Min menu

Pages

Comment arrêter une attaque DDoS ?

 

Attaque DDoS

Comment arrêter une attaque DDoS ?

Les attaques DDoS sont en hausse - voici comment riposter.

De toutes les façons dont un pirate informatique peut perturber une entreprise, une attaque DDoS est sans doute la plus ennuyeuse. En août, les étudiants du Myerscough College dans le Lancashire n'ont pas pu accéder aux résultats de leurs examens et le personnel a dû recourir au travail hors ligne à la suite d'une attaque DDoS.

DDoS signifie déni de service distribué et il est devenu très populaire auprès des cybercriminels qui cherchent à infiltrer ou simplement à perturber les entreprises. Google aurait bloqué une attaque DDoS de 2,5 Tpbs en 2017, juste pour vous donner un exemple de leur taille.

De plus, il peut être pratiquement administré par n'importe qui, des pirates novices aux professionnels chevronnés. Les outils sont facilement déployés et largement disponibles. Il bombarde simplement un site Web ciblé avec du trafic artificiel jusqu'à ce qu'il se bloque. Lorsqu'un ordinateur visite un site Web, il demande l'accès au contenu du site. Une attaque DDoS exploite cette requête en envoyant plus qu'un serveur ne peut gérer en une seule fois. L'attaque obstrue le système, provoquant de longs retards ou même l'échec complet du serveur.

Une fois qu'il a démarré, il est incroyablement difficile de l'arrêter, ce qui fait de DDoS l'une des formes d'attaque les plus efficaces. Au cours du premier semestre 2020, les attaques DDoS ont augmenté de 542%, selon un rapport de NexusGuard.

La plus grande attaque DDoS jamais enregistrée remonte à 2018. Amazon Web Services (AWS) aurait bloqué une attaque qui mesurait 2,3 Tbits / s. Cela, dit-il, était 44% plus grand que tout ce dont il avait été question auparavant.

Ce ne sont pas seulement les grands joueurs d'Internet qui sont exposés aux attaques DDoS. Selon les recherches de Kaspersky Lab, 27% des entreprises impliquées dans un tel incident pensent qu'il s'agissait de dommages collatéraux, plutôt que d'être la cible visée. Cela réitère la nécessité pour toutes les organisations de savoir comment se protéger d'une attaque DDoS.

Protection DDoS

Plutôt que de sur-provisionner, des choses simples telles que la mise en mémoire tampon de la bande passante peuvent permettre des pics de trafic, y compris ceux associés aux attaques DDoS, et vous donner le temps à la fois de reconnaître l'attaque et d'y réagir.

Cela vaut probablement la peine de mettre en place d'autres mesures de protection de base qui peuvent vous faire gagner quelques minutes précieuses : limiter le débit de votre routeur, ajouter des filtres pour supprimer les paquets évidents usurpés ou malformés et définir des seuils de chute plus bas pour les inondations ICMP, SYN et UDP. Tout cela vous fera gagner du temps pour essayer de trouver de l'aide.

Planification des réponses DDoS

La première chose que toute organisation devrait faire lorsqu'elle soupçonne une attaque DDoS est de confirmer qu'elle s'est réellement produite. Une fois que vous avez réduit les erreurs DNS ou les problèmes de routage en amont, votre plan de réponse DDoS peut intervenir.

Que devrait contenir ce plan de réponse ? Contactez les membres concernés de votre équipe de réponse aux incidents, y compris les responsables des applications et des équipes d'exploitation, car les deux sont susceptibles d'être affectés.

Ensuite, contactez votre FAI, mais ne soyez pas surpris s'il bloque votre trafic. Une attaque DDoS coûte de l'argent, donc les paquets de routage nuls avant qu'ils n'arrivent sur vos serveurs est souvent l'option par défaut. Il peut proposer de détourner votre trafic via un réseau de nettoyage tiers à la place ; ces paquets d'attaque filtrent et permettent uniquement au trafic propre de vous atteindre.

Soyez averti, il s'agit probablement d'une option d'urgence plus coûteuse que si vous aviez souscrit à un tel réseau de distribution de contenu (CDN) pour surveiller les modèles de trafic et nettoyer le trafic d'attaque sur la base d'un abonnement.

Hiérarchisation DDoS

Assurez-vous que les ressources réseau limitées dont vous disposez sont priorisées - faites de cet exercice un exercice axé sur le financement car il aide à vous concentrer. Sacrifiez le trafic de faible valeur pour maintenir les applications et les services de grande valeur en vie. Vous vous souvenez du plan de réponse DDoS que nous avons mentionné ?

C'est le genre de chose qui devrait être dedans, alors ces décisions ne sont pas prises à la volée et sous la pression du temps. Il ne sert à rien d'autoriser un accès égal aux applications de grande valeur, de mettre sur liste blanche vos partenaires les plus fiables et vos employés distants utilisant VPN pour vous assurer qu'ils ont la priorité.

Protection DDoS multi-vecteur

Les attaques multi-vecteurs, comme lorsqu'une attaque DDoS est utilisée pour masquer une tentative d'exfiltration de données, sont notoirement difficiles à défendre. Il est trop facile de dire que vous devez donner la priorité à la protection des données, mais le DDoS par écran de fumée reste une attaque très réelle contre votre entreprise.

La motivation derrière un DDoS n'est pas pertinente, ils devraient tous être traités en utilisant des défenses DDoS en couches. Celles-ci devraient inclure l'utilisation d'un CDN pour faire face aux attaques volumétriques, les pares-feux d'application Web et les dispositifs de passerelle s'occupant du reste. Un spécialiste de la défense DDoS dédié sera en mesure de vous conseiller sur le meilleur mix pour vous.

Services d'atténuation DDoS

Pour les entreprises particulièrement sensibles aux attaques DDoS, par exemple les entreprises et les grandes organisations, investir dans des services d'atténuation, ou à tout le moins évaluer les options disponibles, peut valoir la peine.

Cloudflare offre peut-être l'un des services de ce type les plus connus, offrant une protection DDoS à un certain nombre d'organisations de haut niveau, y compris WikiLeaks, et ayant travaillé pour atténuer un certain nombre d'attaques de haut niveau. Le botnet WireX et l'attaque Spamhaus de 2013 en sont les meilleurs exemples.

Il existe de nombreuses alternatives dans le domaine des services de protection DDoS, et de nombreuses sociétés d'optimisation de la distribution des réseaux et des applications proposent également des mesures d'atténuation contre les attaques DDoS. Le botnet WireX, par exemple, a été supprimé à la suite d'une collaboration entre un certain nombre d'entreprises, dont Cloudflare, mais aussi RiskIQ, Flashpoint, Team Cymru et Google.

Les autres entreprises qui entrent dans le camp incluent Akami, NETSCOUT Arbor, F5 Networks, Imperva et Verisign. Ceci est associé à un certain nombre d’autres options qui n’ont peut-être pas le profil du groupe susmentionné, notamment Neustar, DOSarrest et ThousandEyes.

Une poignée de ces fournisseurs offrent également une couverture d'urgence, comme on le sait, qui peut être achetée lorsqu'une attaque DDoS est déjà en cours, afin de protéger l'entreprise et ses services contre les pires éléments de la vague. D'autres, quant à eux, exigent un contrat à plus long terme pour organiser l'atténuation de ces attaques.

Les entreprises ou organisations utilisant d'autres produits de ces entreprises peuvent également souhaiter ajouter une protection DDoS à l'ensemble. Pour ceux qui utilisent une autre société d'optimisation de réseau, en plus de celles répertoriées, il vaudrait la peine d'examiner les options de protection DDoS proposées et leur coût. Les FAI peuvent également proposer une certaine forme d'atténuation des attaques DDoS, en particulier sous la forme d'une couverture d'urgence, mais cela peut ou non être aussi complet que certaines des options proposées par des entreprises spécialisées.


SOURCE : Ici.

reaction:

Commentaires