Protection DDoS

Toute organisation qui utilise l’Internet dans l’exercice de ses activités principales coure le risque de perte d’affaires, de revenu et de réputation en cas d'indisponibilité de ses systèmes. Les attaques DDoS représentent une menace grandissante pour les entreprises dont la continuité d’exploitation repose sur Internet. Certains types d’entreprises en ligne risquent d’être plus touchés que d’autres par de telles attaques. Mais elles sont toutes conscientes que sans quelque forme de protection DDoS, il y a un risque que leur activité et leur chiffre d’affaires soient compromis.

Les attaques par déni de service distribué, ou DDoS, sont des tentatives visant à rendre un ordinateur ou périphérique réseau indisponible, ou au moins à perturber son fonctionnement ou service. Elles sont classées dans la catégorie « distribué » car elles ne sont pas générées par un hôte d’attaque unique, mais distribuées sur plusieurs hôtes par ce qu'on appelle un botnet.

Il existe trois grandes catégories d’attaque

Attaque par état

Une attaque par état d’épuisement TCP bombarde la cible d’une multitude de tentatives de connexion et peut essayer de les maintenir actives. L’infrastructure hôte visée est incapable de traiter ce volume important de sessions, atteint rapidement ses limites, et cesse de répondre aux requêtes ; ce qui rend le système tout simplement inutilisable.

Attaque volumétrique

Une attaque volumétrique envoie d’énormes volumes de trafic en vue de saturer complètement les connexions de la cible, empiétant ainsi de manière efficace sur le trafic légitime.

Parfois d’autres serveurs (souvent légitimes) sur Internet sont co-utilisés pour ces types d’attaque. Cette méthode d’attaque se généralise de plus en plus. Dans ces cas précis, des requêtes sont envoyées aux serveurs ciblés. Elle utilise ensuite des fonctions spécifiques pour obliger l’hôte légitime à renvoyer des volumes de trafic importants vers ce qui est supposé être la source requérante, mais est en fait la destination de l’attaque. On les appelle des attaques par amplification ou réflexion.

Attaques sur une couche d’application

Les attaques sur une couche d’application identifient les faiblesses dans les applications et sont utilisées soit pour récupérer des informations sensibles, planter des applications ou les exploiter dans un but malveillant, comme pour obtenir l’accès à l’hôte hébergeant l’application ou à d’autres hôtes au sein de l’infrastructure.

Les attaques DDOS font malheureusement partie du quotidien, leur fréquence, leur importance et leur niveau de sophistication croissant d’année en année. Il n’est pas inhabituel de voir des requêtes en paquet au rythme de 2,4 m à 7,5 m par seconde. Les attaques DDoS peuvent avoir de graves implications pour les fournisseurs de services et les entreprises.

Du point de vue de la victime, une attaque DDoS peut rendre sa connexion Internet ou son/ses hôte(s) visé(s) inutilisables en quelques secondes, les déconnectant ainsi de leurs clients, prospects et partenaires.

L’activité d’une entreprise en ligne repose sur la fiabilité et la fourniture constante de différents types de contenu à ses utilisateurs sans nuire à la qualité de service.

Chaque client a des besoins et exigences spécifiques. Cela peut être au niveau fonctionnel, et le type de solution requise est souvent spécifique au type d’organisation. Voici quelques exemples pratiques :

CDN

Les CDN (Content Delivery Networks) tendent à avoir une vue détaillée de leur trafic et la programmation manuelle de la solution anti-DDoS est une pratique courante. La protection contre des attaques volumétriques et par état d’épuisement du TCP est d'une importance capitale et les solutions in-line sont en général préférées, souvent avec des services cloud.

Réseaux d’entreprise

Les réseaux d’entreprise, en fonction de leur taille, tendent à choisir entre une protection plus complète des datacenters ou une solution de protection combinée pour les environnements de bureau et de datacenter. La préférence va en général aux solutions in-line, bien que dans certains cas le fait de suivre un protocole de redirection augmente leur efficacité. Les services cloud sont relativement répandus dans les grandes entreprises.

Réseaux de fournisseur de services

Les réseaux de fournisseur de services nécessitent en général des solutions globales et suivent un protocole de redirection en raison d'une capacité élevée ou très élevée. Concernant l’hébergement web critique au sein de leurs propres datacenters ou la fourniture de connectivité aux datacenters des clients, certains fournisseurs de services souhaitent y adjoindre une couche supplémentaire de solutions in-line en amont de ces déploiements. La protection DDoS peut aussi parfois être proposée sous forme de service managé ou payé.