Techniques de protection et d'atténuation utilisant un service de protection DDoS (Distributed Denial of Service) géré, un pare-feu d'application web (WAF) et un réseau de diffusion de contenu (CDN)

Essayez la protection DDoS
bnr_security_380x186

Une attaque par déni de service (DoS) est une tentative malveillante d'affecter la disponibilité d'un système ciblé, tel qu'un site Web ou une application, pour légitimer des utilisateurs finaux. En général, les pirates génèrent d'importants volumes de paquets ou de requêtes qui finissent par surcharger le système cible. Dans le cas d'une attaque par déni de service distribué (DDoS), le pirate utilise plusieurs sources compromises ou contrôlées pour générer l'attaque.

En général, les attaques DDoS peuvent être isolées selon la couche du modèle OSI (Open System Interconnection) qu'elles prennent pour cible. Elles sont plus fréquentes au niveau des couches réseau (couche 3), transport (couche 4), présentation (couche 6) et application (couche 7).


Couche Application Description Exemple de vecteur
7 Application Données Traitement réseau vers l'application Inondations HTTP ou inondations par requêtes DNS
6 Présentation Données Représentation et chiffrement des données Abus SSL
5 Session Données Communication entre hôtes Sans objet
4 Transport Segments Connexions et fiabilité de bout en bout Inondations SYN
3 Réseau Paquets Détermination de chemin et adressage logique Attaques par réflexion UDP
2 Liaisons de données Images Adressage physique Sans objet
1 Physique Bits Médias, signal et transmission binaire Sans objet

Lorsque l'on réfléchit aux techniques d'atténuation de ces attaques, il est utile de les regrouper sous les couches infrastructure (couches 3 et 4) et application (couches 6 et 7).

Attaques ciblant la couche infrastructure

Les attaques ciblant les couches 3 et 4 sont généralement classées en tant qu'attaques de la couche infrastructure. Il s'agit également du type le plus fréquent d'attaques DDoS qui inclut des vecteurs tels que les inondations synchronisées (SYN) et d'autres attaques par réflexion telles que les inondations UDP (User Datagram Packet). Ces attaques sont généralement importantes en termes de volume et visent à surcharger la capacité du réseau ou les serveurs d'application. Mais heureusement, il existe également un type d'attaque qui présente des signatures claires et qui est plus facile à détecter.

Attaques ciblant la couche application

Les attaques ciblant les couches 6 et 7 sont souvent classées en tant qu'attaques de la couche application. Bien que ces attaques soient moins courantes, elles ont tendance à être plus sophistiquées. Elles sont généralement faibles en termes de volume par rapport aux attaques ciblant la couche infrastructure, mais ont tendance à se concentrer sur des parties onéreuses de l'application, la rendant indisponible pour les utilisateurs réels. Par exemple, un flot de requêtes HTTP vers une page de connexion ou une API de recherche onéreuse, ou même des inondations Wordpress XML-RPC (également connues sous le nom d'attaques pingback Wordpress).

Réduire la surface d'attaque

L'une des premières techniques d'atténuation des attaques DDoS consiste à minimiser la surface susceptible d'être attaquée, ce qui limite les possibilités pour les pirates et permet d'établir des protections en un seul endroit. Nous voulons nous assurer que nous n'exposons pas notre application ou nos ressources aux ports, protocoles ou applications depuis lesquels aucune communication n'est attendue. Pour ce faire, nous minimisons les points d'attaque possibles et nous concentrons sur nos efforts d'atténuation. Dans certains cas, il est possible d'y parvenir en plaçant les ressources de calcul derrière des réseaux de diffusion de contenu (CDN) ou des équilibreurs de charge et restreindre le trafic Internet direct vers certaines parties de l'infrastructure telles que les serveurs de base de données. Dans d'autres cas, il est possible d'utiliser des pare-feu ou des listes de contrôle d'accès (ACL) pour contrôler le trafic parvenant jusqu'à vos applications.

Planifier la mise à l'échelle

Les deux considérations importantes pour atténuer les attaques DDoS volumétriques à grande échelle sont la capacité de bande passante (ou transit) et la capacité de serveur pour absorber et atténuer les attaques.

Capacité de transit. Lors de la conception de l'architecture de vos applications, assurez-vous que votre fournisseur d'hébergement offre une connectivité Internet redondante suffisante pour vous permettre de traiter d'importants volumes de trafic. Dans la mesure où l'objectif ultime des attaques DDoS est d'affecter la disponibilité de vos ressources/applications, vous devez les identifier, non seulement à proximité de vos utilisateurs finaux, mais aussi pour les échanges Internet importants qui offrent à vos utilisateurs un accès aisé à votre application, même en cas d'importants volumes de trafic. De plus, les applications web peuvent aller plus loin en utilisant des réseaux de diffusion de contenu (CDN) et des services de résolution DNS intelligents qui fournissent une couche supplémentaire de l'infrastructure réseau pour diffuser du contenu et résoudre des requêtes DNS à partir d'emplacements qui sont souvent plus près de vos utilisateurs finaux.

Capacité de serveur. La plupart des attaques DDoS sont des attaques volumétriques qui utilisent de nombreuses ressources. Il est donc important de pouvoir rapidement augmenter ou diminuer la capacité de vos ressources de calcul. Pour ce faire, vous pouvez exécuter votre infrastructure sur des ressources de calcul plus importantes ou des ressources dotées de fonctionnalités telles que des interfaces réseau étendues ou une mise en réseau améliorée qui prennent en charge des volumes plus importants. De plus, il est également courant d'utiliser des équilibreurs de charge pour surveiller en permanence les ressources et équilibrer les charges entre ces dernières pour éviter de surcharger une ressource.

Identifier le trafic normal et le trafic anormal

Chaque fois que des niveaux élevés de trafic sont détectés au niveau d'un hôte, il est d'usage d'accepter uniquement un volume de trafic correspondant aux capacités de traitement de l'hôte sans affecter la disponibilité. Ce concept s'appelle la limitation de débit. Des techniques de protection plus avancées vont encore plus loin et possèdent l'intelligence suffisante pour n'accepter que le trafic légitime en analysant chaque paquet. Pour ce faire, vous devez comprendre les caractéristiques du trafic légitime que la cible reçoit généralement et être en mesure de comparer chaque paquet à cette référence.

Déployer des pare-feu pour lutter contre les attaques d'application sophistiquées

Une bonne pratique consiste à utiliser un pare-feu d'application web (WAF) contre des attaques telles que l'injection SQL ou la contrefaçon de requête intersites, qui tentent d'exploiter une vulnérabilité dans l'application elle-même. En outre, en raison de la nature unique de ces attaques, vous devez pouvoir facilement créer des mesures d'atténuation personnalisées contre les requêtes illégitimes qui peuvent se faire passer pour du trafic légitime ou provenir d'adresses IP erronées, de zones géographiques inattendues, etc. Parfois, il peut également être utile, pour limiter les attaques à mesure qu'elles se produisent, de bénéficier d'un support expérimenté pour étudier les schémas de trafic et créer des protections personnalisées.

S'inscrire

Votre compte sera de niveau gratuit AWS, ce qui permet de profiter d’une expérience gratuite et clé en main de la plateforme, des produits et des services AWS.

Création

Tous les clients AWS bénéficient des protections automatiques AWS Shield Standard, sans frais supplémentaires.

Essayez AWS Shield