Protection DDoS
Solution avancée de protection et d’atténuation des attaques DDoS.
Infradata fait figure d’autorité en matière de solutions de protection DDoS.
Toute organisation qui utilise l’Internet dans l’exercice de ses activités principales coure le risque de perte d’affaires, de revenu et de réputation en cas d'indisponibilité de ses systèmes. Les attaques DDoS représentent une menace grandissante pour les entreprises dont la continuité d’exploitation repose sur Internet. Certains types d’entreprises en ligne risquent d’être plus touchés que d’autres par de telles attaques. Mais elles sont toutes conscientes que sans quelque forme de protection DDoS, il y a un risque que leur activité et leur chiffre d’affaires soient compromis.
Les attaques par déni de service distribué, ou DDoS, sont des tentatives visant à rendre un ordinateur ou périphérique réseau indisponible, ou au moins à perturber son fonctionnement ou service. Elles sont classées dans la catégorie « distribué » car elles ne sont pas générées par un hôte d’attaque unique, mais distribuées sur plusieurs hôtes par ce qu'on appelle un botnet.
Les botnets sont constitués d'une grande quantité de programmes connectés à Internet, souvent infectés par des malwares. Une petite partie de logiciel sur l’ordinateur infecté effectue le contact à distance vers un ordinateur central, communément appelé un « serveur de commande et de contrôle » (serveur c&c) et exploité par un cybercriminel. Celui-ci garde une liste de tous les ordinateurs infectés connus et la trace du chemin à suivre pour les atteindre. Au début d'une attaque, le serveur c&c donne comme instruction à ces ordinateurs infectés d’envoyer un trafic spécifique vers un ou plusieurs hôtes. Même si prises individuellement les machines sont peu performantes et disposent seulement d'une largeur de bande limitée pour l’accès à Internet, le moindre volume de trafic et de connexions que ce réseau de machines est capable d’engendrer - sa force d’attaque - peut être immense.
Il existe trois grandes catégories d’attaque.
Une attaque par état d’épuisement TCP bombarde la cible d’une multitude de tentatives de connexion et peut essayer de les maintenir actives. L’infrastructure hôte visée est incapable de traiter ce volume important de sessions, atteint rapidement ses limites, et cesse de répondre aux requêtes ; ce qui rend le système tout simplement inutilisable.
Une attaque volumétrique envoie d’énormes volumes de trafic en vue de saturer complètement les connexions de la cible, empiétant ainsi de manière efficace sur le trafic légitime.
Parfois d’autres serveurs (souvent légitimes) sur Internet sont co-utilisés pour ces types d’attaque. Cette méthode d’attaque se généralise de plus en plus. Dans ces cas précis, des requêtes sont envoyées aux serveurs ciblés. Elle utilise ensuite des fonctions spécifiques pour obliger l’hôte légitime à renvoyer des volumes de trafic importants vers ce qui est supposé être la source requérante, mais est en fait la destination de l’attaque. On les appelle des attaques par amplification ou réflexion.
Les attaques sur une couche d’application identifient les faiblesses dans les applications et sont utilisées soit pour récupérer des informations sensibles, planter des applications ou les exploiter dans un but malveillant, comme pour obtenir l’accès à l’hôte hébergeant l’application ou à d’autres hôtes au sein de l’infrastructure.
Depuis plus de dix ans, les cybercriminels réussissent à combiner différents types d’attaque dans une seule visant un hôte, plusieurs hôtes ou services. Le but est d’amener la victime à concentrer ses efforts sur la défense contre les méthodes d’attaque les plus évidentes afin de permettre à la véritable attaque de passer inaperçue et d’atteindre l’objectif visé. L'introduction de variantes dans les schémas d’attaque spécifiques devient de plus en plus courante.
La combinaison des méthodes d’attaque utilisées forme ce qu'on appelle une chaîne de destruction. Ces différents types d’attaque sont également appelés « vecteurs d’attaque », d'où l’emploi de ce nouveau terme « attaques multi-vecteurs ».
Les raisons des attaques DDoS varient. Les motivations courantes sont politiques, économiques, criminelles, ou un activisme social, voire une vengeance. La partie qui veut attaquer une personne ou une organisation spécifique (le sponsor) est rarement la même que la partie qui mène réellement l’attaque DDoS. En général, le sponsor paie un quelconque cybercriminel ou hacktiviste pour lancer et diriger l’attaque.
Implications des attaques DDoS
Les attaques DDOS font malheureusement partie du quotidien, leur fréquence, leur importance et leur niveau de sophistication croissant d’année en année. Il n’est pas inhabituel de voir des requêtes en paquet au rythme de 2,4 m à 7,5 m par seconde. Les attaques DDoS peuvent avoir de graves implications pour les fournisseurs de services et les entreprises.
Du point de vue de la victime, une attaque DDoS peut rendre sa connexion Internet ou son/ses hôte(s) visé(s) inutilisables en quelques secondes, les déconnectant ainsi de leurs clients, prospects et partenaires.
L’activité d’une entreprise en ligne repose sur la fiabilité et la fourniture constante de différents types de contenu à ses utilisateurs sans nuire à la qualité de service.
La solution
Protection DDoS pour des réseaux haute performance.
Les organisations disposent de divers moyens pour défendre leurs opérations et actifs contre des attaques DDoS. Certaines d’entre elles choisissent une solution sur site, d’autres préfèrent la combinaison d’une solution sur site et d’un service anti-DDoS en cloud, alors que d’autres encore optent pour les services cloud uniquement. Dans des configurations combinées, la protection sur site sert de premier niveau d’atténuation des attaques, souvent in-line, où elle peut faire appel à l’aide des services cloud en cas d’attaque volumétrique, qui est en général définie par l'utilisateur et basée sur un seuil.
Il existe également des solutions multicouches sur site, au moyen desquelles des solutions d’atténuation in-line, rapides et plus granulaires, peuvent être déployées. Quand une attaque se produit, la solution in-line la plus rapide peut alors « demander de l’aide » à la solution sur site pour faciliter l’atténuation de l’attaque. Comparé aux solutions cloud commercialisées, celle-ci peut offrir un meilleur rapport qualité/prix et être combinée à des solutions cloud, le cas échéant.
Il est important de savoir qu'une solution robuste implique une analyse approfondie de la configuration complète. La meilleure solution anti-DDoS peut néanmoins être inefficace si d’autres failles subsistent. En outre, une configuration efficace requiert en général une approche multicouche. Ceci implique d'implémenter les meilleures pratiques de sécurité et d'utiliser des technologies modernes telles que Flowspec, l’usage intelligent des upstreams externes et des fonctionnalités disponibles, un renforcement approprié des systèmes et services, des stratégies et configurations de repli ou de sauvegarde possible, des processus opérationnels et bien plus.
Variantes de solution
Des solutions adaptées à votre secteur d’activité.
Chaque client a des besoins et exigences spécifiques. Cela peut être au niveau fonctionnel, et le type de solution requise est souvent spécifique au type d’organisation. Voici quelques exemples pratiques :
CDN
Les CDN (Content Delivery Networks) tendent à avoir une vue détaillée de leur trafic et la programmation manuelle de la solution anti-DDoS est une pratique courante. La protection contre des attaques volumétriques et par état d’épuisement du TCP est d'une importance capitale et les solutions in-line sont en général préférées, souvent avec des services cloud.
Réseaux d’entreprise
Les réseaux d’entreprise, en fonction de leur taille, tendent à choisir entre une protection plus complète des datacenters ou une solution de protection combinée pour les environnements de bureau et de datacenter. La préférence va en général aux solutions in-line, bien que dans certains cas le fait de suivre un protocole de redirection augmente leur efficacité. Les services cloud sont relativement répandus dans les grandes entreprises.
Réseaux de fournisseur de services
Les réseaux de fournisseur de services nécessitent en général des solutions globales et suivent un protocole de redirection en raison d'une capacité élevée ou très élevée. Concernant l’hébergement web critique au sein de leurs propres datacenters ou la fourniture de connectivité aux datacenters des clients, certains fournisseurs de services souhaitent y adjoindre une couche supplémentaire de solutions in-line en amont de ces déploiements. La protection DDoS peut aussi parfois être proposée sous forme de service managé ou payé.