Qu’est-ce que l’atténuation DDoS ?

Une atténuation DDoS correctement mise en œuvre permet de maintenir un site en ligne pendant une attaque. Découvrez le processus d’atténuation DDoS et les caractéristiques importantes à rechercher dans ce service.

Share facebook icon linkedin icon twitter icon email icon

Atténuation DDoS

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Explorer les stratégies d’atténuation des attaques DDoS
  • Connaître les différents types d’attaques DDoS
  • Mettre en évidence les attaques fréquentes

Qu’est-ce que l’atténuation DDoS ?

L'atténuation DDoS se réfère au processus de protection d'un serveur cible ou d'un réseau contre une attaque par déni de service (DDoS). En utilisant un équipement réseau spécialement conçu ou un service de protection basé sur le cloud, une victime ciblée est en mesure d'atténuer la menace entrante.

DDoS Mitigation Stages

L’atténuation d’une attaque DDoS à l’aide d’un fournisseur basé sur le cloud se décompose en 4 étapes :

  1. Détection - pour arrêter une attaque distribuée, un site web doit pouvoir distinguer une attaque d'un volume élevé de trafic normal. Si le lancement d'un produit ou toute autre annonce a pour effet de submerger un site web de nouveaux visiteurs légitimes, il est hors de question que le site les restreigne ou les empêche de visualiser le contenu du site web. La réputation des adresses IP, les schémas d'attaque courants et les données précédentes contribuent à procéder à une détection appropriée.
  2. Réponse - dans cette étape, le réseau de protection DDoS répond à une menace identifiée entrante en supprimant intelligemment le trafic de bots malveillants et en absorbant le reste du trafic. En utilisant les page rules WAF pour les attaques de la couche application (L7), ou un autre processus de filtrage pour gérer les attaques de niveau inférieur (L3/L4) telles que memcached ou par amplification NTP, un réseau est en mesure d'atténuer la tentative de perturbation.
  3. Routage - En routant intelligemment le trafic, une solution d’atténuation DDoS efficace divisera le trafic restant en fragments maîtrisables pour empêcher le déni de service.
  4. Adaptation - Un bon réseau analyse le trafic à la recherche de modèles tels que la répétition de blocs IP incriminés, d'attaques particulières provenant de certains pays ou de protocoles particuliers mal utilisés. En s'adaptant aux modèles d'attaque, un service de protection peut se durcir contre de futures attaques.

Choisir un service d’atténuation DDoS

Les solutions traditionnelles d'atténuation DDoS impliquaient l'achat d'équipements qui demeuraient sur site et filtraient le trafic entrant. Cette approche demandait impliquait d'acher et d'entretenir des équipements coûteux, et de disposer d'un réseau capable d'absorber une attaque. Si une attaque DDoS est suffisamment importante, elle peut éliminer l'infrastructure réseau en amont, en empêchant toute solution sur site d'être efficace. Lors de l'achat d'un service d'atténuation DDoS basé sur le cloud, certaines caractéristiques doivent être évaluées.

  1. Évolutivité - Une solution efficace doit être capable de s'adapter aux besoins d'une entreprise en pleine croissance et de répondre à la taille toujours plus importante des attaques DDoS. Des attaques supérieures à 1 To par seconde (TBP/S) se sont produites et rien n'indique que la tendance de la taille des trafics d'attaque soit à la baisse. Le réseau de Cloudflare est capable de gérer des attaques DDoS 10 fois plus importantes que la plus grande attaque connue à ce jour.
  2. Flexibilité - La possibilité de créer des stratégies et des modèles ad hoc permet à une propriété web de s'adapter aux menaces entrantes en temps réel. La possibilité d'implémenter des Pages Rules et de renseigner ces modifications sur l'ensemble du réseau est une fonctionnalité essentielle pour maintenir un site en ligne pendant une attaque.
  3. Fiabilité - Tout comme une ceinture de sécurité, la protection DDoS n'est utile que lorsque vous en avez besoin, mais le moment venu, il vaut mieux être fonctionnel. La fiabilité d'une solution DDoS est essentielle au succès de toute stratégie de protection. Gagnez la tranquillité d'esprit en sachant que le service a des taux de disponibilité élevés et que des ingénieurs de fiabilité de site travaillent 24 heures par jour pour maintenir le réseau en ligne et identifier les nouvelles menaces. La redondance, le failover et un vaste réseau de datacenters devraient être au cœur de la stratégie de la plateforme.
  4. Taille du réseau - Les attaques DDoS ont des modèles qui se produisent sur Internet à mesure que des protocoles et des vecteurs d'attaque particuliers changent avec le temps. Le fait d'avoir un grand réseau avec un transfert de données étendu permet à un fournisseur d'atténuation des DDoS d'analyser et de répondre aux attaques rapidement et efficacement, les arrêtant souvent avant qu'elles ne se produisent. Le réseau de Cloudflare exécute des requêtes Internet pour environ 1 0% des 1 000 Fortune et donne un avantage en analysant des données provenant du trafic d'attaque dans le monde entier.