Qu’est-ce que l’atténuation DDoS ?

Une atténuation DDoS correctement mise en œuvre permet de maintenir un site en ligne pendant une attaque. Découvrez le processus d’atténuation DDoS et les caractéristiques importantes à rechercher dans ce service.

Share facebook icon linkedin icon twitter icon email icon

Atténuation DDoS

Objectifs d'apprentissage

Après avoir lu cet article, vous pourrez :

  • Découvrir les stratégies d’atténuation des attaques DDoS
  • Découvrir les différents types d’attaques DDoS
  • Mettre en évidence les attaques fréquentes

Qu’est-ce que l’atténuation DDoS ?

L’atténuation DDoS se réfère à la protection réussie d’un serveur ou réseau ciblé par une attaque par déni de service distribuée (DDoS). En utilisant un équipement réseau spécifique ou un service de protection basé sur le cloud, une victime ciblée peut atténuer la menace entrante.

Étapes d’atténuation DDoS

L’atténuation d’une attaque DDoS à l’aide d’un fournisseur basé sur le cloud se décompose en 4 étapes :

  1. Détection - pour arrêter une attaque distribuée, un site Web doit être capable de distinguer une attaque d’un volume élevé de trafic légitime. Si un site Web est submergé de nouveaux visiteurs légitimes en raison d’un lancement produit ou d’une annonce, il doit à tout prix éviter de les ralentir ou de leur empêcher de voir le contenu du site Web. La réputation IP, les modèles d’attaques fréquents et les données antérieures permettent d’effectuer une bonne détection.
  2. Réponse - durant cette étape, le réseau de protection DDoS répond à une menace entrante identifiée en éliminant intelligemment le trafic de bots malveillants et en absorbant le reste du trafic. En utilisant des Page Rules WAF pour les attaques visant la couche d’application (C7), ou un autre processus de filtrage pour gérer les attaques aux niveaux plus bas (C3/C4) comme les attaques Memcached ou d’amplification NTP, un réseau peut atténuer la tentative d’interruption.
  3. Routage - En routant intelligemment le trafic, une solution d’atténuation DDoS efficace divisera le trafic restant en fragments maîtrisables pour empêcher le déni de service.
  4. Adaptation - Un bon réseau analyse le trafic à la recherche de modèles tels que la répétition de blocs IP suspects, d'attaques particulières en provenance de certains pays ou de protocoles particuliers mal employés. En s’adaptant aux modèles d’attaque, un service de protection peut se renforcer contre les attaques futures.

Choisir un service d’atténuation DDoS

Les solutions d’atténuation DDoS traditionnelles nécessitaient l’achat d’équipement installé sur site pour filtrer le trafic entrant. Cette approche implique l’achat et l’entretien d’équipements coûteux, et nécessite également un réseau qui soit capable d’absorber une attaque. Si une attaque DDoS est suffisamment volumineuse, elle peut éliminer l’infrastructure réseau en amont et empêcher toute solution sur site de fonctionner efficacement. Avant de souscrire à un service d’atténuation DDoS basé sur le cloud, il est important d’évaluer certaines caractéristiques.

  1. Évolutivité - une solution efficace doit pouvoir s’adapter aux besoins d’une entreprise en pleine expansion et répondre à des attaques DDoS toujours plus volumineuses. Certaines attaques ont dépassé 1 To par seconde (To/s), et rien n’indique que la tendance de la taille du trafic d’attaque soit à la baisse. Le réseau de Cloudflare est capable de gérer des attaques DDoS 10 fois plus importantes.
  2. Flexibilité - la possibilité de créer des règles et des modèles spécifiques permet à une propriété Web de s’adapter en temps réel aux menaces entrantes. La possibilité de mettre en place des Page Rules et d’appliquer ces modifications sur l’ensemble du réseau est une fonctionnalité essentielle pour maintenir un site en ligne pendant une attaque.
  3. Fiabilité - à l’image d’une ceinture de sécurité, la protection DDoS est nécessaire uniquement quand vous en avez besoin, mais si c’est le cas un jour, mieux vaut espérer qu’elle soit opérationnelle. La fiabilité d’une solution DDoS est indispensable à toute stratégie de protection. Assurez-vous que le service dispose de taux de disponibilité élevés et d’ingénieurs en fiabilité de site travaillant 24 heures sur 24 pour maintenir le réseau en ligne et identifier les nouvelles menaces. La redondance, le basculement et un réseau étendu de datacenters doivent être au cœur de la stratégie de la plate-forme.
  4. Taille du réseau - les attaques DDoS ont des modèles qui se manifestent à travers Internet, et les protocoles et vecteurs d'attaque particuliers évoluent avec le temps. Disposer d’un vaste réseau avec une grande capacité de transfert de données permet au fournisseur d’atténuation DDoS d’analyser et de répondre rapidement et efficacement aux attaques, ce qui permet souvent de les arrêter avant qu’elles ne se produisent. Le réseau de Cloudflare traite des requêtes Internet pour environ 10 % des entreprises Fortune 1 000 et offre ainsi un avantage sur l’analyse des données du trafic d’attaque partout dans le monde.