Support

Solutions de protection DDoS

Seul un système de défense étroitement intégré et multicouche peut protéger adéquatement votre entreprise contre l'éventail complet d'attaques DDoS.

Attaques DDos : introduction, explication et stratégie de protection


Qu’est-ce qu’une attaque DDoS ?

Par une attaque DDoS (déni de service distribué), un assaillant tente d’épuiser les ressources disponibles d’un réseau, d’une application ou d’un service de manière à ce que les utilisateurs légitimes ne puissent y accéder.

Depuis 2010, en grande partie à cause de la montée de l’hacktivisme, il y a eu un renouveau des attaques DDoS qui a stimulé l’innovation en matière d’outils, de cibles et de techniques.

Aujourd’hui, les attaques DDoS sont devenues des séries d’assauts portant sur de grands volumes et s’accompagnant d’attaques plus subtiles et difficiles à détecter qui ciblent les applications et l’infrastructure de sécurité existante telle que Firewalls et IPS.

Quels sont les différents types d’attaques DDoS ?

Les attaques DDoS varient considérablement et il existe des milliers de moyens de les exécuter (vecteurs d’attaque) ; toutefois, les vecteurs d’attaque appartiennent généralement à l’une de ces trois grandes catégories :

Attaques volumétriques : Tentative de consommation de la largeur de bande, soit au sein du réseau/service visé, soit entre le réseau/service visé et le reste d’Internet. Ces attaques ont simplement pour but de provoquer une congestion.

Attaques provoquant un état d’épuisement TCP : Ces attaques ont pour but d’asphyxier les tables d’état de connexion qui sont présentes dans de nombreux éléments d’infrastructure tels que Load Balancers, Firewalls et serveurs d’applications proprement dit. Même les dispositifs à grande capacité capables de maintenir des millions de connexions peuvent céder sous ces attaques.

Attaques visant la couche applicative : Ces attaques visent un aspect particulier d’une application ou d’un service au niveau de la couche 7. Ce sont les attaques les plus dangereuses car une seule machine d’assaut générant un débit lent (ce qui rend ces attaques très difficiles à détecter et à neutraliser de manière pro-active) est suffisante pour faire des ravages. Ces attaques sont devenues prévalentes au cours des trois ou quatre dernières années et les attaques par débordement de la couche applicative (débordement HTTP GET, etc.) sont devenues l’une des formes d’attaques DDoS les plus communes observées dans l’espace non contrôlé.

Les assaillants sophistiqués d’aujourd’hui mêlent les attaques volumétriques, les attaques provoquant un état d’épuisement et les attaques visant la couche applicative pour agresser les dispositifs d’infrastructure en un seul assaut soutenu. Ces attaques sont populaires parce qu’elle sont difficiles à contrer et s’avèrent fréquemment très efficaces.

Et le problème ne s’arrête pas là. Selon Frost & Sullivan, les attaques DDoS constituent une innovation « utilisée de manière croissante comme tactique de diversion dans le cadre d’attaques ciblées persistantes ». Les assaillants lancent des attaques DDoS pour distraire les équipes de réseau et de sécurité tout en essayant simultanément d’injecter des maliciels dans le réseau dans le but de voler des données IP et/ou des renseignements critiques sur les clients ou les finances.

Pourquoi les attaques DDoS sont-elles si dangereuses ?

Les attaques DDoS constituent une menace considérable pour maintenir l’activité. Du fait de la dépendance croissante des entreprises envers l’Internet et les applications et services Web, la disponibilité est devenue aussi précieuse que l’électricité.

Les attaques DDoS ne constituent pas seulement une menace pour les détaillants, les services financiers et les sociétés de jeu dont le besoin de disponibilité est évident. Les attaques DDoS visent également les applications essentielles à la mission de l’entreprise et sur lesquelles cette dernière s’appuie pour la gestion des activités quotidiennes telles que courriel, automatisation de la main-œuvre, gestion de la relation client (CRM) et bien d’autres. De plus, d’autres secteurs, comme les industries manufacturières, le secteur pharmaceutique et le secteur de la santé, ont des sites Web internes sur lesquels la chaîne d’approvisionnement et d’autres partenaires commerciaux s’appuient pour la conduite de leurs affaires quotidiennes. Toutes ces parties représentent des cibles pour les attaquants sophistiqués d’aujourd’hui.

Quels sont les conséquences d’un attaque DDoS réussie ?

Quand un site ou une application destiné au public n’est pas disponible, les conséquences peuvent être des clients mécontents, des pertes de revenus et des dommages pour la marque. Quand des applications essentielles à l’entreprise cessent d’être disponibles, les opérations et la productivité sont paralysées. Les sites Web internes sur lesquels comptent les partenaires provoquent une perturbation de la chaîne d’approvisionnement et de la production.

Une attaque DDoS réussie signifie en outre que votre entreprise est ouverte à d’autres attaques. Vous pouvez vous attendre à ce que les attaques se poursuivent jusqu’au déploiement de défenses plus solides.

Quelles sont les options de protection DDoS ?

Étant donné la grande visibilité des attaques DDoS et leurs conséquences potentiellement dévastatrices, de nombreuses entreprises de sécurité ont soudainement commencé à offrir des solutions de protection DDoS. Vu l’importance de votre décision, il est essentiel de bien comprendre les forces et les faiblesses de vos options.

Solutions d’infrastructure existantes (Firewall, systèmes de détection/protection anti-intrusion, contrôleurs de distribution d’application / Load Balancers)

Les systèmes de prévention des intrusions (IPS), Firewalls et autres produits de sécurité sont des composantes essentielles d’une stratégie de défense par couches, mais ils sont conçus pour résoudre des problèmes fondamentalement différents par rapport aux produits de détection et de neutralisation anti-DDoS dédiés. Les dispositifs IPS, par exemple, bloquent les tentatives d’intrusion visant le vol de données. Quant aux Firewalls, ils appliquent des règles afin d’empêcher les accès illégitimes aux données. Bien que ces produits de sécurité protègent efficacement « l’intégrité et la confidentialité des réseaux », ils sont impuissants contre un aspect fondamental des attaques DDoS, à savoir l’atteinte à « la disponibilité des réseaux ». Qui plus est, les dispositifs IPS et Firewalls sont des solutions en ligne basées sur l’état, ce qui les rend vulnérables aux attaques DDoS, dont ils deviennent  fréquemment des cibles.

À l’instar des dispositifs IDS/IPS et des Firewalls, les dispositifs ADC et les Load Balancers ne disposent ni d’une fonctionnalité de visualisation du trafic à l’échelle du réseau, ni d’une fonctionnalité de surveillance de la sécurité et ils sont également des dispositifs basés sur l’état, donc vulnérables aux attaques provoquant un état d’épuisement. La croissance des menaces volumétriques provoquant un état d’épuisement et des attaques combinées au niveau application fait des dispositifs ADC et Load Balancers une solution limitée et partielle pour les clients désirant la meilleure protection DDoS possible.

Réseaux de distribution de contenu (CDN)

En vérité, un réseau CDN peut neutraliser les symptômes d’une attaque DDoS par simple absorption des énormes volumes de données. Ce réseau accepte le passage de toutes les informations. Toues les données sont reçues sans problème. Mais trois mises en garde s’imposent. Premièrement, il faut que la bande passante disponible soit suffisante pour absorber ce trafic à grand volume, or certaines de ces attaques volumétriques dépassent 300 Gbps et une telle capacité s’accompagne d’un coût élevé. Deuxièmement, il est possible de contourner le réseau CDN. Certaines pages Web ou certains actifs n’utilisent pas le réseau CDN. Troisièmement, un réseau CDN ne peut pas protéger contre les attaques basées sur les applications. Il est donc préférable de laisser le réseau CDN assurer les fonctions pour lesquelles il a été conçu.

Quelle est la démarche d’Arbor en ce qui concerne la protection DDoS ?

Arbor assure la protection des réseaux les plus grands et les plus exigeants du monde contre les attaques DDoS depuis plus de 10 ans. Pour Arbor, le meilleur moyen de protéger vos ressources contre les attaques DDoS modernes consiste incontestablement en un déploiement multicouche de solutions spécialement conçues pour la neutralisation DDoS.

Vous avez besoin d’une protection dans le Cloud pour arrêter les attaques à grand volume actuelles, qui dépassent 300 Gbps. Vous avez également besoin d’une protection sur site contre les attaques furtives visant la couche applicative et contre les attaques visant les dispositifs existants d’infrastructure basés sur l’état, tels que Firewall, IPS et ADC.

Seul un système de défense étroitement intégré et multicouche peut protéger adéquatement votre entreprise contre l’éventail complet d’attaques DDoS.

Les clients d’Arbor jouissent d’un avantage concurrentiel considérable procuré par une vision au niveau micro de leur propre réseau fournie par nos produits, combinée à une vue macro du trafic Internet mondial fournie par notre infrastructure de surveillance de la sécurité ATLAS.  Cette puissante combinaison de moyens de surveillance de la sécurité réseau est actuellement sans égale. Grâce à cette situation sans équivalent, l’équipe de recherche sur la sécurité d’Arbor se trouve dans une position idéale pour fournir des renseignements sur les DDoS, maliciels et botnets qui menacent l’infrastructure Internet et la disponibilité des réseaux.