Protéger les applications web et les infrastructures de serveurs des attaques DDoS n’est plus un choix pour les organisations ayant une présence en ligne. L’avènement des services DDoS-for-hire a effectivement abaissé la barre pour ceux qui sont capables d’exécuter une attaque, faisant de toutes les entités web une cible potentielle.
Une attaque DDoS réussie a un impact négatif sur la réputation d’une organisation, en plus de nuire aux relations avec les clients existants. Les pertes financières importantes peuvent s’élever jusqu’à 40 000 dollars par heure pour les grandes entreprises. Les petites entités peuvent être confrontées à des dizaines de milliers de dollars de dommages, tandis que les assauts plus longs et non atténués ont le potentiel de mettre fin à l’activité de l’entreprise.
D’une manière générale, il existe plusieurs approches pour arrêter les attaques DDoS. Les solutions les plus courantes reposent sur des méthodes de bricolage (DIY), des appareils d’atténuation sur site et des solutions hors site basées sur le cloud.
Bien que chacune offre ses propres avantages, leur efficacité globale pour arrêter les DDoS repose sur un certain nombre de facteurs. Ceux-ci comprennent l’évolutivité et les capacités de filtrage, le coût et la facilité d’intégration, ainsi que la facilité d’utilisation et la compatibilité avec l’hébergement.
| Do It Yourself | On-Premise | Off-.Prémisse | |
| CAPEX | Aucun | Expensif | Modéré |
| OPEX | Minimal | Expensif | Modéré |
| Méthode de déploiement | Sur demande | Sur demande | Sur demande /toujours sur |
| Temps pour l’atténuation | Significatif | Significatif | Modéré /aucun |
| Scalabilité | Aucune | Limitée | Virtuellement illimitée |
| Filtrage | Limité | Significatif | Significatif |
| Facilité d’utilisation | Complexe | Modérée | Très facile |
| Intégration | Complexe | Modérée | Facile |
| Compatibilité avec les options d’hébergement |
Tout | Propriété et dédié | Tout |
Protection bricolée
La protection bricolée est largement considérée comme une approche faible de l’atténuation des DDoS. En termes pratiques, elle repose sur la définition de seuils de trafic statiques (par exemple, en utilisant mod_evasive) et sur des règles de liste noire d’IP sans discernement. Elle est surtout privilégiée pour des raisons budgétaires et rarement envisagée par les entreprises en ligne.
Un inconvénient majeur des solutions bricolées est qu’elles sont souvent employées de manière réactive. Presque toujours, une configuration est retouchée manuellement après qu’une vague d’attaque initiale ait frappé. Bien qu’une telle solution puisse stopper des assauts futurs similaires, la première vague réussie est généralement suffisante pour provoquer des heures d’indisponibilité et d’autres problèmes.
De plus, les auteurs peuvent facilement modifier leurs méthodes, en attaquant à partir de sources disparates et en utilisant différents vecteurs. Cela maintient votre organisation dans une position défensive, où elle doit déployer de façon répétée des configurations supplémentaires, tout en essayant simultanément de récupérer de multiples événements d’indisponibilité. Cela peut durer plusieurs jours à la fois.
Le vrai problème avec toute approche DIY, cependant, est qu’elle est toujours limitée par la bande passante du réseau, ce qui limite sévèrement l’évolutivité nécessaire pour arrêter les attaques DDoS de la couche réseau.
La plupart des assauts enregistrant plus de 10Gbps et peu d’organisations ayant plus d’une liaison montante en rafale de 10Gbps, la solution DIY est presque toujours vouée à l’échec.
Appareils sur site
L’approche sur site de la protection DDoS utilise des appareils matériels déployés à l’intérieur d’un réseau, placés devant les serveurs protégés.
Ces appareils disposent généralement de capacités avancées de filtrage du trafic armées d’une combinaison de géoblocage, de limitation du débit, de réputation IP et d’identification des signatures.
Les appareils d’atténuation typiques peuvent être utilisés efficacement pour filtrer le trafic entrant malveillant. Cela en fait une option viable pour arrêter les attaques de la couche applicative.
Cependant, plusieurs facteurs font qu’il n’est pas possible de s’appuyer sur les appliances :
- L’évolutivité reste un problème. La capacité du matériel à gérer de grandes quantités de trafic DDoS est plafonnée par la liaison montante d’un réseau, qui est rarement supérieure à 10Gbps (burst).
- Les appliances sur site doivent être déployées manuellement pour arrêter une attaque. Cela a un impact sur le temps de réponse et d’atténuation, ce qui fait que les organisations subissent souvent des temps d’arrêt avant qu’un périmètre de sécurité puisse être établi.
- Enfin, le coût d’achat, d’installation et de maintenance du matériel est relativement élevé, surtout par rapport à une option moins coûteuse et plus efficace basée sur le cloud. Cela fait des appliances d’atténuation un achat peu pratique, à moins qu’une organisation soit obligée d’utiliser des solutions sur site (par exemple, par des réglementations spécifiques à l’industrie).
Dans ce dernier scénario, le matériel fait généralement partie d’un déploiement hybride, où il est complété par des solutions basées sur le cloud capables de se défendre contre les attaques de la couche réseau.
Solutions hors site, basées sur le cloud
Les solutions hors site sont soit fournies par les FAI, soit basées sur le cloud. Les FAI n’offrent généralement qu’une protection de la couche réseau, tandis que les solutions basées sur le cloud fournissent des capacités de filtrage supplémentaires nécessaires pour arrêter les attaques de la couche application. Les deux offrent une évolutivité pratiquement illimitée, car elles sont déployées en dehors d’un réseau et ne sont pas limitées par les limitations de la liaison montante identifiées précédemment.
Généralement, les solutions d’atténuation hors site sont des services gérés. Elles ne nécessitent aucun des investissements en personnel de sécurité ou en maintenance requis par les solutions bricolées et le matériel sur site. Elles sont également beaucoup plus rentables que les solutions sur site, tout en offrant une meilleure protection contre les menaces de la couche réseau et de la couche application.
Les solutions hors site sont déployées en tant que service à la demande ou en permanence, la plupart des fournisseurs leaders du marché proposant les deux options.
Option à la demande
Activée par le reroutage BGP, l’option à la demande arrête les attaques de la couche réseau – y compris celles qui ciblent directement le serveur d’origine et d’autres composants de l’infrastructure du cœur de réseau. Celles-ci incluent les inondations SYN ou UDP, qui sont des attaques volumétriques conçues pour obstruer les tuyaux du réseau avec de faux paquets de données.
Option toujours active
L’option toujours active est activée par la redirection DNS. Elle arrête les agressions de la couche application qui tentent d’établir des connexions TCP avec une application dans le but d’épuiser les ressources du serveur. Il s’agit notamment des floods HTTP, des floods DNS et de diverses attaques de type low-and-slow (ex, Slowloris) .
Voyez comment la protection DDoS d’Imperva peut vous aider à faire face aux attaques DDoS.
Imperva DDoS protection
Imperva atténue une inondation HTTP massive : 690 000 000 de requêtes DDoS provenant de 180 000 IP de botnets.
Imperva fournit une protection DDoS facile à utiliser, rentable et complète qui repousse les limites de la technologie d’atténuation basée sur le cloud.
A travers une combinaison de solutions à la demande et toujours actives, un réseau mondial qui offre une évolutivité quasi illimitée et des solutions de filtrage primées pour une atténuation transparente, Imperva protège complètement ses clients contre tout type d’attaque DDoS.
Visitez ici pour en savoir plus sur les services de protection DDoS d’Imperva.