Qu’est-ce que l’atténuation DDoS?


Qu’est-ce que l’atténuation DDoS?

Une attaque par déni de service distribué (DDoS) est l’une des menaces les plus pernicieuses du paysage des cybermenaces. Les gouvernements, les sociétés multinationales et les réseaux privés ont tous succombé à l’attaque DDoS. Il existe d’innombrables façons de mener les attaques. Pire encore, ces attaques ne nécessitent pas nécessairement la capacité d’un pirate informatique à réussir.


Le but de toute organisation, quelle que soit sa taille, devrait être de réduire la menace de ces attaques. Comment cela peut-il être accompli?

Stratégies d’atténuation des DDoS.

Pour comprendre l’atténuation DDoS, il faut d’abord comprendre l’attaque DDoS et ses variantes. Mettre tout simplement; une attaque DDoS cherche à désactiver un réseau en le surchargeant de trafic. Cela peut prendre plusieurs formes, des paquets mal formés inondant un UDP protocole, pour envoyer des requêtes HTTP partielles jusqu’à ce que le trafic légitime ne soit plus accessible.

Ce qui rend DDoS l’atténuation si difficile de nos jours est la complexité de l’attaque. Il fut un temps où les attaques DDoS ciblaient uniquement les couches supérieures du modèle OSI (Open Systems Interconnection). Ces couches comprenaient les segments de transport et de réseau. Maintenant, cependant, les attaques DDoS ont évolué de sorte qu’elles peuvent cibler des niveaux inférieurs (en particulier la couche application). Cela donne aux administrateurs système et aux équipes bleues de cybersécurité (experts axés sur la défense) beaucoup plus à prendre en compte dans leurs stratégies d’atténuation des DDoS.

Il existe quatre composants de base pour toute bonne stratégie d’atténuation des DDoS. Ces composants sont Détection, Réaction, Acheminement, et L’adaptation. Abordons plus en détail chacune de ces stratégies d’atténuation.

Détection

La première étape de la stratégie d’atténuation vise à discerner quel trafic est légitime, et inversement, quel trafic est malveillant. On ne peut pas avoir une situation dans laquelle des utilisateurs inoffensifs sont bloqués d’un site Web par accident.

Cela peut être évité en conservant un journal IP sur liste noire adresses. Bien que cela puisse encore nuire aux utilisateurs innocents, tels que ceux qui utilisent des adresses IP proxy ou des TOR pour la sécurité, c’est toujours une première étape décente. Le blocage des adresses IP est assez simple, mais ce n’est qu’une partie de la stratégie de détection.

Ensuite, pour détecter une attaque DDoS, votre organisation doit connaître quotidiennement le flux de trafic typique. En outre, il est utile d’avoir une métrique les jours de fort trafic, il existe donc une mesure de référence. Cela permettra de faire la distinction entre un afflux anormalement élevé de trafic et l’expérience passée avec un trafic «légitimement» élevé..

Réaction

Si votre détection est solide, la réaction à une attaque DDoS en cours doit être automatique. Cela nécessitera très probablement un service tiers spécialisé dans la prévention des DDoS. La configuration manuelle des réactions DDoS n’est plus recommandée. La raison en est que les cybercriminels sont devenus sages à de nombreuses techniques.

Dans une défense DDoS puissante, l’étape de réaction commencera immédiatement à bloquer le trafic malveillant. Il se rendra compte que le flux de trafic élevé est créé par des appareils zombies sur un botnet. Ce filtrage devrait commencer à affaiblir l’attaque. La réponse dépend des capacités du fournisseur. Idéalement, le service de protection utilisera une combinaison de techniques dans sa méthodologie. En plus des éléments susmentionnés Liste noire IP, il devrait être possible d’inspecter les paquets et de s’engager dans des.

Acheminement

Le routage prend en charge le trafic restant qui n’a pas pu être traité dans la phase de réaction automatique. L’objectif est de briser le trafic et de le tenir éloigné des serveurs ciblés. Il existe deux stratégies de routage principales.

Le premier est Routage DNS. Cela n’est vraiment efficace qu’avec les attaques DDoS qui ciblent la couche application du modèle OSI. Cela signifie que, même si vous masquez votre véritable adresse IP, l’attaque réussira toujours. Le routage DNS oblige le trafic malveillant à être réacheminé vers votre service de protection DDoS «toujours actif». Il prendra la charge de l’attaque, permettant ainsi uniquement au trafic légitime d’accéder au serveur. Cela se fait en modifiant l’enregistrement CNAME et A. L’enregistrement A pointe vers une adresse IP spécifique, tandis que le CNAME crée un alias pour la même adresse IP.

La deuxième stratégie de routage est appelée routage Border Gateway Protocol. Il s’agit d’une configuration manuelle qui force tout votre trafic malveillant, qui cible la couche réseau, vers votre fournisseur d’atténuation. Cela forcera le trafic DDoS à être éliminé, au moins, pour la plupart. Comme mentionné précédemment, une configuration manuelle a ses problèmes. Il est plus lent et, par conséquent, il peut permettre au trafic malveillant d’atteindre le serveur cible.

L’adaptation

Il s’agit plus ou moins d’une analyse post-mortem d’une attaque DDoS. C’est la partie de la stratégie d’atténuation qui cherche à savoir ce qui a été fait correctement et incorrectement. Cela signifie analyser la source de l’attaque, voir ce qui a été autorisé, essayer de déterminer à quelle vitesse les défenses sont déployées et, surtout, comment empêcher cette attaque avec une efficacité de 100% à l’avenir.

L’atténuation des DDoS est compliquée. Alors que les attaques continuent d’évoluer, la cybersécurité sera malheureusement toujours en retard. On ne peut pas combattre un ennemi; ils ne comprennent pas encore. Ce n’est qu’après un nouveau vecteur d’attaque que les défenses peuvent être construites. Pourtant, la mise en œuvre de solides techniques d’atténuation des DDoS peut faire économiser beaucoup de temps et d’argent à votre entreprise..

En savoir plus sur les DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map