Comment arrêter une attaque DDoS ?
Les
attaques DDoS sont en hausse - voici comment riposter.
De
toutes les façons dont un pirate informatique peut perturber une entreprise,
une attaque DDoS est sans doute la plus ennuyeuse. En août, les étudiants du
Myerscough College dans le Lancashire n'ont pas pu accéder aux résultats de
leurs examens et le personnel a dû recourir au travail hors ligne à la suite
d'une attaque DDoS.
DDoS
signifie déni de service distribué et il est devenu très populaire auprès des
cybercriminels qui cherchent à infiltrer ou simplement à perturber les
entreprises. Google aurait bloqué une attaque DDoS de 2,5 Tpbs en 2017, juste
pour vous donner un exemple de leur taille.
De
plus, il peut être pratiquement administré par n'importe qui, des pirates
novices aux professionnels chevronnés. Les outils sont facilement déployés et
largement disponibles. Il bombarde simplement un site Web ciblé avec du trafic
artificiel jusqu'à ce qu'il se bloque. Lorsqu'un ordinateur visite un site Web,
il demande l'accès au contenu du site. Une attaque DDoS exploite cette requête
en envoyant plus qu'un serveur ne peut gérer en une seule fois. L'attaque
obstrue le système, provoquant de longs retards ou même l'échec complet du
serveur.
Une
fois qu'il a démarré, il est incroyablement difficile de l'arrêter, ce qui fait
de DDoS l'une des formes d'attaque les plus efficaces. Au cours du premier
semestre 2020, les attaques DDoS ont augmenté de 542%, selon un rapport de
NexusGuard.
La
plus grande attaque DDoS jamais enregistrée remonte à 2018. Amazon Web Services
(AWS) aurait bloqué une attaque qui mesurait 2,3 Tbits / s. Cela, dit-il, était
44% plus grand que tout ce dont il avait été question auparavant.
Ce
ne sont pas seulement les grands joueurs d'Internet qui sont exposés aux
attaques DDoS. Selon les recherches de Kaspersky Lab, 27% des entreprises
impliquées dans un tel incident pensent qu'il s'agissait de dommages
collatéraux, plutôt que d'être la cible visée. Cela réitère la nécessité pour
toutes les organisations de savoir comment se protéger d'une attaque DDoS.
Protection DDoS
Plutôt
que de sur-provisionner, des choses simples telles que la mise en mémoire
tampon de la bande passante peuvent permettre des pics de trafic, y compris
ceux associés aux attaques DDoS, et vous donner le temps à la fois de
reconnaître l'attaque et d'y réagir.
Cela
vaut probablement la peine de mettre en place d'autres mesures de protection de
base qui peuvent vous faire gagner quelques minutes précieuses : limiter le
débit de votre routeur, ajouter des filtres pour supprimer les paquets évidents
usurpés ou malformés et définir des seuils de chute plus bas pour les
inondations ICMP, SYN et UDP. Tout cela vous fera gagner du temps pour essayer
de trouver de l'aide.
Planification des réponses DDoS
La
première chose que toute organisation devrait faire lorsqu'elle soupçonne une
attaque DDoS est de confirmer qu'elle s'est réellement produite. Une fois que
vous avez réduit les erreurs DNS ou les problèmes de routage en amont, votre
plan de réponse DDoS peut intervenir.
Que
devrait contenir ce plan de réponse ? Contactez les membres concernés de votre
équipe de réponse aux incidents, y compris les responsables des applications et
des équipes d'exploitation, car les deux sont susceptibles d'être affectés.
Ensuite,
contactez votre FAI, mais ne soyez pas surpris s'il bloque votre trafic. Une
attaque DDoS coûte de l'argent, donc les paquets de routage nuls avant qu'ils
n'arrivent sur vos serveurs est souvent l'option par défaut. Il peut proposer
de détourner votre trafic via un réseau de nettoyage tiers à la place ; ces
paquets d'attaque filtrent et permettent uniquement au trafic propre de vous
atteindre.
Soyez
averti, il s'agit probablement d'une option d'urgence plus coûteuse que si vous
aviez souscrit à un tel réseau de distribution de contenu (CDN) pour surveiller
les modèles de trafic et nettoyer le trafic d'attaque sur la base d'un
abonnement.
Hiérarchisation DDoS
Assurez-vous
que les ressources réseau limitées dont vous disposez sont priorisées - faites
de cet exercice un exercice axé sur le financement car il aide à vous
concentrer. Sacrifiez le trafic de faible valeur pour maintenir les
applications et les services de grande valeur en vie. Vous vous souvenez du
plan de réponse DDoS que nous avons mentionné ?
C'est
le genre de chose qui devrait être dedans, alors ces décisions ne sont pas prises
à la volée et sous la pression du temps. Il ne sert à rien d'autoriser un accès
égal aux applications de grande valeur, de mettre sur liste blanche vos
partenaires les plus fiables et vos employés distants utilisant VPN pour vous
assurer qu'ils ont la priorité.
Protection DDoS multi-vecteur
Les
attaques multi-vecteurs, comme lorsqu'une attaque DDoS est utilisée pour
masquer une tentative d'exfiltration de données, sont notoirement difficiles à
défendre. Il est trop facile de dire que vous devez donner la priorité à la
protection des données, mais le DDoS par écran de fumée reste une attaque très
réelle contre votre entreprise.
La
motivation derrière un DDoS n'est pas pertinente, ils devraient tous être
traités en utilisant des défenses DDoS en couches. Celles-ci devraient inclure
l'utilisation d'un CDN pour faire face aux attaques volumétriques, les
pares-feux d'application Web et les dispositifs de passerelle s'occupant du
reste. Un spécialiste de la défense DDoS dédié sera en mesure de vous
conseiller sur le meilleur mix pour vous.
Services d'atténuation DDoS
Pour
les entreprises particulièrement sensibles aux attaques DDoS, par exemple les
entreprises et les grandes organisations, investir dans des services
d'atténuation, ou à tout le moins évaluer les options disponibles, peut valoir
la peine.
Cloudflare
offre peut-être l'un des services de ce type les plus connus, offrant une
protection DDoS à un certain nombre d'organisations de haut niveau, y compris
WikiLeaks, et ayant travaillé pour atténuer un certain nombre d'attaques de
haut niveau. Le botnet WireX et l'attaque Spamhaus de 2013 en sont les
meilleurs exemples.
Il
existe de nombreuses alternatives dans le domaine des services de protection
DDoS, et de nombreuses sociétés d'optimisation de la distribution des réseaux
et des applications proposent également des mesures d'atténuation contre les
attaques DDoS. Le botnet WireX, par exemple, a été supprimé à la suite d'une
collaboration entre un certain nombre d'entreprises, dont Cloudflare, mais
aussi RiskIQ, Flashpoint, Team Cymru et Google.
Les
autres entreprises qui entrent dans le camp incluent Akami, NETSCOUT Arbor, F5
Networks, Imperva et Verisign. Ceci est associé à un certain nombre d’autres
options qui n’ont peut-être pas le profil du groupe susmentionné, notamment
Neustar, DOSarrest et ThousandEyes.
Une
poignée de ces fournisseurs offrent également une couverture d'urgence, comme
on le sait, qui peut être achetée lorsqu'une attaque DDoS est déjà en cours,
afin de protéger l'entreprise et ses services contre les pires éléments de la
vague. D'autres, quant à eux, exigent un contrat à plus long terme pour
organiser l'atténuation de ces attaques.
Les
entreprises ou organisations utilisant d'autres produits de ces entreprises
peuvent également souhaiter ajouter une protection DDoS à l'ensemble. Pour ceux
qui utilisent une autre société d'optimisation de réseau, en plus de celles
répertoriées, il vaudrait la peine d'examiner les options de protection DDoS
proposées et leur coût. Les FAI peuvent également proposer une certaine forme
d'atténuation des attaques DDoS, en particulier sous la forme d'une couverture
d'urgence, mais cela peut ou non être aussi complet que certaines des options
proposées par des entreprises spécialisées.
Commentaires
Enregistrer un commentaire