Ne permettez pas à une attaque DDoS de perturber vos activités commerciales et d’entraîner une perte de réputation et financière. Optez pour une protection contre le déni de service basée sur le cloud afin d’éviter d’être la cible de pirates.
N’importe quel individu mal intentionné peut solliciter un service de piratage pour orchestrer une attaque ciblée. Les outils malveillants sont aisément accessibles, simples à utiliser et d’une efficacité redoutable. Les cybercriminels ne s’en prennent pas qu’aux grandes entreprises; ils recherchent des victimes vulnérables de toutes envergures, y compris des blogs personnels, des boutiques de commerce électronique, ainsi que les petites et moyennes entreprises.
Un type d’attaque est particulièrement insidieux et de plus en plus fréquent : l’attaque par déni de service distribué, ou DDoS. Lors d’une attaque DDoS, un ensemble de systèmes compromis et dispersés – serveurs, ordinateurs personnels, appareils de l’Internet des objets, bref, tout ce qui est connecté à Internet – est mis à contribution pour submerger un système ciblé d’un flot de requêtes. Cela provoque une saturation du système attaqué qui se retrouve incapable de fonctionner.
Étant donné que cette inondation provient de sources multiples et éparses, il s’avère ardu d’identifier l’auteur de l’attaque ou d’atténuer ses effets. Les attaques DDoS sont imprévisibles et certaines des plus récentes ont atteint des niveaux de dangerosité ahurissants, oscillant entre 800 et 900 Gbps.
Les agresseurs peuvent recourir à diverses techniques pour mener des attaques DDoS contre votre entreprise en ligne. Voici quelques-unes des méthodes les plus courantes :
- Fragment UDP
- Inondations DNS, NTP, UDP, SYN, SSPD, ACK
- Attaque CharGEN
- Anomalie TCP
Les motivations derrière une attaque peuvent être diverses. Les victimes ne sont jamais sélectionnées au hasard. Un concurrent peut chercher à vous évincer de votre secteur, ou quelqu’un peut être en désaccord avec le contenu que vous publiez. N’importe quel prétexte peut suffire à justifier un investissement de quelques centaines d’euros pour attaquer votre site.
Il est possible de suivre les cyberattaques en temps réel.
Comment se prémunir des attaques DDoS ?
Si vous êtes à la tête d’une petite entreprise dotée d’un site Web modeste, ou si vous gérez un blog ou un site personnel, il est crucial de prendre des mesures pour éviter d’être la cible d’une attaque DDoS.
Une option consiste à faire appel à un fournisseur de services de sécurité gérés (MSSP) pour prendre en charge tous les types de cybermenaces possibles. Cela inclut la détection d’intrusion, l’analyse des vulnérabilités, les services antivirus, ainsi que la fourniture de pare-feu et de VPN, entre autres services. Un MSSP fiable vous apportera la tranquillité d’esprit, mais cela a un coût. Si vous avez déjà mis en place des mesures de sécurité de base et que vous souhaitez seulement protéger votre site contre les attaques DDoS, vous pouvez louer une protection DDoS en tant que service (DPaaS) auprès de votre fournisseur d’accès à Internet ou de votre hébergeur.
Si vous privilégiez une approche plus autonome, la première étape est la mise en place d’un système de détection et d’atténuation des attaques DDoS. Pour détecter une telle attaque, il est nécessaire de surveiller le trafic entrant sur votre site Web et de rechercher tout schéma susceptible d’indiquer une attaque en cours. Une augmentation soudaine du trafic peut être un signe, mais il est impératif de déterminer s’il s’agit d’un pic de trafic légitime ou d’un symptôme d’une attaque DDoS, ce qui n’est pas toujours chose aisée.
Une fois qu’une véritable attaque DDoS est détectée, vous pouvez identifier les adresses IP envoyant du trafic illégitime et les bloquer grâce à votre fournisseur d’hébergement ou via un dispositif de filtrage de trafic comme un routeur ou un pare-feu. Cela semble simple, n’est-ce pas ?
Cependant, si l’on tient compte du fait qu’une attaque DDoS typique implique des millions de paquets de données par seconde, on peut conclure que l’option de bricolage n’est pas viable, et qu’il est préférable d’opter pour un service de protection DDoS abordable basé sur le cloud.
Comment fonctionnent les services de protection DDoS ?
Une solution anti-DDoS efficace doit prendre en charge les tâches suivantes : détection, déviation, filtrage et analyse.
La détection consiste à identifier les fluctuations de flux de trafic qui pourraient annoncer une attaque DDoS. Une solution anti-DDoS performante doit être en mesure de reconnaître l’attaque le plus tôt possible, tout en évitant les faux positifs.
La déviation consiste à rediriger le trafic, soit pour le rejeter, soit pour le filtrer. Le filtrage vise à éliminer le trafic DDoS, en l’identifiant comme malveillant. Une solution anti-DDoS efficace réalisera cela sans impacter l’expérience de vos utilisateurs légitimes.
Enfin, l’analyse consiste à examiner les journaux de trafic afin de recueillir des informations sur les attaques, dans le but d’identifier l’attaquant et d’améliorer les futures activités de détection.
Lors de la comparaison de solutions anti-DDoS, la capacité du réseau est un facteur déterminant à prendre en compte. Elle est exprimée en Gbps (gigabits par seconde) ou Tbps (térabits par seconde) et indique l’intensité d’attaque que la protection est capable de supporter. Une solution basée sur le cloud offre généralement une capacité réseau de l’ordre du térabit par seconde. C’est bien plus que ce qu’un site Web peut nécessiter.
D’autres indicateurs importants du niveau de service sont les taux de transfert et le délai d’atténuation. Le taux de transfert représente la capacité de la solution à traiter les paquets de données et se mesure en millions de paquets par seconde (Mpps). Les attaques atteignent généralement 300 à 500 Gbit/s, et certaines peuvent aller jusqu’à 1 Tbit/s. La capacité de traitement de la solution anti-DDoS doit être supérieure à cela pour être efficace.
Le délai d’atténuation varie en fonction de la méthode employée par le fournisseur de solutions pour détecter une attaque. Une solution active en permanence avec détection préventive devrait être en mesure d’offrir une atténuation quasi instantanée. Cependant, cet aspect doit être testé sur le terrain dans des conditions réelles.
Évidemment, toutes ces considérations doivent être mises en balance avec le coût. Examinons quelques-unes des meilleures solutions de détection et de protection DDoS basées sur le cloud actuellement disponibles.
Akamaï
Kona DDoS Defender est le nom de la solution proposée par Akamaï pour contrer la menace des attaques DDoS. Elle combine le service continu d’un centre d’opérations de sécurité (SOC) avec la plateforme intelligente d’Akamai, qui offre une grande capacité d’adaptation et garantit le fonctionnement continu du site Web, même en cas d’attaque.
La plateforme intelligente d’Akamai est déployée à l’échelle mondiale, ce qui lui confère la capacité de gérer entre 15 % et 30 % du trafic web mondial total. Elle offre l’adaptabilité nécessaire pour faire face aux attaques DDoS les plus massives. Lorsqu’une attaque se produit, Kona DDoS Defender dévie automatiquement les inondations SYN ou UDP et absorbe les inondations HTTP GET et POST au niveau du périmètre du réseau, les empêchant ainsi d’atteindre les applications principales.
Laboratoires G-Core
Le service global de protection DDoS de G-Core Labs est conçu pour protéger votre site, votre serveur et vos applications contre les attaques DDoS sophistiquées. Il assure une protection à trois niveaux : la couche réseau (L3), la couche transport (L4) et la couche application (L7).
La technologie unique de filtrage intelligent du trafic en temps réel de G-Core Labs permet d’analyser simultanément des facteurs statistiques, de signature, techniques et comportementaux. Cela permet à la solution de détecter avec précision et de couper uniquement les sessions nuisibles au lieu de bloquer des adresses IP.
Vous bénéficierez d’une protection contre les robots en temps réel afin de prévenir les fraudes publicitaires, l’analyse et le vol de données personnelles. Ils vous protégeront également contre les tentatives d’exploitation de vulnérabilités et le piratage manuel de votre site sans recourir à des SDK tiers ou modifier le code de votre application. Cette plateforme cloud dispose de systèmes de filtrage du trafic déployés en Europe, en Amérique du Nord, en Amérique du Sud, en Asie et en Australie. Elle offre un minimum de 160 Gbps de trafic par nœud, avec une bande passante de filtrage effective totale de plus de 1,5 Tbps.
G-Core Labs propose des outils de sécurité tels que l’analyse technique de chaque requête, l’analyse des ressources en temps réel, la reconnaissance des facteurs comportementaux, la vérification des requêtes, etc. Il prend également en charge HTTPS, ne divulgue jamais vos certificats SSL et offre un taux de faux positifs inférieur à 0,01%. La société assure un niveau de service (SLA) de 99,9 %. Vous bénéficierez également d’un équilibrage de charge et d’un support technique 24 h/24 et 7 j/7.
App Trana
App Trana assure une protection instantanée contre les vulnérabilités identifiées et offre une protection continue contre les attaques DDoS et les menaces de sécurité émergentes.
- Protection des infrastructures (couches 3 et 4).
- Protection du site Web (couche 7)
- Protection DDoS entièrement gérée avec surveillance 24 h/24 et 7 j/7 et mises à jour illimitées des règles personnalisées par des experts en sécurité en temps réel, en fonction des alertes et des risques de vulnérabilité constatés sur le site afin de garantir la disponibilité du site Web.
La plateforme Global Threat Intelligence d’AppTrana garantit une protection continue, précise et à jour, avec une défense contre les dernières menaces.
La protection DDoS d’AppTrana est disponible dans les offres AppTrana Advanced et Premium. Vous pouvez commencer avec un plan d’essai pour profiter des services d’analyse d’applications, de pare-feu d’applications web et de CDN. L’intégration se fait en quelques minutes, sans interruption de service pendant la transition.
Link11
Link11 est un fournisseur de sécurité informatique de premier plan, spécialisé dans la protection DDoS pour les sites web et les infrastructures informatiques. Sa solution de protection basée sur le cloud garantit une disponibilité permanente, en utilisant l’intelligence artificielle de manière sophistiquée.
L’entreprise propose deux solutions pour lutter contre les attaques par déni de service distribué (DDoS) : sa protection brevetée à 360 degrés, pour protéger l’infrastructure réseau critique, ou sa défense contre les attaques d’applications Web.
Les attaques sont neutralisées avec un temps d’atténuation nul pour les vecteurs connus, et en moins de 10 secondes pour les vecteurs inconnus. La solution n’offre pas seulement une protection illimitée en termes de durée d’attaque, mais fonctionne également de manière entièrement automatique et continue afin d’éliminer les erreurs humaines.
De plus, Link11 s’appuie sur son propre service international et une hotline 24 h/24 et 7 j/7 pour fournir aux clients une configuration simple et rapide, même en cas d’urgence. Le Link11 Security Operation Center (LSOC) publie régulièrement des rapports relatifs aux nouveaux risques et tendances du paysage des menaces DDoS.
Sucuri
Sucuri propose un service d’atténuation DDoS qui détecte et bloque automatiquement les requêtes et le trafic illégitimes. Le service Sucuri repose sur un réseau cloud capable d’atténuer les attaques contre des applications Web ou de vastes réseaux. En utilisant la technologie d’apprentissage automatique et en corrélant les données de son réseau mondial, Sucuri est en mesure de protéger un site Web contre des menaces de sécurité qui n’ont pas encore été découvertes.
Le service d’atténuation DDoS fait partie d’une plateforme de sécurité de site Web tout-en-un qui inclut la suppression de logiciels malveillants, le nettoyage des piratages, la surveillance des listes noires et un pare-feu, entre autres. Ses trois plans offrent différents niveaux de service, de base à entreprise, avec des prix variant de 199,99 $ par an à 499,99 $ par an.
Netscout
Grâce à son système Arbor Threat Mitigation (TMS) et à son système de protection de la disponibilité (APS), Netscout propose une suite de produits qui fonctionne avec sa solution Arbor Sightline pour éliminer chirurgicalement jusqu’à 140 Tbps de trafic d’attaque DDoS du réseau du client, sans interruption des services du réseau central. Il fonctionne avec les infrastructures IPv4 ou IPv6 et est capable d’arrêter les attaques DDoS via des applications mobiles, protégeant ainsi les performances et la disponibilité des réseaux mobiles.
Arbor APS offre diverses options de déploiement, dont une appliance sur site, une solution virtualisée et un service géré. La solution fournit des capacités d’atténuation proactives pour stopper les menaces connues et émergentes avant qu’elles n’affectent la disponibilité des applications, grâce à son infrastructure Atlas qui surveille un tiers du trafic Internet.
Cloudflare
Cloudflare s’appuie sur l’intelligence de son réseau mondial en apprentissage constant pour sa solution de protection DDoS permanente. Ce réseau, appelé Anycast, couvre plus de 190 villes et permet à la pile de services de sécurité de fonctionner à chaque point de présence. Cette infrastructure permet à Cloudflare d’offrir une approche de sécurité multicouche qui rassemble de nombreuses capacités DDoS (couche 3/4/7, amplification/réflexion DNS, SMURF, ACK, etc.) en un seul service.
Du point de vue de l’utilisateur, la solution DDoS peut être contrôlée via une interface intuitive qui vous permet de sécuriser rapidement les propriétés en ligne en quelques clics. Les offres de prix de Cloudflare comprennent une atténuation illimitée, quelle que soit la taille de l’attaque, sans pénalité pour les pics et sans frais additionnels ou cachés.
StackPath
Les technologies d’atténuation DDoS utilisées par StackPath couvrent toutes les méthodes d’attaque : inondations UDP, SYN et HTTP, et toutes les couches : couches 3/4 (réseau) et couche 7 (application). La capacité totale du réseau, de 65 Tbps, permet au réseau mondial de StackPath d’atténuer même les plus grandes attaques DDoS, minimisant ainsi l’impact sur les services en ligne ciblés.
Le portail client de StackPath fournit des données et des informations en temps réel, ce qui permet à l’utilisateur d’analyser le mode opératoire des attaquants et de créer des politiques à la volée. Les utilisateurs avancés peuvent également ajuster les paramètres de seuil DDoS via un panneau de contrôle, afin d’adapter la protection à des besoins spécifiques.
La protection DDoS fait partie d’un large éventail de services périphériques proposés par StackPath, incluant l’informatique périphérique, la livraison de périphérie et la surveillance de périphérie.
Alibaba
Anti-DDoS Pro d’Alibaba est capable d’atténuer des attaques à fort volume, allant jusqu’à 10 Tbps, et de prendre en charge tous les protocoles TCP/UDP/HTTP/HTTPS.
Vous pouvez utiliser Anti-DDoS pour protéger non seulement les services hébergés sur Alibaba, mais également ceux hébergés sur AWS, Azure, Google Cloud, etc. Si votre application est hébergée en Chine, rares sont les fournisseurs de services cloud (CBSP) capables d’offrir une protection de sécurité. Alibaba est l’un d’eux.
Au-delà de la simple atténuation du risque, la solution Anti-DDoS d’Alibaba permet de suivre la source des attaques. Les frais sont basés sur l’utilisation et vous avez un contrôle total pour personnaliser les stratégies de votre entreprise afin de réduire les coûts.
AWS Shield
Amazon propose un service de protection DDoS nommé AWS Shield, spécialement conçu pour les applications hébergées sur AWS. Ce service fournit une détection permanente et une atténuation automatique en ligne, utilisables sans recours à l’assistance AWS.
Amazon propose AWS Shield selon deux niveaux de service : Standard et Avancé. AWS Shield Standard est disponible pour tous les clients AWS sans frais additionnels. Il protège contre les attaques DDoS les plus courantes, qui surviennent généralement aux couches 3 ou 4 de la pile réseau. La version Avancée offre la détection et l’atténuation des attaques DDoS sophistiquées à grande échelle, ainsi qu’une visualisation en temps réel et AWS WAF, un pare-feu pour les applications Web. AWS Shield Avancé donne également un accès continu à l’AWS DDoS Response Team (DRT) et une protection contre les pics DDoS.
Cloud Armor
Si vous hébergez une application sur Google Cloud, essayez Cloud Armor. La seule limitation est qu’il ne fonctionne qu’avec l’équilibreur de charge HTTP(s) de Google Cloud.
Vous bénéficierez de l’expérience de Google pour la protection de services tels que Gmail, YouTube, Search, etc. Voici quelques-uns des avantages de Cloud Armor :
- Protection contre les infrastructures et les applications
- Création de règles personnalisées
- Contrôles d’accès basés sur l’adresse IP et la géolocalisation
- Journalisation puissante sur Stackdriver
Incapsula
Incapsula offre une protection complète pour atténuer tous les types d’attaques DDoS des couches 3, 4 et 7.
- TCP SYN+ACK, FIN, RÉINITIALISER, ACK, ACK+PSH, Fragment
- UDP
- Slowloris
- Usurpation
- ICMP
- PICG
- HTTP, connexion, inondation DNS
- Force brute
- NXDomain
- Ping de la mort
- Et bien d’autres…
Elle est disponible en mode permanent ou à la demande pour détecter et atténuer toutes les attaques. Le réseau d’Incapsula est constitué de 44 centres de données avec une capacité de plus de 6 Tbps. Si vous êtes attaqué et que vous avez besoin d’une assistance d’urgence pour minimiser le risque en quelques minutes, vous pouvez contacter l’équipe « Attaqué ».
Derniers mots 👨🏫
Si toutes les maisons de votre quartier sont équipées d’alarmes, la vôtre devrait également en avoir une, sinon elle deviendra la cible privilégiée des cambrioleurs. Il en va de même pour votre site web ou votre application web : il ne faut pas qu’il soit l’un des rares sans protection DDoS, sous peine d’être attaqué prochainement. Une solution contre les attaques DDoS est un investissement raisonnable et nécessaire si vous voulez que votre activité en ligne perdure.