En octobre 2016, le fournisseur DNS Dyn a été touché par une attaque majeure DDoS (Distributed Denial of Service) par une armée d’appareils IoT qui avaient été piratés spécialement à cette fin. Plus de 14 000 domaines utilisant les services de Dyn étaient débordés et inaccessibles, y compris de grands noms comme Amazon, HBO et PayPal.
Selon les recherches de Cloudflare, le coût moyen des pannes d’infrastructure pour les entreprises est de 100 000 $ (75 000 £) par heure. Alors, comment pouvez-vous vous assurer que votre organisation n’est pas victime de ce type d’attaque ? Dans ce guide, vous découvrirez les principaux fournisseurs d’infrastructure qui ont le muscle numérique pour se prémunir contre les attaques conçues pour inonder la capacité de votre réseau.
Vous découvrirez également quels fournisseurs peuvent offrir une protection contre les attaques d’applications plus sophistiquées (couche 7), qui peuvent être effectuées sans un grand nombre d’ordinateurs piratés (parfois appelé botnet).
Bouclier de projet est le fruit de Jigsaw, une branche de la société mère de Google, Alphabet. Le développement a commencé il y a plusieurs années avec George Conard à la suite d’attaques contre des sites Web liés à l’observation des élections et aux droits de l’homme en Ukraine.
Project Shield peut filtrer le trafic malveillant potentiel en agissant comme un proxy inverse qui se situe entre un site Web et l’Internet général, filtrant les demandes de connexion. Si une connexion semble provenir d’un visiteur légitime, Project Shield autorise la demande de connexion. Si une demande de connexion est jugée infructueuse, par exemple plusieurs tentatives de connexion à partir de la même adresse IP, elle est bloquée. Ce système rend Project Shield extrêmement facile à mettre en œuvre en modifiant simplement les paramètres DNS de votre serveur.
Tout utilisateur expérimenté peut se demander comment le filtrage du trafic via un proxy avec SSL fonctionnera. Heureusement, Jigsaw a pensé à cela et a produit un tutoriel complet pour vous assurer que les connexions sécurisées à votre site fonctionnent correctement. Divers autres tutoriels sont également disponibles dans la section support.
Project Shield n’est actuellement disponible que pour les médias, la surveillance des élections et les sites Web liés aux droits de l’homme. L’accent est également mis sur les petits sites Web pauvres en ressources qui ne peuvent pas se permettre des solutions d’hébergement coûteuses pour se protéger contre les attaques DDoS. Si votre organisation ne répond pas à ces exigences, vous devrez peut-être envisager une solution alternative telle que Cloudflare.
Quiconque a utilisé Internet ces dernières années connaît Cloudflare puisque de nombreux sites Web majeurs font usage de leur protection. Bien que Cloudflare soit basé aux États-Unis, il gère plus de 180 centres de données dans le monde – une infrastructure qui rivalise avec celle de Google. Cela maximise les chances que votre site reste en ligne.
Chaque utilisateur de Cloudflare peut choisir d’activer le mode « Je suis attaqué », qui peut protéger contre les attaques DoS les plus sophistiquées en présentant un défi Javascript. Bien entendu, Cloudflare agit également comme un proxy inverse entre les visiteurs et l’hébergeur de votre site pour filtrer le trafic de la même manière que Project Shield de Jigsaw. En mars 2019, Cloudflare a introduit Spectrum for UDP, qui fournit une protection DDoS et des pare-feu pour les protocoles non fiables.
Les visiteurs faisant des demandes de connexion doivent exécuter une série de filtres sophistiqués, y compris la réputation du site, si leur IP a été mise sur liste noire et si l’en-tête HTTP semble suspect. Les requêtes HTTP sont empreintes digitales pour se protéger contre les botnets connus. En tant que géant de l’industrie, Cloudflare peut facilement tirer parti de sa position en partageant des informations sur les plus de 7 millions de sites Web qu’il gère.
Cloudflare propose un package de base gratuit qui inclut une atténuation DDoS illimitée. Pour ceux qui sont prêts à payer pour un abonnement professionnel Cloudflare (les prix commencent à 200 $ ou 149 £ par mois), une protection plus avancée est disponible, telle que le téléchargement de certificat SSL personnalisé.
Bouclier AWS La protection est fournie par les bonnes personnes des services Web d’Amazon. Le niveau « Standard » est disponible pour tous les clients AWS sans frais supplémentaires. C’est idéal car de nombreuses petites entreprises choisissent d’héberger leurs sites Web sur Amazon. AWS Shield Standard est disponible pour tous les clients sans frais supplémentaires. Protège contre les attaques de réseau (couche 3) et de transport (couche 4) plus courantes lors de l’utilisation des services Cloud Front et Route 53 d’Amazon.
Cela devrait rebuter tous les pirates, sauf les plus déterminés. Cependant, votre bande passante, par exemple 15 Gbp/s, sera toujours limitée par la taille de votre instance Amazon, les pirates pourront donc mener une attaque DoS s’ils disposent de ressources suffisantes. Pire encore, vous êtes toujours responsable du paiement du trafic supplémentaire vers votre instance.
Pour atténuer cela, Amazon propose également AWS Shield Advanced. Un abonnement comprend une protection contre les coûts DDoS, ce qui peut vous faire économiser une énorme augmentation de votre facture d’utilisation mensuelle si vous êtes victime d’une attaque. AWS Shield Advanced peut également déployer vos ACL (listes de contrôle d’accès) à la périphérie du propre réseau d’AWS, vous protégeant ainsi des attaques les plus importantes.
Les abonnés avancés bénéficient également d’une DRT (équipe de réponse DDoS) 24 heures sur 24, ainsi que de mesures détaillées sur les attaques sur leurs instances. Cependant, la tranquillité d’esprit offerte par AWS Shield Advanced est chère. Vous devez être prêt à vous abonner pour un minimum d’un an pour un prix de 3 000 $ (2 200 £) par mois. Cela s’ajoute aux coûts d’utilisation du transfert de données que vous pouvez couvrir avec un système de paiement à l’utilisation.
Comme Amazon, Microsoft offre la possibilité de louer un espace de service via son service. Azur. Tous les membres bénéficient d’une protection DDoS de base. Les fonctionnalités incluent une surveillance permanente du trafic et une atténuation des attaques réseau en temps réel (couche 3) pour toute adresse IP publique que vous utilisez. Il s’agit du même type de protection fourni aux propres services en ligne de Microsoft, et toutes les ressources du réseau Azure peuvent être utilisées pour absorber les attaques DDoS.
Pour les organisations qui ont besoin d’une protection plus sophistiquée, Azure propose également un niveau « Standard ». Cela a été largement salué pour être très facile à activer, ne nécessitant que quelques clics de souris. Pour l’essentiel, Azure ne vous oblige pas à apporter des modifications à vos applications, bien que le niveau standard offre une protection contre les attaques DDoS d’application (couche 7) via le pare-feu d’application Web de la passerelle d’application. Azure Monitor peut vous montrer des métriques en temps réel si une attaque se produit. Ceux-ci sont conservés pendant 30 jours et peuvent être exportés pour une étude plus approfondie si vous le souhaitez.
Azure vérifie en permanence le trafic Web vers vos ressources. S’ils dépassent un seuil prédéfini, l’atténuation DDoS démarre automatiquement. Cela comprend l’inspection des emballages pour s’assurer qu’ils ne sont pas malformés ou contrefaits, ainsi que l’utilisation de la limitation de vitesse.
La protection standard est actuellement de 2 944 $ (2 204 £) par mois plus les frais de données pour un maximum de 100 ressources. La protection s’applique également à toutes les ressources. En d’autres termes, vous ne pouvez pas adapter l’atténuation DDoS à des cas individuels.
Mise à jour : les services de sécurité de Verisign sont transférés vers Neustar.
Verisign est presque aussi vieux qu’Internet lui-même. Depuis 1995, elle est passée d’une simple autorité de certification à un acteur majeur de l’industrie des services réseaux.
Protection DDoS de Verisign fonctionne dans le Cloud. Les utilisateurs peuvent choisir de rediriger les tentatives de connexion en modifiant simplement leurs paramètres DNS (serveur de nom de domaine). Le trafic est envoyé à Verisign pour vérification afin d’empêcher les attaques de réseau. Verisign analyse minutieusement tout le trafic avant de le rediriger.
Étant donné que Verisign exploite deux des treize serveurs de noms de chemins mondiaux, il n’est pas surprenant que l’organisation maintienne également plusieurs « centres de débogage » DDoS dédiés. Ceux-ci analysent le trafic et filtrent les mauvaises demandes de connexion. L’infrastructure combinée fonctionne à près de 2 To/s et peut bloquer même les attaques DDoS les plus écrasantes.
Ceci est largement accompli grâce à Athena, la plate-forme d’atténuation des menaces de Verisign. Athéna est globalement divisée en trois éléments. Le ‘Shield’ filtre le réseau (couche 3) et les attaques de transport (couche 4) via DPI (inspection approfondie des paquets), listes noires et listes blanches et gestion de la réputation du site. Le « proxy » Athena inspecte les en-têtes HTTP pour détecter le mauvais trafic lors des premières tentatives de connexion. Le « proxy » et le « bouclier » sont compatibles avec « l’équilibreur de charge » d’Athena, qui aide à prévenir les attaques d’applications (couche 7).
Le portail client affiche des rapports détaillés sur le trafic et vous permet de configurer votre gestion des menaces, par exemple en créant des listes noires de connexion. Pour les utilisateurs réticents à tout déployer dans le cloud, Verisign propose également OpenHybrid qui peut être installé sur site.
Crédit d’image: Wikimedia Commons (Antoine Lamielle)