Qu’est-ce que l’atténuation DDoS ?

Une atténuation des attaques DDoS correctement mise en œuvre permet de maintenir un site en ligne pendant une attaque. Découvrez le processus d’atténuation DDoS et les caractéristiques importantes à rechercher dans ce service.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Explorer les stratégies d’atténuation des attaques DDoS
  • Connaître les différents types d’attaques DDoS
  • Mettre en évidence les attaques fréquentes

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel par Cloudflare des informations les plus populaires sur Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu’est-ce que l’atténuation DDoS ?

L’atténuation DDoS fait référence au processus consistant à protéger de manière efficace un serveur ou un réseau ciblé par une attaque par déni de service distribué (DDoS). En utilisant un équipement réseau spécifique ou un service de protection basé sur le cloud, une victime ciblée peut atténuer la menace entrante.

Étapes de l’atténuation DDoS

L’atténuation d’une attaque DDoS à l’aide d’un fournisseur basé sur le cloud se décompose en 4 étapes :

  1. Détection - pour arrêter une attaque distribuée, un site web doit être capable de distinguer une attaque d’un volume élevé de trafic normal. Si un site Web est submergé de nouveaux visiteurs légitimes en raison du lancement d’un produit ou d’une annonce, il est indispensable qu’il évite de les ralentir ou les empêche de visualiser le contenu du site web. La réputation IP, les modèles d’attaques fréquents et les données antérieures permettent d’effectuer une bonne détection.
  2. Réponse - durant cette étape, le réseau de protection DDoS répond à une menace entrante identifiée en éliminant intelligemment le trafic de bots malveillants et en absorbant le reste du trafic. En utilisant les règles de page WAF pour les attaques de la couche application (L7), ou un autre processus de filtrage pour traiter les attaques de niveau inférieur (L3/L4) telles que le memcached ou l’amplification NTP, un réseau est capable d’atténuer la tentative de perturbation.
  3. Routage - En routant intelligemment le trafic, une solution d’atténuation DDoS efficace divisera le trafic restant en fragments maîtrisables pour empêcher le déni de service.
  4. Adaptation - Un bon réseau analyse le trafic à la recherche de modèles tels que la répétition de blocs IP incriminés, d’attaques particulières en provenance de certains pays ou de protocoles particuliers mal utilisés. En s’adaptant aux modèles d’attaque, un service de protection peut se renforcer contre les attaques futures.
Victime d'une attaque ?
Une protection exhaustive contre les cyberattaques

Choisir un service d’atténuation DDoS

Les solutions traditionnelles d’atténuation des attaques DDoS nécessitaient l’achat d’équipement installé sur site pour filtrer le trafic entrant. Cette approche implique l’achat et l’entretien d’équipements coûteux, et nécessite également un réseau qui soit capable d’absorber une attaque. Si une attaque DDoS est suffisamment volumineuse, elle peut éliminer l’infrastructure réseau en amont et empêcher toute solution sur site de fonctionner efficacement. Avant de souscrire à un service d’atténuation des attaques DDoS basé sur le cloud, il est important d’évaluer certaines caractéristiques.

  1. Évolutivité - une solution efficace doit pouvoir s’adapter aux besoins d’une entreprise en pleine expansion et répondre à des attaques DDoS toujours plus volumineuses. Certaines attaques ont dépassé 2 terabits par second (Tbps/s), et rien n’indique que la tendance de la taille du trafic d’attaque soit à la baisse. Le réseau de Cloudflare est capable de gérer des attaques DDoS considérablement plus importantes que celles qui se sont produites jusqu’à présent.
  2. Flexibilité - la possibilité de créer des règles et des modèles ad hoc permet à une propriété web de s’adapter en temps réel aux menaces entrantes. La possibilité de mettre en place des Page Rules et d’appliquer ces modifications sur l’ensemble du réseau est une fonctionnalité essentielle pour maintenir un site en ligne pendant une attaque.
  3. Fiabilité - à la manière d’une ceinture de sécurité, la protection DDoS est nécessaire uniquement quand vous en avez besoin, mais si c’est le cas un jour, mieux vaut espérer qu’elle soit opérationnelle. La fiabilité d’une solution DDoS est indispensable à toute stratégie de protection. Assurez-vous que le service dispose de taux de disponibilité élevés et d’ingénieurs en fiabilité de site opérationnels 24 heures sur 24 pour maintenir le réseau en ligne et identifier les nouvelles menaces. La redondance, le basculement et un réseau étendu de datacenters doivent être au cœur de la stratégie de la plateforme.
  4. Taille du réseau - les attaques DDoS ont des schémas qui se manifestent sur Internet, et les protocoles et vecteurs d’attaque particuliers évoluent avec le temps. Disposer d’un vaste réseau avec une grande capacité de transfert de données permet au fournisseur d’atténuation des attaques DDoS d’analyser et de répondre rapidement et efficacement aux attaques, ce qui permet souvent de les arrêter avant qu’elles ne se produisent. Le réseau de Cloudflare traite des requêtes Internet des millions de sites Web et offre ainsi un avantage sur l’analyse des données du trafic d’attaque partout dans le monde.
  5. FAQ

    Quel est l’objectif principal de l’atténuation DDoS ?

    L’atténuation DDoS protège un réseau ou un serveur d’une attaque par déni de service distribué. L’objectif est de maintenir un site web ou un service en ligne en supprimant le trafic d’attaque et en absorbant le reste du trafic.

    Comment un service de protection contre les attaques DDoS fait-il la différence entre une attaque et un visiteur réel ?

    Les solutions d’atténuation des attaques DDoS s’appuient sur plusieurs facteurs pour identifier le trafic légitime, notamment les schémas d’attaque courants, la réputation de l’adresse IP et les données historiques. Cela permet de garantir qu’un site qui reçoit un afflux de visiteurs réels n’est pas accidentellement bloqué ni jugulé.

    Quelles sont les principales étapes d’une réponse à une menace d’attaque DDoS ?

    Lorsqu'une menace est identifiée, le réseau de protection élimine le trafic lié aux bots malveillants tout en absorbant le reste du trafic. Une solution efficace doit également acheminer le trafic vers des segments gérables, afin d’éviter le déni de service en cas de volume de trafic anormal.

    Pourquoi la taille du réseau se révèle-t-elle importante lors du choix d’un fournisseur de services d’atténuation ?

    Un réseau plus vaste permet aux fournisseurs d’analyser les données de millions de sites web à travers le monde afin d’identifier l’évolution des protocoles et des vecteurs d’attaque. En disposant d’une capacité de transfert de données étendu, les fournisseurs peuvent réagir et arrêter les attaques plus efficacement, parfois avant même qu’elles ne soient lancées.

    Comment les services cloud gèrent-ils les attaques DDoS volumétriques de grande ampleur ?

    Les solutions cloud évolutives pour l’atténuation des attaques DDoS sont conçues pour faire face aux attaques de grande ampleur, pouvant dépasser les 2 Tb/s. Contrairement aux équipements physiques sur site, qui peuvent être submergés en cas d’attaques de grande envergure tirant parti de l’infrastructure en amont, les réseaux basés sur le cloud sont suffisamment vastes pour absorber ces volumes de trafic massifs. L’atténuation des attaques DDoS dans le cloud évite également la latence liée à l’utilisation de centres de nettoyage : des datacenters distants par lesquels doit passer tout le trafic réseau pour que le trafic malveillant puisse être nettoyé.

    Quel rôle l’adaptation joue-t-elle dans la protection contre les attaques DDoS à long terme ?

    Un réseau d’atténuation des attaques DDoS de qualité supérieure analyse continuellement le trafic à la recherche de modèles d’attaque, tels que des protocoles spécifiques mal utilisés ou des blocs d’adresse IP nocifs récidivistes. En s’adaptant à ces modèles, le service peut renforcer ses défenses contre les menaces futures.

    Quelles fonctionnalités garantissent la fiabilité d’un service d’atténuation des attaques DDoS ?

    La fiabilité est garantie par une combinaison de taux de disponibilité élevés, de redondance et d’un réseau mondial de datacenters. En outre, il est essentiel pour une stratégie de protection performante que des ingénieurs en fiabilité soient disponibles pour les sites 24 heures sur 24 afin d’identifier les nouvelles menaces.