Sécurité de l'infrastructure contre les attaques DDoS¶
Dans cet article
Les ressources web modernes et les services Internet sont vulnérables aux attaques par déni de service distribué (DDoS), qui peuvent entraîner la défaillance de systèmes critiques, paralysant ainsi des entreprises et organisations entières. Par conséquent, assurer une protection fiable contre les attaques DDoS est une priorité absolue pour maintenir le fonctionnement ininterrompu des services en ligne. HOSTKEY propose deux solutions complètes contre les attaques DDoS de l'entreprise DDoS-Guard : la version de base gratuite et la version avancée payante. Chaque solution possède ses propres caractéristiques d'activation, son niveau de protection et les fonctionnalités offertes.
Attention
La protection DDoS avancée est disponible uniquement pour les serveurs dédiés.
Protection DDoS de base¶
Le système de défense DDoS complet est une solution robuste contre les attaques DDoS, exploitant les routes annoncées via BGP et le filtrage du trafic. Tous les réseaux protégés sont annoncés à tous les fournisseurs, y compris DDoS-Guard, garantissant une disponibilité optimale du trafic entrant via le chemin AS-PATH BGP standard. Les fournisseurs externes connaissent plusieurs chemins AS-PATH vers ces réseaux et stockent les informations de routage dans la base de données de routage (RIB) de leurs routeurs.
Pour surveiller le trafic entrant, une analyse Sflow est configurée sur tous les points d'accès. Lorsque la valeur seuil pour une adresse IP spécifique (le port du serveur plus 50 % de la capacité de bande passante) est dépassée, un déclencheur est activé. Par la suite, le sous-réseau cesse d'être annoncé à tous les points d'accès sauf à DDoS-Guard. Les fournisseurs nettoient les informations RIB des autres chemins AS-PATH, ne laissant qu'un seul itinéraire vers le sous-réseau attaqué via DDoS-Guard. DDoS-Guard filtre le trafic, permettant uniquement aux flux assainis d'atteindre le serveur.
Après deux heures, le sous-réseau est réannoncé à tous les points d'accès. Si l'attaque persiste, le mécanisme s'activera à nouveau. Une fonction de sécurité permet de protéger l'infrastructure même si une attaque est si puissante ou complexe qu'elle pénètre la défense de DDoS-Guard. Dans ce cas, lors d'une deuxième activation du déclencheur 10 minutes après la première, lorsque le sous-réseau est déjà sous protection, le mécanisme de blackhole DDoS est activé. Il envoie une route /32 à tous les fournisseurs, bloquant le trafic vers une adresse IP spécifique. Le déblocage automatique se produit deux heures après l'activation du blackhole.
Défense DDoS renforcée¶
La version gratuite de la défense DDoS présente plusieurs lacunes dans son implémentation précédente. Lors du traitement des scénarios de protection, une légère dégradation du service se produit pendant plusieurs minutes en raison des pertes lors du basculement vers DDoS-Guard. Bien que les modifications de la base de données d'informations de routage (RIB) permettent généralement une transition fluide vers une route alternative, la dégradation persiste.
De plus, seules des valeurs seuil grossières sont utilisées, ce qui signifie que seules les attaques simples et efficaces peuvent déclencher la protection. Cependant, ce mécanisme ne protège pas contre les attaques ciblant les vulnérabilités des protocoles, telles que les attaques SYN flood ou UDP-flood à petite échelle, qui peuvent ne pas dépasser les valeurs seuil et ne pas ainsi basculer sous protection. Bien que ces attaques soient généralement non critiques pour la plupart des services, certains sites web peuvent subir une dégradation significative des performances.
Pour résoudre ce problème, une solution de défense permanente est offerte pour les services critiques. Plusieurs sous-réseaux désignés ont été alloués spécifiquement à ces fins. Ces sous-réseaux sont annoncés uniquement via DDoS-Guard et sont constamment nettoyés du trafic malveillant.
Étant donné que le trafic de données sur ces sous-réseaux est coûteux, ce service est fourni sur une base payante. Ainsi, la version renforcée de la défense DDoS permet de protéger les services critiques contre divers types d'attaques DDoS, y compris celles ciblant les vulnérabilités des protocoles et les attaques à petite échelle qui peuvent ne pas dépasser les valeurs seuil en mode de protection standard.
Différences entre les services¶
| Version de base | Version avancée | |
|---|---|---|
| Conditions d'activation | Uniquement lors du dépassement de valeurs seuil spécifiques de trafic | Protection continue indépendamment de l'intensité du trafic |
| Durée sous protection | 2 à 4 heures | Permanente |
| Fonctionnalités uniques | Déclenché uniquement par des violations grossières des seuils, par exemple des attaques DDoS puissantes | Protège contre toute attaque d'intensité, y compris les petites attaques sur les vulnérabilités des protocoles (20 Mbps, SYN flood, UDP-flood) |
| Dégradation du service | Brève dégradation du service pendant plusieurs minutes | Aucune |
| Annonce réseau | À tous les fournisseurs, y compris DDoS-Guard | Réseaux protégés désignés annoncés uniquement via DDoS-Guard |
| Capacité maximale de réflexion DDoS | - | 650 Gbps |
| Niveau de protection | L3/L4 | L3/L4 |