Dans ce guide complet, nous détaillons tous les principaux types d’attaques DDoS, expliquons quelle couche OSI chacun cible, décrivons l’impact réel sur votre entreprise et vous présentons des stratégies d’atténuation éprouvées pour maintenir vos services en ligne.
Qu’est-ce qu’une attaque DDoS ?
Une attaque par déni de service distribué (DDoS) est une tentative malveillante coordonnée de submerger un serveur, un réseau ou un service cible avec un énorme volume de trafic ou de demandes consommant des ressources — le rendant incapable de répondre aux utilisateurs légitimes.
Contrairement à une simple attaque DoS lancée à partir d’une seule machine, les attaques DDoS exploitent des botnets : des réseaux de milliers ou même de millions d’appareils compromis (ordinateurs, appareils IoT, serveurs) qui inondent simultanément la cible. La nature distribuée rend ces attaques beaucoup plus difficiles à bloquer et beaucoup plus puissantes.
L’objectif ultime est simple : épuiser les ressources de la cible — bande passante, CPU, mémoire ou capacité de connexion — causant des temps d’arrêt, une dégradation des performances et une interruption de service.
Le modèle OSI : pourquoi c’est important pour la défense DDoS
Le modèle OSI (Open Systems Interconnection) est un cadre conceptuel qui divise la communication réseau en sept couches distinctes, chacune responsable d’une fonction spécifique. Les attaques DDoS sont délibérément conçues pour exploiter les vulnérabilités à des couches spécifiques, ce qui est pourquoi comprendre le modèle est essentiel pour diagnostiquer et se défendre contre elles.
| Couche OSI | Nom | Fonction |
|---|---|---|
| Couche 1 | Physique | Transmission matérielle des données brutes |
| Couche 2 | Liaison de données | Transfert de données de nœud à nœud |
| Couche 3 | Réseau | Routage et adressage IP |
| Couche 4 | Transport | Communication de bout en bout (TCP/UDP) |
| Couche 5 | Session | Gestion de session |
| Couche 6 | Présentation | Formatage et chiffrement des données |
| Couche 7 | Application | Protocoles accessibles aux utilisateurs (HTTP, DNS, etc.) |
Les attaques DDoS ciblent principalement les couches 3, 4 et 7, chacune nécessitant une approche de détection et d’atténuation différente.
Types d’attaques DDoS par couche OSI
1. Attaques basées sur le volume — Couche 3 (couche réseau)
Les attaques basées sur le volume sont les plus simples et souvent les plus importantes en termes de volume de trafic brut. Leur objectif principal est de saturer la bande passante disponible de la cible ou de l’infrastructure réseau la reliant à Internet. La taille de l’attaque est généralement mesurée en gigabits par seconde (Gbps) ou paquets par seconde (PPS).
#### Inondation ICMP (Ping Flood)
L’attaquant envoie un nombre massif de paquets ICMP Echo Request (ping) à la cible. Le serveur de la victime est forcé de traiter chaque demande et d’envoyer une réponse correspondante, consommant à la fois la bande passante entrante et sortante ainsi que les cycles CPU. Lorsque le volume dépasse la capacité du serveur, le trafic légitime est complètement étouffé.
Caractéristique clé : Simple à exécuter, souvent utilisée comme écran de fumée pour des attaques simultanées plus sophistiquées.
#### Inondation UDP
Dans une inondation UDP, l’attaquant envoie de grands volumes de paquets User Datagram Protocol (UDP) vers des ports aléatoires sur l’hôte cible. Puisque UDP est sans connexion et sans état, le serveur cible doit :
- Vérifier si une application écoute sur le port de destination.
- Répondre avec un paquet ICMP « Destination Unreachable » si aucune application n’est trouvée.
Ce processus répété des millions de fois par seconde épuise rapidement les ressources du serveur et la bande passante disponible.
#### Attaques par amplification (amplification DNS/NTP)
Un sous-type particulièrement dangereux des attaques volumétriques de couche 3, les attaques par amplification exploitent des serveurs accessibles au public (résolveurs DNS, serveurs NTP, instances memcached) pour multiplier le trafic d’attaque. L’attaquant usurpe l’adresse IP de la victime et envoie de petites demandes à ces serveurs, qui répondent avec des réponses 10 à 100 fois plus grandes — toutes dirigées vers la victime.
2. Attaques de protocole — Couche 4 (couche transport)
Les attaques de protocole exploitent les faiblesses des protocoles de communication TCP/IP eux-mêmes, plutôt que de simplement inonder la bande passante. Elles visent à épuiser les ressources côté serveur telles que les tables d’état de connexion, tables de session de pare-feu et capacité d’équilibreur de charge. La taille de l’attaque est mesurée en paquets par seconde (PPS).
#### Inondation SYN
L’inondation SYN est l’une des techniques DDoS les plus connues et les plus largement utilisées. Elle exploite la poignée de main TCP en trois étapes :
- Le client envoie un paquet SYN pour initier une connexion.
- Le serveur répond avec un SYN-ACK et alloue des ressources en attendant le ACK final.
- Dans une inondation SYN, l’attaquant envoie des milliers de paquets SYN — souvent avec des adresses IP source usurpées — mais ne complète jamais la poignée de main.
La table de connexion du serveur se remplit de connexions semi-ouvertes, l’empêchant d’accepter de nouvelles connexions légitimes. C’est une attaque très efficace même avec des volumes de trafic relativement faibles.
#### Ping of Death
L’attaque Ping of Death implique l’envoi de paquets malformés ou surdimensionnés à la cible. La spécification IPv4 limite la taille des paquets à 65 535 octets ; lorsqu’un paquet surdimensionné est fragmenté et réassemblé, il peut causer des débordements de tampon, des plantages système ou des redémarrages sur les systèmes vulnérables. Bien que les systèmes d’exploitation modernes aient largement été corrigés contre le Ping of Death classique, des variantes continuent d’émerger.
#### Inondation ACK
Dans une inondation ACK, l’attaquant envoie un grand volume de paquets TCP ACK à la cible. Puisque le serveur n’a aucun enregistrement des paquets SYN correspondants, il doit traiter chacun pour déterminer qu’il est invalide — consommant CPU et mémoire dans le processus.
3. Attaques de couche application — Couche 7 (couche application)
Les attaques de couche application sont les plus sophistiquées et les plus difficiles à détecter car elles imitent étroitement le comportement des utilisateurs légitimes. Plutôt que de submerger la bande passante ou d’épuiser les tables de connexion, elles ciblent les ressources informatiques d’applications spécifiques — serveurs web, bases de données, API et systèmes de connexion. La taille de l’attaque est mesurée en demandes par seconde (RPS).
#### Inondation HTTP
Une inondation HTTP envoie un nombre massif de demandes HTTP GET ou POST apparemment légitimes à un serveur web. Parce que chaque demande semble valide, le blocage simple basé sur l’IP est inefficace. Le serveur doit traiter chaque demande — interroger les bases de données, rendre les pages, exécuter des scripts — jusqu’à ce qu’il soit complètement submergé et incapable de servir les utilisateurs réels.
Les inondations GET ciblent généralement les pages gourmandes en ressources (résultats de recherche, listes de produits).
Les inondations POST ciblent les formulaires et les points de terminaison de connexion, forçant le serveur à traiter de grandes quantités de données soumises.
#### Slowloris
Slowloris est une attaque uniquement discrète qui nécessite très peu de bande passante. Elle fonctionne en :
- Ouvrant un grand nombre de connexions au serveur web cible.
- Envoyant des en-têtes de demande HTTP partiels et incomplets — juste assez pour maintenir chaque connexion active.
- Envoyant périodiquement des lignes d’en-tête supplémentaires pour éviter les délais d’expiration.
Le serveur maintient chaque connexion ouverte en attendant que la demande se termine, épuisant progressivement son pool de connexions maximum. Une fois le pool plein, aucune nouvelle connexion légitime ne peut être acceptée — mettant effectivement le serveur hors ligne tout en utilisant des ressources d’attaquant minimales.
#### Inondation de requêtes DNS
Ciblant l’infrastructure DNS au niveau de la couche 7, les attaquants envoient d’énormes volumes de demandes de recherche DNS pour des noms de domaine inexistants ou aléatoires. Le serveur DNS doit traiter chaque requête, consommant CPU et mémoire jusqu’à ce qu’il ne puisse plus résoudre les demandes légitimes — déconnectant effectivement la cible d’Internet.
#### Épuisement SSL/TLS
Ces attaques exploitent le coût informatique des poignées de main SSL/TLS. L’établissement d’une connexion chiffrée nécessite des ressources CPU importantes côté serveur. En initiant des milliers de poignées de main SSL par seconde sans les compléter, les attaquants peuvent submerger même les serveurs bien approvisionnés.
Impact réel des attaques DDoS
Comprendre la mécanique technique n’est que la moitié de l’histoire. Les conséquences commerciales d’une attaque DDoS réussie peuvent être graves et durables :
Temps d’arrêt du service et perte de revenus
Chaque minute où votre site web ou application est hors ligne se traduit directement par une perte de revenus. Pour les plateformes de commerce électronique, les produits SaaS et les services en ligne, même quelques heures de temps d’arrêt peuvent coûter des milliers ou des dizaines de milliers de dollars — sans compter les coûts indirects de l’attrition des clients.
Augmentation des coûts opérationnels
La réponse aux incidents d’urgence, l’approvisionnement en bande passante supplémentaire, les services d’atténuation spécialisés et les heures supplémentaires du personnel informatique s’accumulent rapidement pendant et après une attaque DDoS.
Dommages à la réputation
Les clients et les partenaires remarquent quand les services s’arrêtent. Les pannes répétées ou prolongées érodent la confiance, endommagent la réputation de la marque et peuvent pousser les utilisateurs définitivement vers les concurrents. Pour les entreprises dans les secteurs réglementés, les temps d’arrêt peuvent également déclencher des violations de conformité et des pénalités associées.
Distraction de sécurité (attaques de diversion)
Certaines attaques DDoS sont délibérément conçues comme des diversions — gardant les équipes de sécurité occupées tandis que les attaquants exécutent simultanément des violations de données, des déploiements de rançongiciels ou d’autres intrusions par des vecteurs non surveillés.
Stratégies d’atténuation DDoS : un guide pratique
Une défense DDoS efficace nécessite une approche en couches et proactive qui aborde les menaces à chaque niveau OSI. Aucune solution unique n’est suffisante en elle-même.
1. Choisir une infrastructure construite pour la résilience
Votre fondation d’hébergement est extrêmement importante. Choisir un fournisseur qui offre une infrastructure consciente des DDoS avec des liaisons réseau de haute capacité, un filtrage au niveau matériel et une connectivité redondante est la première ligne de défense.
Si vous exécutez des applications critiques pour l’entreprise, envisagez de passer à un plan VPS Hosting ou une solution Dedicated Servers qui fournit des ressources dédiées, un plus grand contrôle sur la configuration réseau et la capacité à mettre en œuvre des règles de pare-feu personnalisées — tous les avantages critiques lors d’une attaque.
2. Implémenter le filtrage du trafic et les pare-feu
Déployez des pare-feu avec état et des systèmes de détection/prévention d’intrusion (IDS/IPS) pour inspecter le trafic entrant et supprimer automatiquement les paquets qui correspondent à des signatures d’attaque connues. Configurez les règles pour :
- Bloquer le trafic en provenance de plages d’IP malveillantes connues et d’ASN.
- Supprimer les paquets malformés et les états de protocole invalides.
- Restreindre le trafic ICMP et UDP aux cas d’utilisation légitimes.
- Appliquer une validation d’état TCP stricte pour contrer les inondations SYN.
3. Appliquer la limitation de débit
La limitation de débit contrôle le nombre de demandes qu’une seule adresse IP ou connexion peut faire dans une fenêtre de temps définie. C’est particulièrement efficace contre les attaques de couche 7 comme les inondations HTTP et les inondations de requêtes DNS. Implémentez la limitation de débit à plusieurs niveaux :
- Niveau serveur web (NGINX, Apache)
- Niveau pare-feu d’application (règles WAF)
- Niveau CDN/edge (Cloudflare, Akamai)
4. Déployer un pare-feu d’application web (WAF)
Un WAF fonctionne au niveau de la couche 7 et peut distinguer les utilisateurs légitimes du trafic d’attaque en fonction de l’analyse comportementale, des modèles de demande et de la notation de réputation. C’est particulièrement efficace contre les inondations HTTP, Slowloris et les exploits spécifiques aux applications.
5. Utiliser la diffusion de réseau Anycast
Le routage Anycast distribue le trafic entrant sur plusieurs centres de données géographiquement dispersés. Au lieu que tout le trafic d’attaque frappe un seul serveur, il est réparti sur l’ensemble du réseau — diluant son impact et rendant les attaques volumétriques beaucoup moins efficaces.
6. Implémenter la redondance et l’équilibrage de charge
La distribution de votre application sur plusieurs serveurs et régions géographiques à l’aide d’équilibreurs de charge garantit que même si un nœud est submergé, les autres continuent à servir les utilisateurs légitimes. Cette architecture améliore également les performances et la disponibilité dans des conditions normales.
7. Exploiter les services de protection DDoS spécialisés
Pour les entreprises confrontées à des menaces DDoS sérieuses ou persistantes, les services d’atténuation DDoS dédiés (tels que Cloudflare Magic Transit, Radware ou Imperva) fournissent un nettoyage de trafic toujours actif — nettoyant le trafic malveillant avant qu’il n’atteigne jamais votre infrastructure.
8. Sécuriser votre infrastructure DNS
Puisque DNS est une cible DDoS fréquente, assurez-vous que votre fournisseur DNS offre une infrastructure résiliente aux DDoS avec routage anycast et limitation de débit. Envisagez d’utiliser DNSSEC pour prévenir l’usurpation DNS et les attaques d’empoisonnement du cache qui peuvent aggraver les dommages des DDoS.
9. Maintenir les certificats SSL valides et correctement configurés
Les certificats SSL expirés ou mal configurés peuvent créer des vulnérabilités que les attaquants exploitent. Le maintien de certificats SSL valides garantit que les connexions chiffrées sont traitées efficacement et réduit l’exposition aux attaques d’épuisement SSL.
10. Développer et tester un plan de réponse aux incidents
Avoir un plan de réponse DDoS documenté et testé réduit considérablement le temps d’atténuation d’une attaque. Votre plan doit inclure :
- Des chemins d’escalade clairs et des listes de contacts.
- Des modèles de règles de pare-feu préconfigurés pour les types d’attaques courants.
- Des relations avec les fournisseurs en amont pour le null-routing d’urgence ou le nettoyage du trafic.
- Des procédures d’examen post-incident pour améliorer les défenses.
Résumé des attaques DDoS : couches OSI en un coup d’œil
| Type d’attaque | Couche OSI | Ressource cible | Unité de mesure |
|---|---|---|---|
| Inondation ICMP | Couche 3 — Réseau | Bande passante | Gbps |
| Inondation UDP | Couche 3 — Réseau | Bande passante / CPU | Gbps / PPS |
| Amplification DNS/NTP | Couche 3 — Réseau | Bande passante | Gbps |
| Inondation SYN | Couche 4 — Transport | Tables de connexion | PPS |
| Inondation ACK | Couche 4 — Transport | CPU / Tables d’état | PPS |
| Ping of Death | Couche 4 — Transport | Stabilité du système | PPS |
| Inondation HTTP | Couche 7 — Application | CPU du serveur web | RPS |
| Slowloris | Couche 7 — Application | Pool de connexion | Connexions |
| Inondation de requêtes DNS | Couche 7 — Application | CPU du serveur DNS | RPS |
| Épuisement SSL | Couche 7 — Application | CPU (opérations crypto) | Poignées de main/sec |
Construire un environnement d’hébergement résilient aux DDoS
La défense la plus efficace à long terme contre les attaques DDoS commence par choisir la bonne infrastructure. Voici comment AlexHost peut vous aider :
- VPS Hosting — Serveurs virtuels isolés avec ressources dédiées, accès root complet et la capacité à mettre