Sécurité de l'Infrastructure face aux Attaques DDoS¶
Dans cet article
Les ressources Web modernes et les services Internet sont vulnérables aux attaques par déni de service distribué (DDoS), qui peuvent entraîner des pannes critiques des systèmes, paralysant ainsi toute une entreprise ou organisation. Ainsi, garantir une protection fiable contre les attaques DDoS est une priorité absolue pour maintenir le bon fonctionnement opérationnel ininterrompu des services en ligne. HOSTKEY propose deux solutions complètes contre les attaques DDoS de la part de DDoS-Guard : la version de base gratuite et la version avancée payante. Chaque solution a ses propres caractéristiques d'activation, niveau de protection et capacités fournies.
Protection DDoS de Base¶
Le système de défense complet contre les attaques DDoS est une solution robuste contre ces dernières, utilisant des itinéraires annoncés via BGP et le filtrage du trafic. Tous les réseaux protégés sont annoncés à tous les fournisseurs, y compris DDoS-Guard, garantissant ainsi la disponibilité optimale du trafic entrant via l'itinéraire BGP standard AS-PATH. Les fournisseurs externes connaissent plusieurs AS-PATHs vers ces réseaux et stockent les informations d'itinéraires dans leur base de données RIB (Routing Information Base).
Pour surveiller le trafic entrant, une analyse Sflow est configurée sur tous les points d'accès. Lorsque la valeur seuil pour un certain IP est dépassée (port du serveur plus 50 % de capacité en bande passante), un déclencheur est activé. En conséquence, le sous-réseau cesse d'être annoncé à tous les points d'accès sauf DDoS-Guard. Les fournisseurs nettoient la base RIB des autres AS-PATHs, ne laissant qu'un seul itinéraire vers le sous-réseau attaqué via DDoS-Guard. DDoS-Guard filtre le trafic, permettant seulement aux flux purifiés d'atteindre le serveur.
Deux heures plus tard, le sous-réseau est à nouveau annoncé à tous les points d'accès. Si l'attaque persiste, le mécanisme se réactive. Un mécanisme de sécurité supplémentaire permet de protéger l'infrastructure même si une attaque est si puissante ou complexe qu'elle parvient à pénétrer la défense de DDoS-Guard. Dans ce cas, lorsque le déclencheur se réactive 10 minutes après sa première activation alors que le sous-réseau est déjà protégé, le mécanisme de blackhole DDoS est activé. Il envoie une route /32 à tous les fournisseurs, bloquant ainsi le trafic vers un certain IP spécifique. Le déverrouillage automatique se produit deux heures après l'activation du blackhole.
Défense Avancée contre les Attaques DDoS¶
La version gratuite de la défense DDoS présente plusieurs insuffisances dans sa mise en œuvre précédente. Lors du traitement des scénarios de protection, une dégradation mineure du service se produit sur plusieurs minutes en raison des pertes lors du basculement vers DDoS-Guard. Bien que les modifications à la base de données RIB permettent généralement un passage fluide vers une route alternative, cette dégradation persiste.
De plus, seules des valeurs seuils grossières sont utilisées, ce qui signifie qu'uniquement les attaques simples et efficaces peuvent déclencher la protection. Cependant, ce mécanisme ne protège pas contre les attaques ciblant les vulnérabilités de protocole, telles que l'attaque par inondation SYN à petite échelle ou UDP-flood, qui peuvent ne pas dépasser les valeurs seuils et donc échouer à passer sous protection. Bien que ces attaques soient généralement non critiques pour la plupart des services, certains sites Web peuvent subir une importante dégradation de performance.
Pour résoudre ce problème, une solution définitive est offerte pour les services critiques. Plusieurs sous-réseaux désignés ont été alloués spécifiquement à cet effet. Ces sous-réseaux sont annoncés uniquement via DDoS-Guard et nettoyés de manière constante du trafic malveillant.
Étant donné que le trafic des données sur ces sous-réseaux est coûteux, ce service est fourni sur une base payante. Ainsi, la version avancée de la défense DDoS permet de protéger les services critiques contre divers types d'attaques DDoS, y compris celles ciblant les vulnérabilités de protocole et les attaques à petite échelle qui peuvent ne pas dépasser les valeurs seuils dans le mode de protection standard.
Différences entre les Services¶
| Version de Base | Version Avancée | |
|---|---|---|
| Conditions d'Activation | Seulement lors du dépassement de certaines valeurs seuils de trafic | Protection continue indépendamment de l'intensité du trafic |
| Temps sous Protection | 2-4 heures | Permanente |
| Caractéristiques Uniques | Déclenché uniquement par des violations grossières des seuils, par exemple, attaques DDoS puissantes | Protège contre toutes les intensités d'attaques, y compris petites sur vulnérabilités de protocole (20 Mbps, inondation SYN, UDP-flood) |
| Dégradation du Service | Brève dégradation du service pendant plusieurs minutes | Aucune |
| Annonce du Réseau | À tous les fournisseurs, y compris DDoS-Guard | Les réseaux protégés désignés sont annoncés uniquement via DDoS-Guard |
| Capacité Maximum de Reflet des Attaques DDoS | - | 650 Gbps |
| Niveau de Protection | L3/L4 | L3/L4 |
Une partie du contenu de cette page a été créée ou traduite à l'aide d'IA.