Protection DDOS (DDOS Protection)

Une attaque DDoS consiste à mener une attaque simultanément depuis plusieurs endroits à la fois (depuis plusieurs ordinateurs). Une telle attaque est principalement menée à partir d'ordinateurs dont le contrôle a été pris, à l'aide d'un logiciel spécial
Pour l'article complet sur DDOS Protection ...

Afficher le filtre
Filtres d'hébergement
A2 Themes & Host Me Filter

Le système d'exploitation

Espace disque

Mémoire RAM

Type de disque

Cœurs de processeur

Trier


 

ddos

 

 

Les attaques DDoS (appelées déni de service distribué, en traduction gratuite: un déni de service distribué) sont parmi les attaques de pirates les plus courantes, qui sont dirigées vers des systèmes informatiques ou des services réseau et sont conçues pour occuper toutes les ressources disponibles et gratuites afin de empêcher le fonctionnement de l'ensemble du service sur Internet (par exemple, votre site Web et votre messagerie hébergée).

 

Qu'est-ce qu'une attaque DDoS?

 

Une attaque DDoS consiste à mener une attaque simultanément depuis plusieurs endroits à la fois (depuis plusieurs ordinateurs). Une telle attaque est principalement menée à partir d'ordinateurs sur lesquels le contrôle a été pris, à l'aide de logiciels spéciaux (par exemple, des robots et des chevaux de Troie). Cela signifie que les propriétaires de ces ordinateurs peuvent même ne pas savoir que leur ordinateur, ordinateur portable ou autre appareil connecté au réseau peut simplement être utilisé, à leur insu, pour mener une attaque DDoS.

 

Une attaque DDoS démarre lorsque tous les ordinateurs compromis commencent à attaquer simultanément le service Web ou le système de la victime. La cible d'une attaque DDoS est alors inondée de fausses tentatives d'utilisation des services (par exemple, il peut s'agir de tentatives d'appeler un site Web ou d'autres demandes).

 

Pourquoi une attaque DDoS provoque-t-elle des interruptions de service?

 

Chaque tentative d'utilisation du service (par exemple une tentative d'appeler un site Web) nécessite que l'ordinateur attaqué alloue des ressources appropriées pour répondre à cette requête (par exemple, processeur, mémoire, bande passante réseau), ce qui, avec un très grand nombre de telles requêtes, conduit à l'épuisement des ressources disponibles, et par conséquent, une interruption de fonctionnement voire la suspension du système attaqué.

 

 

ddos

 

 

Comment se protéger des attaques DDoS?

 

Les attaques DDoS sont actuellement la menace la plus probable pour les entreprises opérant sur le réseau, et leurs conséquences s'étendent au-delà du seul domaine informatique, mais entraînent également des pertes financières et d'image réelles et mesurables. Les attaques de ce type évoluent constamment et deviennent de plus en plus précises. Leur objectif est de consommer toutes les ressources disponibles de l'infrastructure réseau ou de la connexion Internet.

 

Vous pouvez trouver des offres de protection contre les attaques DDoS sur Internet. Le plus souvent, l'activation d'une telle protection contre les attaques DDoS se fait en modifiant les enregistrements DNS, ce qui dirigera tout le trafic HTTP / HTTPS à travers la couche de filtrage, dans laquelle une inspection détaillée de chaque paquet et requête est effectuée.

 

Ensuite, des algorithmes avancés, ainsi que des règles correctement définies, filtrent les paquets erronés et les tentatives d'attaque, de sorte que seul le trafic pur va vers votre serveur. Les entreprises qui se protègent contre les attaques DDoS se trouvent dans différentes parties du monde, grâce auxquelles elles peuvent bloquer efficacement les attaques à la source, ainsi que diffuser des données statiques à partir du centre de données le plus proche, réduisant ainsi le temps de chargement des pages.

 

Attaque DDoS et chantage est un crime

 

La menace d'une attaque DDoS est parfois utilisée pour faire chanter des entreprises, par ex. sites d'enchères, sociétés de bourse et assimilés, où l'interruption du système de transaction se traduit par des pertes financières directes pour l'entreprise et ses clients. Dans de tels cas, les personnes derrière l'attaque demandent une rançon pour annuler ou arrêter l'attaque. Un tel chantage est un crime.

 

 

What-is-a-DDoS-attack

 

 

Comment se protéger des attaques DoS / DDoS

 

En termes simples, les attaques DoS sont une forme d'activité malveillante qui vise à amener un système informatique au point où il ne peut pas servir des utilisateurs légitimes ou exécuter correctement ses fonctions prévues. Des erreurs dans le logiciel (logiciel) ou une charge excessive sur le canal réseau ou sur le système dans son ensemble conduisent généralement à une condition de «déni de service». En conséquence, le logiciel, ou l'ensemble du système d'exploitation de la machine, "plante" ou se retrouve dans un état "en boucle". Et cela menace de temps d'arrêt, de perte de visiteurs / clients et de pertes.

 

Anatomie d'une attaque DoS

 

Les attaques DoS sont classées comme locales et distantes. Les exploits locaux incluent divers exploits, des bombes fourchues et des programmes qui ouvrent un million de fichiers à chaque fois ou exécutent un algorithme circulaire qui consomme de la mémoire et des ressources de processeur. Nous ne nous attarderons pas sur tout cela. Examinons de plus près les attaques DoS à distance. Ils sont divisés en deux types:


  1. Exploitation à distance de bogues logiciels afin de les rendre inopérants.


  1. Flood - envoi d'un grand nombre de paquets sans signification (moins souvent significatifs) à l'adresse de la victime. La cible d'inondation peut être un canal de communication ou des ressources machine. Dans le premier cas, le flux de paquets occupe toute la bande passante et ne donne pas à la machine attaquée la possibilité de traiter des requêtes légitimes. Dans le second, les ressources de la machine sont capturées par des appels répétés et très fréquents à tout service qui effectue une opération complexe et gourmande en ressources. Cela peut être, par exemple, un long appel à l'un des composants actifs (script) du serveur Web. Le serveur consacre toutes les ressources de la machine au traitement des requêtes de l'attaquant, et les utilisateurs doivent attendre.

 

Dans la version traditionnelle (un attaquant - une victime), seul le premier type d'attaques est désormais efficace. Le déluge classique est inutile. Tout simplement parce qu'avec la bande passante actuelle des serveurs, le niveau de puissance de calcul et l'utilisation généralisée de diverses techniques anti-DoS dans les logiciels (par exemple, des retards lorsque le même client effectue à plusieurs reprises les mêmes actions), l'attaquant se transforme en un moustique gênant qui est pas en mesure d’en infliger ni aucun dommage.

 

Mais s'il y a des centaines, des milliers ou même des centaines de milliers de ces moustiques, ils peuvent facilement mettre le serveur sur ses omoplates. La foule est une force terrible non seulement dans la vie, mais aussi dans le monde informatique. Une attaque par déni de service distribué (DDoS), généralement effectuée à l'aide de nombreux hôtes zombifiés, peut couper même le serveur le plus difficile du monde extérieur.

 

Méthodes de contrôle

 

Le danger de la plupart des attaques DDoS réside dans leur transparence et leur «normalité» absolues. Après tout, si une erreur logicielle peut toujours être corrigée, la consommation complète des ressources est un phénomène presque courant. De nombreux administrateurs y font face lorsque les ressources de la machine (bande passante) deviennent insuffisantes ou que le site Web subit un effet Slashdot (twitter.com est devenu indisponible quelques minutes après la première nouvelle de la mort de Michael Jackson). Et si vous réduisez le trafic et les ressources pour tout le monde d'affilée, vous serez sauvé de DDoS, mais vous perdrez une bonne moitié de vos clients.

 

 

What-is-a-DDoS-attack

 

 

Il n'y a pratiquement aucun moyen de sortir de cette situation, mais les conséquences des attaques DDoS et leur efficacité peuvent être considérablement réduites en configurant correctement le routeur, le pare-feu et une analyse constante des anomalies du trafic réseau. Dans la prochaine partie de l'article, nous examinerons:


  • les moyens de reconnaître une attaque DDoS naissante;

  • méthodes de traitement de types spécifiques d'attaques DDoS;

  • des conseils généraux pour vous aider à vous préparer à une attaque DoS et à réduire son efficacité.

 

À la toute fin, la réponse sera donnée à la question: que faire lorsque l'attaque DDoS a commencé.

 

Lutte contre les inondations

 

Il existe donc deux types d'attaques DoS / DDoS, et la plus courante d'entre elles est basée sur l'idée d'inondation, c'est-à-dire d'inonder la victime d'un grand nombre de paquets. L'inondation est différente: l'inondation ICMP, l'inondation SYN, l'inondation UDP et l'inondation HTTP. Les robots DoS modernes peuvent utiliser tous ces types d'attaques simultanément, vous devez donc vous assurer à l'avance d'une protection adéquate contre chacune d'elles. Un exemple de comment se défendre contre les types d'attaques les plus courants.

 

HTTP Flood

 

L'une des méthodes d'inondation les plus répandues aujourd'hui. Il est basé sur l'envoi sans fin de messages HTTP GET sur le port 80 afin de charger le serveur Web afin qu'il ne puisse pas traiter toutes les autres requêtes. Souvent, la cible d'inondation n'est pas la racine du serveur Web, mais l'un des scripts qui exécutent des tâches gourmandes en ressources ou travaillent avec la base de données. Dans tous les cas, une croissance anormalement rapide des journaux du serveur Web servira d'indicateur d'une attaque qui a commencé.

 

Les méthodes de gestion de l'inondation HTTP comprennent le réglage du serveur Web et de la base de données pour atténuer l'impact d'une attaque, ainsi que le filtrage des bots DoS à l'aide de diverses techniques. Tout d'abord, vous devez augmenter le nombre maximal de connexions à la base de données en même temps. Deuxièmement, installez nginx léger et efficace devant le serveur Web Apache - il mettra en cache les requêtes et servira les statiques. C'est une solution incontournable qui non seulement réduira l'effet des attaques DoS, mais permettra également au serveur de supporter d'énormes charges.

 

Si nécessaire, vous pouvez utiliser le module nginx, qui limite le nombre de connexions simultanées à partir d'une même adresse. Les scripts gourmands en ressources peuvent être protégés contre les bots en utilisant des retards, des boutons «Cliquez sur moi», des cookies de configuration et d'autres astuces visant à vérifier «l'humanité».

 

Conseils universels

 

Afin de ne pas entrer dans une situation désespérée lors de l'effondrement d'une tempête DDoS sur les systèmes, vous devez soigneusement les préparer à une telle situation:


  • Tous les serveurs ayant un accès direct au réseau externe doivent être préparés pour un redémarrage à distance rapide et facile. Un gros plus sera la présence d'une deuxième interface réseau administrative à travers laquelle vous pourrez accéder au serveur en cas de colmatage du canal principal.


  • Le logiciel utilisé sur le serveur doit toujours être à jour. Tous les trous sont corrigés, les mises à jour sont installées (simple comme un boot, conseil que beaucoup ne suivent pas). Cela vous protégera des attaques DoS qui exploitent des bogues dans les services.


  • Tous les services réseau d'écoute destinés à un usage administratif doivent être masqués par le pare-feu à toute personne qui ne devrait pas y avoir accès. Ensuite, l'attaquant ne pourra pas les utiliser pour des attaques DoS ou des attaques par force brute.


  • Aux abords du serveur (le routeur le plus proche), un système d'analyse du trafic doit être installé, ce qui permettra de se renseigner en temps opportun sur une attaque en cours et de prendre des mesures opportunes pour la prévenir.

 

Il est à noter que toutes les techniques visent à réduire l'efficacité des attaques DDoS, qui visent à épuiser les ressources de la machine. Il est presque impossible de se défendre contre une inondation qui obstrue le canal avec des débris, et la seule manière correcte, mais pas toujours faisable, de lutter est de «priver l'attaque de sens». Si vous disposez d'un canal vraiment large qui autorisera facilement le trafic d'un petit botnet, considérez que votre serveur est protégé de 90% des attaques.

 

Il existe une défense plus sophistiquée. Il repose sur l'organisation d'un réseau informatique distribué, qui comprend de nombreux serveurs redondants connectés à différents backbones. Lorsque la puissance de calcul ou la bande passante du canal est épuisée, tous les nouveaux clients sont redirigés vers un autre serveur ou progressivement. "

 

Une autre solution plus ou moins efficace consiste à acheter des systèmes matériels. Travaillant en tandem, elles peuvent supprimer une attaque naissante, mais comme la plupart des autres solutions basées sur l'apprentissage et l'analyse d'état, elles échouent.

 

Cela semble avoir commencé. Que faire?

 

Avant le début immédiat de l'attaque, les bots «s'échauffent», augmentant progressivement le flux de paquets vers la machine attaquée. Il est important de saisir le moment et de commencer à agir. Une surveillance constante du routeur connecté au réseau externe y contribuera. Sur le serveur victime, vous pouvez déterminer le début de l'attaque à l'aide des moyens disponibles.