L'intérêt de l'anti-DDoS et son bon usage
En hausse continue depuis les années 2010, et amplifiées par la crise sanitaire, les attaques DDoS impactent désormais l’ensemble des entreprises. Avec l’évolution vers le cloud, la surface d’attaque s’étend également hors des murs de l’entreprise. Aujourd’hui cependant, il existe des parades efficaces et nécessaires.
Network & Security - L'intérêt de l'anti-DDoS et son bon usage
Comment se caractérise une attaque DDoS ?
Attaque courante, simple et peu coûteuse à mettre en place, le DDoS consiste à rendre instable voire indisponible un service. Pour cela, les pirates utilisent un ensemble de machines (généralement infectées préalablement) pour envoyer un nombre considérable de requêtes à une cible, la saturer, et ainsi la rendre hors d’usage :
Il existe 3 types d’attaques DDoS : les plus communes sont les attaques réseau dites "volumétriques" (niveau 3 et 4 OSI), mais les attaques “applicatives” (niveau 7), avec tout particulièrement des attaques HTTP (flood HTTP), sont de plus en plus fréquentes, notamment parce qu’elles sont difficiles à détecter et qu’elles sont plus fortes pour une bande passante identique à une attaque volumétrique. Enfin, les attaques dites “protocolaires” utilisent des failles de protocoles pour épuiser les ressources d’équipements réseaux, par exemple via un SYN flood, qui exploite la négociation TCP.
Les cibles peuvent être tout service ou équipement connecté à Internet : serveurs Web, serveurs VPN, pare-feu, équilibreurs de charge, bases de données, routeurs…
Toute entreprise ou particulier ayant une ou plusieurs ressources connectée(s) à Internet peut alors être ciblé par une telle attaque. Evidemment, les objectifs d’une attaque DDoS sont d’impacter l’image (site web indisponible) et la productivité (ressources inaccessibles) mais portent aussi, et c’est généralement le cas des plus grosses attaques, sur le challenge technique (comme lors de l’attaque des résolveurs DNS des principaux FAI français en septembre 2020).
Quels en sont les risques ?
Une attaque DDoS étant très simple à mettre en place, peu coûteuse et avec une très grande surface d’attaque, elles sont très courantes : En 2020, 50% des attaques entraînant un défaut (compromission de données, indisponibilités…) étaient des attaques DDoS (Verizon, DBIR 2021). En 2018, 88% des grandes entreprises françaises affirmaient en être victimes (Netscout).
L’impact pouvant cibler toute ressource exposée sur Internet, même de façon limitée, fait peser un risque important pour toute entreprise, et notamment celles portées par Internet ou fortement numérisées. En effet, aujourd’hui, les attaques ciblent de plus en plus les services cloud, au fur et à mesure que les entreprises basculent vers cet environnement encore parfois peu maîtrisé.
La simplicité de mise en place versus la surface d’attaque (toute ressource exposée sur Internet) et les conséquences d’une indisponibilité, laissent planer un fort risque sur l’entreprise, aussi petite ou grande soit-elle. C’est pour cela qu’il faut mettre en place une défense anti-DDoS efficace.
Bonnes pratiques et bénéfices
L’intérêt de se protéger des attaques DDoS est indéniable. Mais face à une attaque simple, peu coûteuse et efficace, la protection n’est pas si facile.
La première des étapes nécessaires à la détection d’une attaque est la mise en place d’une architecture de monitoring complète, efficace et suffisamment fine pour détecter les signaux faibles d’une telle attaque.
L’équipement roi de la protection réseau, le pare-feu, reste une parade qui peut s’avérer efficace. En effet, un pare-feu peut absorber du trafic malveillant, s’il reste contenu et est identifiable (adresses IP, ports, protocole…). Un répartiteur de charge peut faire un travail similaire, en limitant par exemple le nombre de requêtes d’une même source à destination d’un serveur.
Ces techniques sont cependant vite limitées. Si l’attaque est forte, le déni de service se produira sur ces équipements réseaux et non plus sur le serveur cible, tout en entraînant les mêmes conséquences.
Pour prévenir le plus efficacement ces attaques, il est alors nécessaire d’user d’équipements spécifiques, capables d’absorber de grandes charges et d’identifier des attaques complexes. En effet, de tels équipements sont généralement capables :
de filtrer selon la position géographique des sources ;
de filtrer selon le contenu des paquets ;
de limiter et mitiger le nombre de requêtes par intervalle de temps et par ressource.
Ces équipements ont des limites, notamment en cas d’activités spécifiques, des coûts élevés et une certaine complexité de configuration et d’exploitation.
Avec le développement du cloud, il est courant désormais d’externaliser ces infrastructures, aussi bien au niveau de l’hébergement des ressources via les acteurs cloud qu’au niveau des infrastructures de transit, au niveau de l’opérateur. Les services fournis couramment consistent en du black-holing (architecture de délestage où le trafic est supprimé) ou du scrubbing (outil de traitement du trafic, pour n’en extraire que le trafic légitime) avec une très grande capacité de traitement (plusieurs centaines de Gb/s) grâce à la mutualisation des infrastructures.
Il est intéressant également de mentionner que l’usage d’un CDN (Content Delivery Network) peut permettre une meilleure résistance aux attaques DDoS grâce à la forte répartition et capacité des serveurs CDN.
Enfin, il conviendra de mettre en place des procédures en cas d’attaque pour gérer la crise, avec la mise en œuvre d’un plan de continuité de l’activité, ou à défaut, d’un plan de reprise de l’activité. Ces plans devront intégrer des procédures de déclaration aux autorités compétentes, de communication interne (bonnes pratiques, actions à mener, informations sur l’état de l’attaque), et bien sûr de communication externe (clients, fournisseurs, médias…)
Il convient alors d’analyser et maîtriser son activité et ses implications pour choisir la bonne stratégie de défense face à la multitude de solutions existantes. Il faudra par ailleurs être vigilant sur les capacités à déployer et maintenir une telle infrastructure.
Navigacom peut vous accompagner en apportant l’expertise nécessaire pour protéger votre entreprise des attaques DDoS.