Comment arrêter les attaques DDoS? (distributed denial of service)
Principe de fonctionnement des attaques DDoS.
De toutes les façons dont les pirates peuvent perturber les activités, les attaques DDoS sont peut-être les plus perturbatrices. DDoS signifie déni de service distribué est devenu très populaire auprès des cybercriminels cherchant à s'infiltrer ou simplement à perturber les activités.
De plus, les attaques peuvent être gérées par n'importe qui, des pirates expérimentés aux professionnels chevronnés et virtuels. Ces outils sont faciles à mettre en œuvre et généralement disponibles. Dans ce cas, le site Web cible est simplement bombardé de trafic artificiel jusqu'à ce qu'il plante. Lorsqu'un ordinateur visite un site Web, l'ordinateur demande l'accès au contenu du site Web. Lors d'une attaque DDoS, plus de requêtes sont envoyées que le serveur ne peut en traiter à tout moment. Ces attaques bloquent le système et provoquent de longs délais, voire une panne complète du serveur.
Attaques DDoS en hausse.
La triste réalité de la vie de nombreuses organisations est que les attaques DDoS sont en augmentation. Selon NexusGuard, les attaques DDoS ont augmenté de 542% au premier semestre 2020.
La plus grande attaque DDoS enregistrée a eu lieu en 2017. Google a annoncé que son infrastructure avait englouti des attaques de déni de service distribué (DDoS) à 2,5 Tbit / s en 2017, la plus grande attaque en termes de vitesse. Le volume. , jamais enregistré. C'est quatre fois le record d'attaque de 623 Gbps du botnet Mirai un an plus tôt.
En 2018, Amazon Web Services (AWS) a bloqué les attaques mesurées à 2,3 Tbit / s. Selon lui, c'était 44% plus élevé que tout ce qu'il avait fait auparavant.
Mais ce ne sont pas seulement les grands noms d'Internet qui ont été touchés par des attaques DDoS. Selon Kaspersky Labs, 27% des entreprises touchées par l'incident pensaient avoir causé le dommage, pas la cible. Cela souligne la nécessité pour toutes les organisations de savoir comment se protéger des attaques DDoS.
Au Royaume-Uni, les attaques DDoS coûteraient au pays près d'un milliard de livres sterling par an, selon un rapport de Netscout sur la sécurité des infrastructures mondiales.
Même si les nuages sont une bénédiction pour de nombreuses personnes, ils sont également utiles pour les criminels. Selon une étude du Center for Security Operations (LSOC) Link11, le cloud public est utilisé dans un quart des attaques DDoS par an.
Protection DDoS.
Plutôt que de trop sauvegarder, des choses simples comme la mise en mémoire tampon de la bande passante peuvent activer des pics de trafic, y compris ceux associés aux attaques DDoS, et vous donner le temps de détecter et de répondre aux attaques en même temps.
Il pourrait être intéressant de mettre en œuvre d'autres précautions de base qui pourraient vous faire gagner quelques minutes précieuses: limiter la vitesse de votre routeur, ajouter des filtres pour supprimer les paquets clairement faux ou biaisés et définir un seuil inférieur d'inondation. ICMP, SYN et UDP. Tout cela vous fera gagner du temps dans la recherche d'aide.
C'est également une bonne idée de vous familiariser avec les caractéristiques du trafic entrant sur votre site Web. Plus vous saurez ce qui semble normal, plus il vous sera facile de repérer tout trafic anormal et d'agir. C'est également une bonne idée de pouvoir faire la distinction entre un afflux soudain de visiteurs normaux et le début d'une attaque DDoS.
Planification des réponses DDoS.
La première chose qu'une organisation doit faire lorsqu'elle soupçonne une attaque DDoS est de confirmer que cela s'est réellement produit. Une fois que vous avez réduit les erreurs DNS ou les problèmes de routage en amont, votre plan de réponse DDoS peut être démarré.
Que faut-il inclure dans ce plan de réponse? Contactez les membres concernés de votre équipe de réponse aux incidents, y compris les prospects de l'équipe d'application et d'exploitation, car les deux sont susceptibles d'être affectés.
Contactez ensuite votre FAI, mais ne soyez pas surpris si cela bloque votre trafic. Les attaques DDoS sont coûteuses, donc souvent, ne pas acheminer les paquets avant qu'ils n'arrivent sur votre serveur est l'option par défaut. Au lieu de cela, vous pouvez être invité à acheminer votre trafic via un réseau de nettoyeurs tiers. Ce filtre attaque les paquets d'attaque et permet uniquement au trafic propre de vous atteindre.
Notez que cela peut être une option d'urgence plus coûteuse que d'avoir un réseau de distribution de contenu (CDN) pour surveiller les modèles de trafic et réduire le trafic pour les attaques par abonnement.
Prioriser DDoS.
Assurez-vous que les ressources réseau limitées dont vous disposez sont priorisées - faites de cet exercice un exercice financier car il aide à vous concentrer. Sacrifiez le trafic de faible valeur pour maintenir les applications et les services de grande valeur en vie. Vous souvenez-vous du plan de réponse DDoS mentionné?
C'est quelque chose qui doit être en lui, donc la décision ne sera pas prise spontanément et sous pression de temps en temps. Il est inutile d'autoriser le même accès à des applications de haute qualité et de mettre en liste blanche vos partenaires de confiance et vos utilisateurs distants
Protection DDoS multi-vecteur.
Les attaques multi-vecteurs, par exemple lorsqu'une attaque DDoS est utilisée pour masquer les tentatives d'obtention de données, ont du mal à se protéger de telles attaques. Il est trop facile de dire que la confidentialité est une priorité, mais les écrans de fumée DDoS restent une attaque très réelle contre votre entreprise.
La motivation derrière DDoS n'est pas pertinente, ils doivent tous faire face à une protection DDoS en couches. Cela devrait inclure l'utilisation d'un CDN pour gérer les attaques de masse, les pare-feu pour les applications Web et les périphériques de passerelle qui gèrent d'autres personnes. Un spécialiste de la protection DDoS peut vous conseiller sur la meilleure combinaison pour vous.
Service de réduction DDoS.
Pour les entreprises particulièrement vulnérables aux attaques DDoS, telles que les grandes entreprises et les organisations, il peut valoir la peine d'investir dans des services de contrôle des dommages, ou du moins d'évaluer les options disponibles.
Peut-être l'un des services les plus emblématiques du genre, Cloudflare fournit une protection DDoS à plusieurs organisations de haut niveau, y compris WikiLeaks, et s'emploie à bloquer de nombreuses attaques de haut niveau. Le botnet WireX et l'attaque Spamhaus 2013 en sont les meilleurs exemples.
Il existe de nombreuses alternatives aux services de protection DDoS, et de nombreuses sociétés d'optimisation des réseaux et des applications offrent également une protection contre les attaques DDoS. Par exemple, le botnet WireX a été téléchargé en raison de collaborations entre plusieurs entreprises, dont Cloudflare, mais aussi RiskIQ, Flashpoint, Team Cymru et Google.
Parmi les autres entreprises du camp, citons Akami, NETSCOUT Arbor, F5 Networks, Imperva et Verisign. Ceci, ainsi que de nombreuses autres options qui peuvent ne pas avoir les profils de groupe mentionnés ci-dessus, incluent Neustar, DOSarrest et ThousandEyes.
Certains de ces fournisseurs offrent également ce que l'on appelle une protection d'urgence, qui peut être achetée lorsqu'une attaque DDoS est en cours pour protéger l'entreprise et ses services des pires éléments de vague. D'autres, cependant, exigent des contrats à long terme pour orchestrer de telles attaques.
Les entreprises ou organisations utilisant d'autres produits de cette société peuvent également essayer d'ajouter une protection DDoS au package global. Pour ceux qui utilisent une société d'optimisation de réseau autre que celles répertoriées, il vaut la peine de rechercher les options de protection DDoS disponibles et leur coût. Les FAI peuvent également offrir une forme de réduction DDoS, en particulier sous la forme d'une protection d'urgence. Cependant, celles-ci peuvent être ou ne pas être aussi complètes que certaines des options proposées par les cabinets spécialisés.