Techniques de protection et d'atténuation impliquant le service de protection par déni de service distribué (DDoS), le pare-feu d'accès Web (WAF) et le réseau de distribution de contenu (CDN)

Une attaque par déni de service (DoS) a pour but d'affecter la disponibilité d'un système ciblé, comme un site Web ou une application. En général, les attaquants génèrent de grands volumes de paquets ou de demandes, ce qui finit par submerger le système cible. En cas d'attaque par déni de service distribué (DDoS), l'attaquant utilise plusieurs sources contrôlées ou corrompues pour procéder.

En général, les attaques DDoS peuvent être distinguées en fonction de la couche du modèle OSI qu'elles ciblent. Elles sont les plus courantes au niveau des couches Réseau (couche 3), Transport (couche 4), Présentation (couche 6) et Application (couche 7).


# Couche Application Description Exemple de vecteur
7 Application Données Processus réseau en direction de l'application Flux HTTP, Flux de requête DNS
6 Présentation Données Représentation et chiffrement des données Abus SSL
5 Session Données Communication inter-hôte N/A
4 Transport Segments Connexions de bout en bout et fiabilité Flux SYN
3 Réseau Paquets Détermination de chemin et adressage logique Attaques par réflexion basées sur des protocoles UDP
2 Liaisons de données Images Adressage physique N/A
1 Physique Bits Transmission multimédia, de signal et binaire N/A

Si vous souhaitez appliquer des techniques pour limiter ces attaques, vous pouvez regrouper ces dernières en fonction de la couche d'infrastructure (couches 3 et 4) et de la couche d'application (couches 6 et 7).

Attaques de couche d'infrastructure

Les attaques au niveau des couches 3 et 4 sont souvent considérées comme des attaques de couche d'infrastructure. Elles sont aussi les plus courantes et incluent des vecteurs, comme les flux synchronisés (SYN), et d'autres attaques par réflexion, comme les flux de protocoles DUP (User Datagram Packet). Ces attaques sont généralement d'envergure et ont pour but de submerger la capacité du réseau ou des serveurs d'application. Cependant, car elles comportent une signature claire, elles peuvent être plus facilement détectées.

Attaques de couche d'application

Les attaques au niveau des couches 6 et 7 sont souvent considérées comme des attaques de couche d'application. Si elles sont moins courantes, elles tendent à être plus sophistiquées. Elles sont généralement de plus faible envergure que les attaques de couche d'infrastructure, mais ont tendance à porter sur des composants particulièrement cruciaux de l'application, ce qui rend cette dernière indisponible. Ces composant peuvent inclure un flux de requêtes HTTP redirigeant vers une page de connexion, une API de recherche, voire même des flux Wordpress XML-RPC (également appelés « attaques pingback Wordpress »).

Réduction de la surface d'attaque

L'une des premières techniques d'atténuation des attaques DDoS est de minimiser la surface d'attaque pouvant être ciblée, limitant ainsi les options pour les attaquants et vous permettant de créer des protections dans un seul emplacement. Nous voulons nous assurer que nous n'exposons pas notre application ou nos ressources aux ports, protocoles ou applications où aucune communication n'est attendue. Minimisant ainsi les points possibles d'attaque et nous permettant de nous concentrer sur les nos efforts d'atténuation. Dans certains cas, vous pouvez faire cela en plaçant vos ressources informatiques derrière des réseaux de distribution de contenu (CDN) ou des équilibreurs de charge et en limitant le trafic Internet direct à certaines parties de votre infrastructure, comme vos serveurs de base de données. Dans d'autres cas, vous pouvez utiliser des pare-feux ou des listes de contrôle d'accès (ACL) pour contrôler le trafic qui atteint vos applications.

Planifier pour une mise à l'échelle

Les deux considérations clé pour l'atténuation des attaques DDoS à très grande échelle sont la capacité de la bande passante (ou transit) et la capacité du serveur à absorber et à atténuer les attaques.

Capacité de transit Lors de la conception de l'architecture de vos applications, assurez-vous que votre prestataire d'hébergement fournit une large connectivité Internet redondante qui vous permet de gérer de grands volumes de trafic. Puisque l'objectif ultime des attaques DDoS est d'impacter la disponibilité de vos ressources/applications, vous devez les localiser, non seulement à proximité de vos utilisateurs finaux, mais aux des échanges Internet importants, ce qui fournira à vos utilisateurs un accès facile à votre application même avec des volumes élevés de trafic. De plus, les applications Web peuvent aller plus loin en employant des réseaux de distribution de contenu (CDN) et des services de résolution DNS intelligents qui fournissent un couche supplémentaire d'infrastructure réseau pour livrer du contenu et résoudre les requêtes DNS à partir d'emplacements qui sont souvent plus proches de vos utilisateurs finaux.

Capacité des serveurs La plupart des attaques DDoS sont des attaques en volume qui utilisent beaucoup de ressources. Il est donc important que vous puissiez rapidement mettre à l'échelle vos ressources informatiques. Vous pouvez faire cela en utilisant de grandes ressources informatiques ou celles avec des fonctionnalités comme plus d'interfaces réseau extensibles ou plus de mise en réseau améliorée qui prennent en charge de plus grands volumes. De plus, il est aussi courant d'utiliser des équilibreurs de charge pour surveiller constamment et faire basculer des charges entre les ressources pour empêcher de surcharger l'une des ressources.

Savoir ce qu'est un trafic normal et anormal

Chaque fois que nous détectons des niveaux élevés de trafic atteignant un hôte, l'exigence de base est de pouvoir accepter uniquement le trafic que notre hôte peut gérer sans affecter la disponibilité. Ce concept est appelé limitation de vitesse. Des techniques de protection plus avancées peuvent aller plus loin et acceptent, de manière intelligente, uniquement le trafic qui est légitime en analysant les paquets individuels mêmes. Pour ce faire, vous devez comprendre les caractéristiques du bon trafic que la cible reçoit habituellement et être capable de comparer chaque paquet par rapport à cette référence de base.

Déployer des pare-feux pour des attaques d'application sophistiquées

Une bonne pratique est d’utiliser un pare-feu d'application web (WAF) contre des attaques telles qu'une injection SQL ou une falsification de requête intersite, qui tentent d’exploiter une vulnérabilité dans votre application même. De plus, de par la nature unique de ces attaques, vous devez pouvoir facilement créer des atténuations personnalisées contre des demandes illégitimes qui pourraient avoir des caractéristiques comme la ressemblance à du bon trafic ou provenir de mauvaises API, de régions inattendues, etc. C'est parfois utile dans l'atténuation des attaques car ils deviennent expérimentés pour étudier les schémas du trafic et créent des protections personnalisées.

S'inscrire

Votre compte fera partie de l'offre gratuite AWS, ce qui permet de profiter d'une expérience gratuite et clé en main de la plateforme, des produits et des services AWS.

Apprendre

Entraînez-vous et apprenez-en plus sur la protection contre les DDoS sur AWS à l'aide des didacticiels étape par étape.

Créer

Tous les clients AWS bénéficient des protections automatiques d'AWS Shield Standard, sans frais supplémentaires.