Une attaque DoS et DDoS est un impact externe agressif sur les ressources informatiques d'un serveur ou d'un poste de travail, réalisé dans le but de faire échouer ce dernier. Par échec, nous n’entendons pas la panne physique d’une machine, mais l’inaccessibilité de ses ressources aux utilisateurs authentiques – le refus du système de les entretenir ( D enial o F S service, d'où vient l'abréviation DoS).

Si une telle attaque est effectuée à partir d'un seul ordinateur, elle est classée comme DoS (DoS), si elle provient de plusieurs - DDoS (DiDoS ou DDoS), ce qui signifie "D distribué D enial o F S ervice" - déni de service distribué. Ensuite, nous expliquerons pourquoi les attaquants mènent de telles attaques, de quoi il s’agit, quels dommages ils causent à l’attaquant et comment ces derniers peuvent protéger leurs ressources.

Qui peut subir des attaques DoS et DDoS ?

Les serveurs d'entreprise et les sites Web sont attaqués, beaucoup moins souvent - les ordinateurs personnels des particuliers. En règle générale, le but de telles actions est le même: causer un préjudice économique à la personne attaquée et rester dans l'ombre. Dans certains cas, les attaques DoS et DDoS constituent l'une des étapes du piratage du serveur et visent à voler ou à détruire des informations. En fait, une entreprise ou un site Web appartenant à n’importe qui peut devenir victime d’attaquants.

Un diagramme illustrant l'essence d'une attaque DDoS :

Les attaques DoS et DDoS sont le plus souvent menées à l’instigation de concurrents malhonnêtes. Ainsi, en « faisant planter » le site Internet d'une boutique en ligne qui propose un produit similaire, vous pouvez temporairement devenir un « monopoleur » et prendre ses clients pour vous. En « posant » un serveur d'entreprise, vous pouvez perturber le travail d'une entreprise concurrente et ainsi réduire sa position sur le marché.

Les attaques à grande échelle pouvant causer des dégâts importants sont généralement menées par des cybercriminels professionnels pour de grosses sommes d’argent. Mais pas toujours. Vos ressources peuvent être attaquées par des pirates informatiques amateurs locaux par intérêt, par des vengeurs parmi les employés licenciés et simplement par ceux qui ne partagent pas votre point de vue sur la vie.

Parfois, l'impact est effectué à des fins d'extorsion, tandis que l'attaquant demande ouvertement de l'argent au propriétaire de la ressource pour arrêter l'attaque.

Les serveurs d'entreprises publiques et d'organisations de renom sont souvent attaqués par des groupes anonymes de pirates informatiques hautement qualifiés afin d'influencer les responsables ou de provoquer un tollé général.

Comment sont menées les attaques

Le principe de fonctionnement des attaques DoS et DDoS est d'envoyer un flux important d'informations au serveur, qui au maximum (dans la mesure où les capacités du hacker le permettent) charge les ressources informatiques du processeur, de la RAM, obstrue les canaux de communication ou remplit l'espace disque. . La machine attaquée est incapable de traiter les données entrantes et cesse de répondre aux demandes des utilisateurs.

Voici à quoi ressemble le fonctionnement normal du serveur, visualisé dans le programme Logstalgia :

L'efficacité des attaques DOS uniques n'est pas très élevée. De plus, une attaque depuis un ordinateur personnel expose l’attaquant au risque d’être identifié et attrapé. Les attaques distribuées (DDoS) menées à partir de réseaux dits zombies ou botnets génèrent des profits bien plus importants.

Voici comment le site Norse-corp.com affiche l'activité du botnet :

Un réseau zombie (botnet) est un groupe d'ordinateurs qui n'ont aucune connexion physique entre eux. Leur point commun est qu’ils sont tous sous le contrôle d’un attaquant. Le contrôle est effectué via un cheval de Troie qui, pour le moment, ne peut se manifester d'aucune manière. Lorsqu'il mène une attaque, le pirate informatique demande aux ordinateurs infectés d'envoyer des requêtes au site Web ou au serveur de la victime. Et lui, incapable de résister à la pression, ne répond plus.

Voici comment Logstalgia montre une attaque DDoS :

Absolument n’importe quel ordinateur peut rejoindre un botnet. Et même un smartphone. Il suffit d'attraper un cheval de Troie et de ne pas être détecté à temps. À propos, le plus grand réseau de zombies comptait près de 2 millions de machines dans le monde et leurs propriétaires n'avaient aucune idée de ce qu'ils faisaient.

Méthodes d'attaque et de défense

Avant de lancer une attaque, le pirate informatique détermine comment la mener avec un effet maximal. Si le nœud attaqué présente plusieurs vulnérabilités, l'impact peut être effectué dans différentes directions, ce qui compliquera considérablement la riposte. Par conséquent, il est important que chaque administrateur de serveur étudie tous ses « goulots d'étranglement » et, si possible, les renforce.

Inondation

En termes simples, une inondation est une information qui n’a aucune signification. Dans le contexte des attaques DoS/DDoS, un flot est une avalanche de requêtes vides et dénuées de sens d'un niveau ou d'un autre, que le nœud récepteur est obligé de traiter.

L'objectif principal de l'utilisation de l'inondation est d'obstruer complètement les canaux de communication et de saturer au maximum la bande passante.

Types d'inondations :

• Inondation MAC - impact sur les communicateurs réseau (blocage des ports avec flux de données).
• Inondation ICMP - inonder une victime de requêtes d'écho de service en utilisant un réseau zombie ou en envoyant des requêtes « au nom » du nœud attaqué afin que tous les membres du botnet lui envoient simultanément une réponse d'écho (attaque Schtroumpf). Un cas particulier d'inondation ICMP est l'inondation ping (envoi de requêtes ping au serveur).
• Inondation SYN - envoi de nombreuses requêtes SYN à la victime, dépassant la file d'attente de connexion TCP en créant un grand nombre de connexions semi-ouvertes (en attente de confirmation du client).
• UDP Flood - fonctionne selon le schéma d'attaque Smurf, où les datagrammes UDP sont envoyés à la place des paquets ICMP.
• HTTP Flood - inonder le serveur de nombreux messages HTTP. Une option plus sophistiquée est l'inondation HTTPS, où les données envoyées sont pré-chiffrées et avant que le nœud attaqué ne les traite, il doit les déchiffrer.

Comment se protéger des inondations

• Configurez les commutateurs réseau pour vérifier la validité et filtrer les adresses MAC.
• Restreindre ou désactiver le traitement des demandes d'écho ICMP.
• Bloquez les paquets provenant d’une adresse ou d’un domaine spécifique qui donnent des raisons de soupçonner son manque de fiabilité.
• Fixez une limite au nombre de connexions semi-ouvertes avec une seule adresse, réduisez leur temps de maintien et allongez la file d'attente des connexions TCP.
• Empêchez les services UDP de recevoir du trafic extérieur ou limitez le nombre de connexions UDP.
• Utilisez CAPTCHA, les retards et d'autres techniques de protection contre les robots.
• Augmentez le nombre maximum de connexions HTTP, configurez la mise en cache des requêtes à l'aide de nginx.
• Augmentez la capacité des canaux réseau.
• Si possible, consacrez un serveur distinct à la gestion de la cryptographie (si utilisée).
• Créez un canal de sauvegarde pour l'accès administratif au serveur en cas d'urgence.

Surcharge matérielle

Il existe des types d'inondations qui n'affectent pas le canal de communication, mais les ressources matérielles de l'ordinateur attaqué, les chargeant à pleine capacité et provoquant un gel ou un crash. Par exemple:

• Création d'un script qui publiera une énorme quantité d'informations textuelles dénuées de sens sur un forum ou un site Web où les utilisateurs ont la possibilité de laisser des commentaires jusqu'à ce que tout l'espace disque soit rempli.
• La même chose, seuls les logs du serveur rempliront le disque.
• Chargement d'un site où est effectuée une sorte de transformation des données saisies, traitant en continu ces données (envoi de paquets dits « lourds »).
• Chargement du processeur ou de la mémoire en exécutant du code via l'interface CGI (le support CGI vous permet d'exécuter n'importe quel programme externe sur le serveur).
• Déclencher le système de sécurité, rendre le serveur inaccessible de l'extérieur, etc.

Comment se protéger de la surcharge des ressources matérielles

• Augmentez les performances matérielles et l’espace disque. Lorsque le serveur fonctionne normalement, au moins 25 à 30 % des ressources doivent rester libres.
• Utilisez des systèmes d’analyse et de filtrage du trafic avant de le transmettre au serveur.
• Limiter l'utilisation des ressources matérielles par les composants du système (définir des quotas).
• Stockez les fichiers journaux du serveur sur un lecteur distinct.
• Répartissez les ressources sur plusieurs serveurs indépendants les uns des autres. Ainsi, si une partie tombe en panne, les autres restent opérationnelles.

Vulnérabilités dans les systèmes d'exploitation, les logiciels et le micrologiciel des appareils

Il existe infiniment plus d’options pour mener à bien ce type d’attaque que le recours aux inondations. Leur mise en œuvre dépend des qualifications et de l'expérience de l'attaquant, de sa capacité à trouver des erreurs dans le code du programme et à les utiliser à son avantage et au détriment du propriétaire de la ressource.

Une fois qu'un pirate découvre une vulnérabilité (une erreur dans un logiciel qui peut être utilisée pour perturber le fonctionnement du système), il lui suffit de créer et d'exécuter un exploit, un programme qui exploite cette vulnérabilité.

L’exploitation des vulnérabilités n’a pas toujours pour objectif de provoquer uniquement un déni de service. Si le pirate informatique a de la chance, il pourra prendre le contrôle de la ressource et utiliser ce « cadeau du destin » à sa discrétion. Par exemple, utilisez-le pour diffuser des logiciels malveillants, voler et détruire des informations, etc.

Méthodes pour contrer l’exploitation des vulnérabilités logicielles

• Installez en temps opportun des mises à jour qui couvrent les vulnérabilités des systèmes d'exploitation et des applications.
• Isolez tous les services destinés à résoudre les tâches administratives des accès tiers.
• Utiliser des moyens de surveillance continue du fonctionnement de l'OS et des programmes du serveur (analyse comportementale, etc.).
• Refusez les programmes potentiellement vulnérables (gratuits, auto-écrits, rarement mis à jour) au profit de programmes éprouvés et bien protégés.
• Utilisez des moyens prêts à l'emploi pour protéger les systèmes contre les attaques DoS et DDoS, qui existent à la fois sous la forme de systèmes matériels et logiciels.

Comment déterminer qu'une ressource a été attaquée par un pirate informatique

Si l'attaquant parvient à atteindre son objectif, il est impossible de ne pas remarquer l'attaque, mais dans certains cas, l'administrateur ne peut pas déterminer exactement quand elle a commencé. C'est-à-dire que plusieurs heures s'écoulent parfois entre le début de l'attaque et l'apparition de symptômes visibles. Cependant, lors d'une influence cachée (jusqu'à la panne du serveur), certains signes sont également présents. Par exemple:

• Comportement non naturel des applications serveur ou du système d'exploitation (gels, arrêt avec erreurs, etc.).
• La charge sur le processeur, la RAM et le stockage augmente fortement par rapport au niveau d'origine.
• Le volume de trafic sur un ou plusieurs ports augmente considérablement.
• Il existe plusieurs requêtes de clients vers les mêmes ressources (ouverture de la même page du site Web, téléchargement du même fichier).
• L'analyse des journaux des serveurs, des pare-feu et des périphériques réseau montre un grand nombre de requêtes monotones provenant de diverses adresses, souvent dirigées vers un port ou un service spécifique. Surtout si le site s'adresse à un public restreint (par exemple russophone) et que les demandes proviennent du monde entier. Une analyse qualitative du trafic montre que les demandes n'ont aucune signification pratique pour les clients.

Tout ce qui précède n’est pas un signe à 100 % d’une attaque, mais c’est toujours une raison pour prêter attention au problème et prendre les mesures de protection appropriées.

Il ne faut pas beaucoup d’intelligence pour ordonner une attaque DDoS. Payez les hackers et pensez à la panique de vos concurrents. D'abord depuis le fauteuil du réalisateur, puis depuis un lit de prison.

Nous expliquons pourquoi se tourner vers des hackers est la dernière chose qu'un entrepreneur honnête devrait faire et quelles en sont les conséquences.

Comment faire une attaque DDoSmême un écolier le sait

Aujourd'hui, les outils permettant d'organiser une attaque DDoS sont accessibles à tous. La barrière à l’entrée pour les hackers débutants est faible. Par conséquent, la part des attaques courtes mais fortes contre les sites russes grandi. Il semble que les groupes de hackers ne font que mettre en pratique leurs compétences.

Exemple concret. En 2014, le portail éducatif de la République du Tatarstan subi des attaques DDoS. À première vue, l’attaque ne sert à rien : il ne s’agit pas d’une organisation commerciale et il n’y a rien à lui demander. Le portail affiche les notes, les horaires de cours, etc. Pas plus. Les experts de Kaspersky Lab ont découvert un groupe VKontakte où des étudiants et des écoliers du Tatarstan ont discuté comment faire une attaque DDoS.

Communauté de jeunes combattants contre le système de la République du Tatarstan

Les questions dérivées de « comment lancer une attaque DDoS au Tatarstan » ont conduit les spécialistes de la cybersécurité à une annonce intéressante. Les artistes ont été rapidement trouvés et ont dûà payer des dommages et intérêts.

Avant, ils arrachaient des pages de journaux, mais maintenant ils piratent des sites Web

En raison de la simplicité des attaques DDoS, les débutants sans principes moraux ni compréhension de leurs capacités les attaquent. Ils peuvent également revendre les données clients. Le rajeunissement des auteurs d’attaques DDoS est une tendance mondiale.

Peine de prison au printemps 2017 reçu par un étudiant britannique. A 16 ans, il crée Programme d'attaque DDoS Titanium Stresser. Le Britannique a gagné 400 000 livres sterling (29 millions de roubles) grâce à cette vente. Grâce à ce programme DDoS, 2 millions d'attaques ont été menées contre 650 000 utilisateurs dans le monde.

Les adolescents se sont avérés être membres des grands groupes DDoS Lizard Squad et PoodleCorp. Les jeunes Américains ont inventé le leur Programmes DDoS, mais les a utilisés pour attaquer des serveurs de jeux afin d'obtenir des avantages dans les jeux en ligne. C'est ainsi qu'ils ont été trouvés.

Que ce soit pour confier la réputation de l'entreprise aux écoliers d'hier, chacun décidera pour lui-même.

Punition pourProgrammes DDoSen Russie

Comment faire une attaque DDoSs'intéresse aux entrepreneurs qui ne veulent pas respecter les règles de la concurrence. C'est ce que font les employés de la direction « K » du ministère de l'Intérieur de la Russie. Ils attrapent les artistes.

La législation russe prévoit des sanctions pour les cybercrimes. Sur la base de la pratique actuelle, les participants à une attaque DDoS peuvent relever des articles suivants.

Clients.Leurs actions relèvent généralement- accès illégal à des informations informatiques légalement protégées.

Châtiment:une peine d'emprisonnement pouvant aller jusqu'à sept ans ou une amende pouvant aller jusqu'à 500 000 roubles.

Exemple. Un employé du département technique de protection des informations de l'administration municipale de Kurgan a été condamné en vertu de cet article. Il a développé le programme multifonctionnel Meta. Avec son aide, l'attaquant a collecté des données personnelles sur 1,3 million d'habitants de la région. Ensuite, je l'ai vendu à des banques et à des agences de recouvrement. Hackera a été condamné à deux ans de prison.

Interprètes.En règle générale, ils sont punis de Article 273 du Code pénal de la Fédération de Russie - création, utilisation et distribution de programmes informatiques malveillants.

Châtiment.Emprisonnement pouvant aller jusqu'à sept ans et une amende pouvant aller jusqu'à 200 000 roubles.

Exemple.Étudiant de 19 ans de Togliatti a été condamné à 2,5 ans de prison avec sursis et à une amende de 12 millions de roubles. En utilisant programmes pour les attaques DDoS, il a tenté de faire tomber les ressources d'information et les sites Web des banques. Après l’attaque, l’étudiant lui a extorqué de l’argent.

Utilisateurs négligents.Le non-respect des règles de sécurité lors de la conservation des données est sanctionné par Article 274 du Code pénal de la Fédération de Russie - violation des règles relatives aux moyens d'exploitation des moyens de stockage, de traitement ou de transmission d'informations informatiques et de réseaux d'information et de télécommunication.

Châtiment:une peine d'emprisonnement pouvant aller jusqu'à cinq ans ou une amende pouvant aller jusqu'à 500 000 roubles.

Exemple.Si de l'argent a été volé de quelque manière que ce soit lors de l'accès à l'information, l'article sera requalifié en fraude dans le domaine de l'information informatique (). Donc deux ans dans une colonie reçu par des pirates de l'Oural qui ont eu accès aux serveurs bancaires.

Attaques contre les médias.Si les attaques DDoS visent à violer les droits des journalistes, ces actions relèvent de - entrave aux activités professionnelles légitimes d'un journaliste.

Châtiment:une peine d'emprisonnement pouvant aller jusqu'à six ans ou une amende pouvant aller jusqu'à 800 000 roubles.

Exemple.Cet article est souvent reclassé en articles plus difficiles. Comment faire une attaque DDoS ceux qui ont attaqué Novaya Gazeta, Ekho Moskvy et Bolshoy Gorod le savaient. Les publications régionales sont également victimes de pirates informatiques.

En Russie, l'utilisation de Programmes DDoS . L’anonymat de la Direction « K » ne vous sauvera pas.

Programmes pour les attaques DDoS

Selon les experts, 2 000 robots suffisent pour attaquer un site Web moyen. Le coût d'une attaque DDoS commence à partir de 20 $ (1 100 roubles). Le nombre de canaux d'attaque et la durée de fonctionnement sont discutés individuellement. Il y a aussi des extorsions.

Un bon hacker effectuera un pentest avant une attaque. Les militaires appelleraient cette méthode « reconnaissance en force ». L’essence d’un pentest est une petite attaque contrôlée pour découvrir les ressources de défense du site.

Fait intéressant.Comment faire une attaque DDoSBeaucoup de gens le savent, mais la force d’un pirate informatique est déterminée par un botnet. Souvent, les attaquants se volent les clés d’accès aux « armées » et les revendent ensuite. Une astuce bien connue consiste à « désactiver » le Wi-Fi pour qu’il redémarre de force et revienne aux paramètres de base. Dans cet état, le mot de passe est standard. Ensuite, les attaquants accèdent à tout le trafic de l’organisation.

La dernière tendance des hackers consiste à pirater des appareils intelligents pour y installer des mineurs de cryptomonnaie. Ces actions peuvent être qualifiées au titre de l'article sur l'utilisation de programmes malveillants (article 273 du Code pénal de la Fédération de Russie). Alors les agents du FSB L'administrateur système du Mission Control Center a été arrêté. Il installe des mineurs sur son matériel de travail et s'enrichit. L'agresseur a été identifié grâce aux surtensions.

Les pirates mèneront une attaque DDoS contre un concurrent. Ils peuvent ensuite accéder à sa puissance de calcul et extraire un ou deux Bitcoins. Seulement ces revenus ne iront pas au client.

Risques liés à l’ordre d’une attaque DDoS

Résumons en pesant les avantages et les inconvénients de commander une attaque DDoS contre des concurrents.

Si les concurrents ont ennuyé l’entreprise, les pirates ne l’aideront pas. Ils ne feront qu’empirer les choses. Agence "Requins Numériques" informations indésirables par des moyens légaux.

Attaque DDOS. Explication et exemple.

Salut tout le monde. Ceci est le blog Computer76, et maintenant un autre article sur les bases de l'art du hacking. Aujourd'hui, nous allons parler de ce qu'est une attaque DDOS avec des mots et des exemples simples. Avant d’aborder les termes techniques, il y aura une introduction que tout le monde pourra comprendre.

Pourquoi une attaque DDOS est-elle utilisée ?

Le piratage WiFi est utilisé pour obtenir le mot de passe d'un réseau sans fil. Les attaques sous la forme de « » vous permettront d'écouter le trafic Internet. L'analyse des vulnérabilités suivie du chargement d'une spécifique permet de capturer l'ordinateur cible. À quoi sert une attaque DDOS ? Son objectif est en fin de compte de sélectionner les droits de propriété d'une ressource auprès du propriétaire légitime. Je ne veux pas dire que vous ne serez pas propriétaire du site ou du blog. Cela signifie qu'en cas d'attaque réussie sur votre site, vous tu perdras la capacité de le contrôler. Au moins pour un moment.

Cependant, dans l’interprétation moderne d’une attaque DDOS, elle est le plus souvent utilisée pour perturber le fonctionnement normal de n’importe quel service. Des groupes de hackers, dont les noms sont constamment entendus, attaquent de grands sites Web gouvernementaux ou gouvernementaux afin d'attirer l'attention sur certains problèmes. Mais presque toujours derrière de telles attaques se cache un intérêt purement mercantile : le travail de concurrents ou de simples farces sur des sites totalement indécents et non protégés. Le concept principal de DDOS est qu'un grand nombre d'utilisateurs, ou plutôt de requêtes provenant d'ordinateurs robots, accèdent au site en même temps, ce qui rend la charge sur le serveur insupportable. On entend souvent l'expression « le site est indisponible », mais peu de gens pensent à ce qui se cache réellement derrière cette formulation. Eh bien, maintenant vous le savez.

Attaque DDOS - options

Option 1.

joueurs bondés à l'entrée

Imaginez que vous jouez à un jeu multijoueur en ligne. Des milliers de joueurs jouent avec vous. Et vous connaissez la plupart d’entre eux. Vous discutez des détails et à l'heure X effectuez les actions suivantes. Vous allez tous sur le site en même temps et créez un personnage avec le même ensemble de caractéristiques. Vous vous regroupez en un seul endroit, bloquant avec votre nombre de personnages créés simultanément l'accès aux objets du jeu à d'autres utilisateurs de bonne foi qui ne se doutent de rien de votre collusion.

Option 2.

Imaginez que quelqu'un décide de perturber le service de bus dans la ville sur un certain itinéraire afin d'empêcher les passagers de bonne foi d'utiliser les services de transports publics. Des milliers de vos amis se rendent simultanément aux arrêts au début de l'itinéraire spécifié et roulent sans but dans toutes les voitures d'un bout à l'autre jusqu'à ce que l'argent soit épuisé. Le voyage est payé, mais personne ne descend à aucun arrêt, sauf aux destinations finales. Et d'autres passagers, debout aux arrêts intermédiaires, surveillent tristement les minibus au départ, incapables de se faufiler dans les bus bondés. Tout le monde est en difficulté : les propriétaires de taxi et les passagers potentiels.

En réalité, ces options ne peuvent pas être physiquement mises en œuvre. Cependant, dans le monde virtuel, vos amis peuvent être remplacés par les ordinateurs d'utilisateurs peu scrupuleux qui ne prennent pas la peine de protéger leur ordinateur ou leur ordinateur portable d'une manière ou d'une autre. Et la grande majorité est comme ça. Il existe de nombreux programmes permettant de mener des attaques DDOS. Il va sans dire que de telles actions sont illégales. Et une attaque DDOS préparée de manière absurde, aussi réussie soit-elle, est détectée et punie.

Comment se déroule une attaque DDOS ?

En cliquant sur un lien d'un site Web, votre navigateur envoie une requête au serveur pour afficher la page que vous recherchez. Cette demande est exprimée sous forme de paquet de données. Et pas même un seul, mais tout un paquet de forfaits ! Dans tous les cas, la quantité de données transmises par canal est toujours limitée à une certaine largeur. Et la quantité de données renvoyées par le serveur est disproportionnée par rapport à ce qui est contenu dans votre requête. Cela prend de l'énergie et des ressources du serveur. Plus le serveur est puissant, plus il coûte cher au propriétaire et plus les services qu'il fournit sont chers. Les serveurs modernes peuvent facilement faire face à un afflux de visiteurs en forte augmentation. Mais pour chacun des serveurs, il existe toujours un nombre critique d'utilisateurs souhaitant se familiariser avec le contenu du site. Plus la situation est claire avec le serveur qui fournit les services d'hébergement de sites Web. Dès que cela se produit, le site victime est déconnecté du service afin de ne pas surcharger les processeurs qui servent des milliers d'autres sites situés sur le même hébergement. Le fonctionnement du site s'arrête jusqu'à ce que l'attaque DDOS elle-même s'arrête. Eh bien, imaginez que vous commenciez à recharger n'importe quelle page du site Web mille fois par seconde (DOS). Et des milliers de vos amis font la même chose sur leurs ordinateurs (DOS distribué ou DDOS)... Les grands serveurs ont appris à reconnaître qu'une attaque DDOS a commencé et à la contrecarrer. Cependant, les pirates informatiques améliorent également leurs approches. Ainsi, dans le cadre de cet article, je ne peux pas expliquer plus en détail ce qu'est une attaque DDOS.

Vous pouvez découvrir ce qu’est une attaque DDOS et l’essayer dès maintenant.

ATTENTION. Si vous décidez d'essayer, toutes les données non enregistrées seront perdues et vous aurez besoin d'un bouton pour remettre l'ordinateur en état de fonctionnement. RÉINITIALISER. Mais vous pourrez découvrir exactement ce que « ressent » le serveur attaqué. Un exemple détaillé est le paragraphe ci-dessous, et maintenant - des commandes simples pour redémarrer le système.

• Pour Linux, dans le terminal, tapez la commande :

:(){ :|:& };:

Le système refusera de fonctionner.

• Pour Windows, je suggère de créer un fichier bat dans le Bloc-notes avec le code :

:1 Commencer à aller à 1

Nommez le type DDOS.bat

Je ne pense pas que cela vaut la peine d'expliquer la signification des deux commandes. Tout est visible à l'oeil nu. Les deux commandes forcent le système à exécuter le script et à le répéter immédiatement, en l'envoyant au début du script. Compte tenu de la rapidité d’exécution, le système tombe dans la stupeur au bout de quelques secondes. Jeu, comme ils disent, sur.

Attaque DDOS utilisant des programmes.

Pour un exemple plus visuel, utilisez le programme Low Orbit Ion Cannon. Ou Loïc. La distribution la plus téléchargée se trouve à l'adresse (nous travaillons sous Windows) :

https://sourceforge.net/projects/loic/

ATTENTION ! Votre antivirus devrait considérer le fichier comme malveillant. C'est normal : vous savez déjà ce que vous téléchargez. Dans la base de données de signatures, il est marqué comme un générateur d'inondations - traduit en russe, c'est le but ultime des appels sans fin vers une adresse réseau spécifique. PERSONNELLEMENT, je n’ai remarqué aucun virus ou cheval de Troie. Mais vous avez le droit de douter et de reporter le téléchargement.

Étant donné que les utilisateurs imprudents bombardent la ressource avec des messages concernant un fichier malveillant, Source Forge vous redirigera vers la page suivante avec un lien direct vers le fichier :

En fin de compte, j'ai pu télécharger l'utilitaire uniquement via .

La fenêtre du programme ressemble à ceci :

Point 1 Sélectionner la cible permettra à l'attaquant de se concentrer sur une cible spécifique (rentrer l'adresse IP ou l'url du site), point 3 Options d'attaque vous permettra de sélectionner le port attaqué, le protocole ( Méthode) parmi trois TCP, UDP et HTTP. Dans le champ Message TCP/UDP, vous pouvez saisir un message destiné à la personne attaquée. Une fois cela fait, l'attaque commence en appuyant sur un bouton IMMA CHARGIN MAH LAZER(c'est une phrase au bord d'une faute de la part du autrefois populaire bande dessinée–meme; À propos, il y a beaucoup de jurons américains dans le programme). Tous.

J'AVERTIS

Il s'agit d'une option d'essai pour localhost uniquement. C'est pourquoi:

• c’est contraire à la loi contre les sites d’autrui, et des gens en Occident sont déjà emprisonnés pour cela (ce qui signifie qu’ils le seront bientôt aussi ici)
• l'adresse d'où vient l'inondation sera rapidement déterminée, ils se plaindront au fournisseur, qui vous avertira et vous rappellera le premier point
• dans les réseaux à faible bande passante (c'est-à-dire dans tous les réseaux domestiques), le gadget ne fonctionnera pas. C'est la même chose avec le réseau TOR.
• si vous le configurez correctement, vous obstruerez VOTRE canal de communication plus rapidement que de nuire à quelqu'un. C'est donc exactement l'option lorsque le sac de boxe frappe le boxeur, et non l'inverse. Et l’option avec proxy suivra le même principe : personne n’aimera les inondations de votre part.

Lire : 9 326

Introduction

Permettez-moi tout de suite de faire une réserve : lorsque j'ai rédigé cette critique, je m'adressais avant tout à un public qui comprenait les spécificités du travail des opérateurs télécoms et de leurs réseaux de données. Cet article décrit les principes de base de la protection contre les attaques DDoS, l'historique de leur développement au cours de la dernière décennie et la situation actuelle.

Qu’est-ce que le DDoS ?

Probablement, aujourd'hui, sinon tous les « utilisateurs », du moins tous les « spécialistes informatiques » savent ce que sont les attaques DDoS. Mais il reste encore quelques mots à dire.

Les attaques DDoS (Distributed Denial of Service) sont des attaques contre les systèmes informatiques (ressources réseau ou canaux de communication) visant à les rendre inaccessibles aux utilisateurs légitimes. Les attaques DDoS consistent à envoyer simultanément un grand nombre de requêtes vers une ressource spécifique depuis un ou plusieurs ordinateurs situés sur Internet. Si des milliers, des dizaines de milliers ou des millions d'ordinateurs commencent simultanément à envoyer des requêtes à un serveur spécifique (ou à un service réseau), alors soit le serveur ne sera pas en mesure de le gérer, soit il n'y aura pas assez de bande passante pour le canal de communication vers ce serveur. . Dans les deux cas, les internautes ne pourront pas accéder au serveur attaqué, ni même à tous les serveurs et autres ressources connectés via un canal de communication bloqué.

Certaines fonctionnalités des attaques DDoS

Contre qui et dans quel but les attaques DDoS sont-elles lancées ?

Les attaques DDoS peuvent être lancées contre n’importe quelle ressource sur Internet. Les plus grands dommages causés par les attaques DDoS sont subis par les organisations dont les activités sont directement liées à leur présence sur Internet - banques (fournissant des services bancaires sur Internet), boutiques en ligne, plateformes de trading, ventes aux enchères, ainsi que d'autres types d'activités, d'activité et d'efficacité. dont dépend en grande partie du bureau de représentation sur Internet (agences de voyages, compagnies aériennes, fabricants de matériel et de logiciels, etc.) Des attaques DDoS sont régulièrement lancées contre les ressources de géants de l'industrie informatique mondiale comme IBM, Cisco Systems, Microsoft et autres . Des attaques DDoS massives ont été observées contre eBay.com, Amazon.com et de nombreuses banques et organisations bien connues.

Très souvent, les attaques DDoS sont lancées contre les représentations Web d’organisations politiques, d’institutions ou de personnalités célèbres. Beaucoup de gens connaissent les attaques DDoS massives et prolongées lancées contre le site Internet du président géorgien pendant la guerre géorgienne-ossète de 2008 (le site Internet était indisponible pendant plusieurs mois à partir d'août 2008), contre les serveurs du gouvernement estonien. (au printemps 2007, lors des troubles liés au transfert du Soldat de Bronze), sur les attaques périodiques du segment Internet nord-coréen contre des sites américains.

Les principaux objectifs des attaques DDoS sont soit d’obtenir des bénéfices (directs ou indirects) par le chantage et l’extorsion, soit de poursuivre des intérêts politiques, d’aggraver la situation ou de se venger.

Quels sont les mécanismes pour lancer des attaques DDoS ?

Le moyen le plus populaire et le plus dangereux de lancer des attaques DDoS est l'utilisation de botnets (BotNets). Un botnet est un ensemble d'ordinateurs sur lesquels des signets logiciels spéciaux (bots) sont installés ; traduit de l'anglais, un botnet est un réseau de robots. Les robots sont généralement développés par des pirates informatiques individuellement pour chaque botnet et ont pour objectif principal d'envoyer des requêtes vers une ressource spécifique sur Internet sur une commande reçue du serveur de contrôle du botnet - Botnet Command and Control Server. Le serveur de contrôle du botnet est contrôlé par un pirate informatique, ou par une personne qui a acheté le botnet et la possibilité de lancer une attaque DDoS depuis le pirate informatique. Les robots se propagent sur Internet de diverses manières, généralement en attaquant des ordinateurs dotés de services vulnérables et en y installant des signets de logiciels, ou en trompant les utilisateurs et en les forçant à installer des robots sous couvert de fournir d'autres services ou logiciels qui fonctionnent de manière totalement inoffensive, voire même nuisible. fonction utile. Il existe de nombreuses façons de propager les robots et de nouvelles méthodes sont régulièrement inventées.

Si le botnet est suffisamment grand - des dizaines ou des centaines de milliers d'ordinateurs - alors l'envoi simultané depuis tous ces ordinateurs de requêtes, même tout à fait légitimes, vers un certain service réseau (par exemple, un service Web sur un site spécifique) conduira à la l'épuisement des ressources soit du service lui-même, soit du serveur, soit l'épuisement des capacités des canaux de communication. Dans tous les cas, le service sera indisponible pour les utilisateurs et le propriétaire du service subira un préjudice direct, indirect et à sa réputation. Et si chaque ordinateur envoie non pas une seule requête, mais des dizaines, des centaines ou des milliers de requêtes par seconde, alors l'impact de l'attaque est multiplié par plusieurs, ce qui permet de détruire même les ressources ou les canaux de communication les plus productifs.

Certaines attaques sont lancées de manière plus « inoffensive ». Par exemple, un flash mob d'utilisateurs de certains forums qui, d'un commun accord, lancent des « pings » ou autres requêtes depuis leur ordinateur vers un serveur précis à un moment donné. Un autre exemple consiste à placer un lien vers un site Web sur des ressources Internet populaires, ce qui provoque un afflux d'utilisateurs vers le serveur cible. Si un « faux » lien (ressemble extérieurement à un lien vers une ressource, mais renvoie en fait à un serveur complètement différent) renvoie au site Web d'une petite organisation, mais est publié sur des serveurs ou des forums populaires, une telle attaque peut provoquer un afflux de visiteurs indésirables pour ce site. Les attaques des deux derniers types entraînent rarement l'arrêt de la disponibilité des serveurs sur des sites d'hébergement correctement organisés, mais de tels exemples ont eu lieu, même en Russie en 2009.

Les moyens techniques traditionnels de protection contre les attaques DDoS seront-ils utiles ?

La particularité des attaques DDoS est qu'elles consistent en de nombreuses requêtes simultanées, dont chacune individuellement est tout à fait « légale » ; de plus, ces requêtes sont envoyées par des ordinateurs (infectés par des robots), qui peuvent très bien appartenir aux utilisateurs réels ou potentiels les plus courants. du service ou de la ressource attaqué. Par conséquent, il est très difficile d’identifier et de filtrer correctement les requêtes qui constituent une attaque DDoS à l’aide d’outils standards. Les systèmes standards de la classe IDS/IPS (Intrusion Detection/Prevention System - un système de détection/prévention des attaques de réseau) ne trouveront pas de « corps du délit » dans ces requêtes, ne comprendront pas qu'ils font partie d'une attaque, à moins qu'ils n'effectuent une analyse qualitative des anomalies de trafic. Et même s'ils le trouvent, filtrer les requêtes inutiles n'est pas non plus si simple : les pare-feu et les routeurs standards filtrent le trafic en fonction de listes d'accès clairement définies (règles de contrôle) et ne savent pas s'adapter « dynamiquement » au profil d'un attaque spécifique. Les pare-feu peuvent réguler les flux de trafic en fonction de critères tels que les adresses sources, les services réseau utilisés, les ports et les protocoles. Mais les internautes ordinaires participent à une attaque DDoS en envoyant des requêtes en utilisant les protocoles les plus courants : un opérateur télécom n'interdirait-il pas tout et tout le monde ? Ensuite, il cessera simplement de fournir des services de communication à ses abonnés et cessera de fournir un accès aux ressources du réseau qu'il dessert, ce que recherche réellement l'initiateur de l'attaque.

De nombreux spécialistes connaissent probablement l'existence de solutions spéciales de protection contre les attaques DDoS, qui consistent à détecter les anomalies dans le trafic, à créer un profil de trafic et un profil d'attaque, puis à suivre un processus de filtrage dynamique du trafic à plusieurs étapes. Et je parlerai également de ces solutions dans cet article, mais un peu plus tard. Tout d'abord, nous parlerons de quelques mesures moins connues, mais parfois assez efficaces, qui peuvent être prises pour supprimer les attaques DDoS par les moyens existants du réseau de données et de ses administrateurs.

Protection contre les attaques DDoS par les moyens disponibles

Il existe de nombreux mécanismes et « astuces » qui permettent, dans certains cas particuliers, de supprimer les attaques DDoS. Certains ne peuvent être utilisés que si le réseau de données est construit sur des équipements d'un fabricant spécifique, d'autres sont plus ou moins universels.

Commençons par les recommandations de Cisco Systems. Les experts de cette société recommandent de fournir une protection pour la fondation du réseau (Network Foundation Protection), qui comprend la protection du niveau d'administration du réseau (Control Plane), du niveau de gestion du réseau (Management Plane) et de la protection du niveau des données du réseau (Data Plane).

Protection du plan de gestion

Le terme « couche d'administration » couvre tout le trafic qui gère ou surveille les routeurs et autres équipements réseau. Ce trafic est dirigé vers le routeur ou provient du routeur. Des exemples d'un tel trafic sont les sessions Telnet, SSH et http(s), les messages Syslog et les interruptions SNMP. Les meilleures pratiques générales incluent :

Assurer une sécurité maximale des protocoles de gestion et de surveillance, grâce au cryptage et à l'authentification :

• le protocole SNMP v3 fournit des mesures de sécurité, tandis que SNMP v1 ne le fournit pratiquement pas et que SNMP v2 ne le fournit que partiellement - les valeurs communautaires par défaut doivent toujours être modifiées ;
• des valeurs différentes pour les communautés publiques et privées doivent être utilisées ;
• le protocole telnet transmet toutes les données, y compris l'identifiant et le mot de passe, en texte clair (si le trafic est intercepté, ces informations peuvent facilement être extraites et utilisées), il est recommandé de toujours utiliser le protocole ssh v2 ;
• de même, au lieu de http, utilisez https pour accéder aux équipements ; contrôle d'accès strict aux équipements, y compris une politique de mot de passe adéquate, une authentification, une autorisation et une comptabilité centralisées (modèle AAA) et une authentification locale à des fins de redondance ;

Mise en œuvre d'un modèle d'accès basé sur les rôles ;

Contrôle des connexions autorisées par adresse source à l'aide de listes de contrôle d'accès ;

Désactiver les services inutilisés, dont beaucoup sont activés par défaut (ou ils ont oublié de les désactiver après avoir diagnostiqué ou configuré le système) ;

Suivi de l'utilisation des ressources matérielles.

Les deux derniers points méritent d’être approfondis.
Certains services activés par défaut ou que l'on oublie de désactiver après la configuration ou le diagnostic de l'équipement peuvent être utilisés par des attaquants pour contourner les règles de sécurité existantes. La liste de ces services est ci-dessous :

• PAD (assembleur/désassembleur de paquets);

Naturellement, avant de désactiver ces services, vous devez soigneusement analyser s'ils sont nécessaires sur votre réseau.

Il est conseillé de surveiller l'utilisation des ressources matérielles. Cela permettra, d'une part, de constater à temps la surcharge des éléments individuels du réseau et de prendre des mesures pour prévenir un accident, et d'autre part, de détecter les attaques DDoS et les anomalies si leur détection n'est pas prévue par des moyens spéciaux. Au minimum, il est recommandé de surveiller :

• Charge du processeur
• utilisation de la mémoire
• encombrement des interfaces du routeur.

La surveillance peut être effectuée « manuellement » (surveillance périodique de l'état de l'équipement), mais il est bien sûr préférable de le faire avec des systèmes spéciaux de surveillance du réseau ou de surveillance de la sécurité de l'information (ces derniers incluent Cisco MARS).

Protection du plan de contrôle

La couche de gestion du réseau comprend tout le trafic de service qui assure le fonctionnement et la connectivité du réseau conformément à la topologie et aux paramètres spécifiés. Des exemples de trafic du plan de contrôle sont : tout le trafic généré par ou destiné au processeur de route (RR), y compris tous les protocoles de routage, dans certains cas les protocoles SSH et SNMP, et ICMP. Toute attaque sur le fonctionnement du processeur de routage, et notamment les attaques DDoS, peut entraîner des problèmes importants et des interruptions du fonctionnement du réseau. Voici les meilleures pratiques pour protéger le plan de contrôle.

Surveillance du plan de contrôle

Elle consiste à utiliser des mécanismes de QoS (Qualité de Service) pour donner une priorité plus élevée au trafic du plan de contrôle qu'au trafic des utilisateurs (dont les attaques font partie). Cela garantira le fonctionnement des protocoles de service et du processeur de routage, c'est-à-dire le maintien de la topologie et de la connectivité du réseau, ainsi que le routage et la commutation réels des paquets.

ACL de réception IP

Cette fonctionnalité permet de filtrer et de contrôler le trafic de service destiné au routeur et au processeur de routage.

• sont appliqués directement sur les équipements de routage avant que le trafic n’atteigne le processeur de routage, assurant ainsi la protection « personnelle » des équipements ;
• sont appliqués une fois que le trafic a traversé les listes de contrôle d'accès normales - ils constituent le dernier niveau de protection sur le chemin vers le processeur de routage ;
• s’appliquent à l’ensemble du trafic (aussi bien interne qu’externe et de transit par rapport au réseau de l’opérateur télécom).

Liste de contrôle d'accès d'infrastructure

En règle générale, l'accès aux adresses propriétaires des équipements de routage n'est nécessaire que pour les hôtes sur le propre réseau de l'opérateur, mais il existe des exceptions (par exemple, eBGP, GRE, tunnels IPv6 sur IPv4 et ICMP). Listes de contrôle d'accès d'infrastructure :

• généralement installé en bordure du réseau de l'opérateur télécom (« à l'entrée du réseau ») ;
• avoir pour objectif d’empêcher des hôtes externes d’accéder aux adresses d’infrastructure de l’opérateur ;
• assurer le transit sans entrave du trafic à travers la frontière du réseau de l’opérateur ;
• fournir des mécanismes de base de protection contre les activités réseau non autorisées décrits dans les RFC 1918, RFC 3330, en particulier la protection contre l'usurpation d'identité (usurpation d'identité, utilisation de fausses adresses IP sources pour se dissimuler lors du lancement d'une attaque).

Authentification du voisin

L'objectif principal de l'authentification de voisin est d'empêcher les attaques impliquant l'envoi de faux messages de protocole de routage afin de modifier le routage dans le réseau. De telles attaques peuvent conduire à une pénétration non autorisée du réseau, à une utilisation non autorisée des ressources du réseau, ainsi qu'à l'interception du trafic par l'attaquant afin d'analyser et d'obtenir les informations nécessaires.

Configuration de BGP

• Filtres de préfixe BGP - utilisés pour garantir que les informations sur les itinéraires du réseau interne de l'opérateur télécom ne se propagent pas à Internet (ces informations peuvent parfois être très utiles pour un attaquant) ;
• limiter le nombre de préfixes pouvant être reçus d'un autre routeur (limitation des préfixes) - utilisé pour se protéger contre les attaques DDoS, les anomalies et les pannes dans les réseaux partenaires de peering ;
• l'utilisation des paramètres de communauté BGP et le filtrage par ceux-ci peuvent également être utilisés pour limiter la distribution des informations de routage ;
• La surveillance BGP et la comparaison des données BGP avec le trafic observé constituent l'un des mécanismes de détection précoce des attaques et anomalies DDoS ;
• filtrage par paramètre TTL (Time-to-Live) - utilisé pour vérifier les partenaires BGP.

Si une attaque BGP n'est pas lancée depuis le réseau du partenaire de peering, mais depuis un réseau plus distant, alors le paramètre TTL pour les paquets BGP sera inférieur à 255. Vous pouvez configurer les routeurs frontaliers de l'opérateur pour qu'ils abandonnent tous les paquets BGP avec un TTL. valeur< 255, а маршрутизаторы пиринг-партнеров наоборот - чтобы они генерировали только BGP-пакеты с параметром TTL=255. Так как TTL при каждом хопе маршрутизации уменьшается на 1, данный нехитрый приём позволит легко избежать атак из-за границ вашего пиринг-партнера.

Protéger le plan de données sur le réseau (Data Plane)

Malgré l'importance de protéger les niveaux d'administration et de gestion, l'essentiel du trafic dans le réseau d'un opérateur télécom est constitué de données, de transit ou destiné aux abonnés de cet opérateur.

Transfert de chemin inverse en monodiffusion (uRPF)

Les attaques sont souvent lancées à l'aide d'une technologie d'usurpation d'identité : les adresses IP sources sont falsifiées afin que la source de l'attaque ne puisse pas être retracée. Les adresses IP usurpées peuvent être :

• à partir de l'espace d'adressage réellement utilisé, mais dans un segment de réseau différent (dans le segment à partir duquel l'attaque a été lancée, ces fausses adresses ne sont pas acheminées) ;
• à partir d'un espace d'adressage inutilisé dans un réseau de transmission de données donné ;
• à partir d'un espace d'adressage qui n'est pas routable sur Internet.

La mise en œuvre du mécanisme uRPF sur les routeurs empêchera le routage de paquets dont les adresses sources sont incompatibles ou inutilisées dans le segment réseau à partir duquel ils sont arrivés à l'interface du routeur. Cette technologie permet parfois de filtrer assez efficacement le trafic indésirable le plus proche de sa source, c'est-à-dire le plus efficacement possible. De nombreuses attaques DDoS (dont les célèbres Smurf et Tribal Flood Network) utilisent le mécanisme d'usurpation d'identité et de changement constant des adresses sources afin de tromper les mesures standards de sécurité et de filtrage du trafic.

L'utilisation du mécanisme uRPF par les opérateurs télécoms fournissant un accès Internet aux abonnés empêchera efficacement les attaques DDoS utilisant une technologie d'usurpation d'identité dirigée par leurs propres abonnés contre les ressources Internet. Ainsi, une attaque DDoS est supprimée au plus près de sa source, c’est-à-dire de la manière la plus efficace.

Trous noirs déclenchés à distance (RTBH)

Les trous noirs contrôlés (trous noirs déclenchés à distance) sont utilisés pour « vider » (détruire, envoyer « nulle part ») le trafic entrant dans le réseau en acheminant ce trafic vers des interfaces spéciales Null 0. Il est recommandé d'utiliser cette technologie à la périphérie du réseau pour vider le réseau. Trafic attaquant contenant des DDoS lorsqu'il entre dans le réseau. La limitation (et importante) de cette méthode est qu'elle s'applique à tout le trafic destiné à un ou plusieurs hôtes spécifiques qui sont la cible de l'attaque. Ainsi, cette méthode peut être utilisée dans les cas où un ou plusieurs hôtes sont soumis à une attaque massive, ce qui pose des problèmes non seulement aux hôtes attaqués, mais également aux autres abonnés et au réseau de l’opérateur télécom dans son ensemble.

Les trous noirs peuvent être gérés manuellement ou via le protocole BGP.

Propagation de la politique QoS via BGP (QPPB)

Le contrôle QoS sur BGP (QPPB) vous permet de gérer les politiques de priorité pour le trafic destiné à un système autonome spécifique ou à un bloc d'adresses IP. Ce mécanisme peut être très utile pour les opérateurs télécoms et les grandes entreprises, notamment pour gérer le niveau de priorité du trafic indésirable ou du trafic contenant une attaque DDoS.

Trous d'évier

Dans certains cas, il n'est pas nécessaire de supprimer complètement le trafic utilisant des trous noirs, mais de le détourner des principaux canaux ou ressources pour une surveillance et une analyse ultérieures. C’est exactement pour cela que les « canaux de dérivation » ou Sink Holes sont conçus.

Les trous d'évier sont utilisés le plus souvent dans les cas suivants :

• détourner et analyser le trafic avec des adresses de destination qui appartiennent à l’espace d’adressage du réseau de l’opérateur télécom, mais qui ne sont pas réellement utilisées (n’ont été attribuées ni aux équipements ni aux utilisateurs) ; un tel trafic est a priori suspect, car il indique souvent des tentatives d'analyse ou de pénétration de votre réseau par un attaquant qui ne dispose pas d'informations détaillées sur sa structure ;
• rediriger le trafic de la cible de l’attaque, qui est une ressource fonctionnant réellement dans le réseau de l’opérateur télécom, pour sa surveillance et son analyse.

Protection DDoS à l'aide d'outils spéciaux

Le concept Cisco Clean Pipes est un pionnier du secteur

Le concept moderne de protection contre les attaques DDoS a été développé (oui, oui, vous ne serez pas surpris ! :)) par Cisco Systems. Le concept développé par Cisco s'appelle Cisco Clean Pipes. Le concept, développé en détail il y a près de 10 ans, décrivait en détail les principes et technologies de base de la protection contre les anomalies de circulation, dont la plupart sont encore utilisés aujourd'hui, y compris par d'autres fabricants.

Le concept Cisco Clean Pipes implique les principes suivants pour détecter et atténuer les attaques DDoS.

Des points (tronçons de réseau) sont sélectionnés dont le trafic est analysé pour identifier les anomalies. Selon ce que nous protégeons, ces points peuvent être des connexions de peering d'un opérateur télécom avec des opérateurs de niveau supérieur, des points de connexion d'opérateurs ou d'abonnés de niveau inférieur, des canaux reliant les centres de traitement de données au réseau.

Des détecteurs spéciaux analysent le trafic à ces points, construisent (étudient) un profil de trafic dans son état normal, et lorsqu'une attaque DDoS ou une anomalie apparaît, ils la détectent, étudient et forment dynamiquement ses caractéristiques. Ensuite, les informations sont analysées par l'opérateur système et le processus de suppression de l'attaque est lancé en mode semi-automatique ou automatique. La suppression consiste à rediriger dynamiquement le trafic destiné à la « victime » via un dispositif de filtrage, où les filtres générés par le détecteur sont appliqués à ce trafic et reflètent la nature individuelle de cette attaque. Le trafic libéré est introduit dans le réseau et envoyé au destinataire (c'est pourquoi le nom Clean Pipes est apparu - l'abonné reçoit un « canal propre » qui ne contient pas d'attaque).

Ainsi, l'ensemble du cycle de protection contre les attaques DDoS comprend les principales étapes suivantes :

• Formation aux caractéristiques de contrôle du trafic (profilage, Baseline Learning)
• Détection des attaques et anomalies (Détection)
• Rediriger le trafic pour passer par un dispositif de nettoyage (Déviation)
• Filtrage du trafic pour supprimer les attaques (atténuation)
• Réinjecter du trafic dans le réseau et l'envoyer au destinataire (Injection).

Plusieurs fonctionnalités.
Deux types d'appareils peuvent être utilisés comme détecteurs :

• Les détecteurs fabriqués par Cisco Systems sont des modules de services de détection d'anomalies de trafic Cisco, conçus pour être installés dans le châssis Cisco 6500/7600.
• Les détecteurs fabriqués par Arbor Networks sont des appareils Arbor Peakflow SP CP.

Vous trouverez ci-dessous un tableau comparant les détecteurs Cisco et Arbor.

Paramètre	Détecteur d'anomalies de trafic Cisco	Arbor Peakflow SP CP
Obtention d'informations sur le trafic pour analyse	Utilise une copie du trafic alloué au châssis Cisco 6500/7600	Les données de trafic Netflow reçues des routeurs sont utilisées ; l'échantillonnage peut être ajusté (1 : 1, 1 : 1 000, 1 : 10 000, etc.)
Principes d'identification utilisés	Analyse des signatures (détection des abus) et détection des anomalies (dynamiqueprofilage)	Principalement détection d’anomalies ; l'analyse des signatures est utilisée, mais les signatures sont de nature générale
Facteur de forme	modules de service dans le châssis Cisco 6500/7600	appareils séparés (serveurs)
Performance	Le trafic jusqu'à 2 Gbit/s est analysé	Pratiquement illimité (la fréquence d'échantillonnage peut être réduite)
Évolutivité	Installation jusqu'à 4 modulesCiscoDétecteurS.M.dans un seul châssis (cependant, les modules fonctionnent indépendamment les uns des autres)	Possibilité d'utiliser plusieurs appareils au sein d'un même système d'analyse, dont un doté du statut Leader
Surveillance du trafic réseau et du routage	Il n'y a pratiquement aucune fonctionnalité	La fonctionnalité est très développée. De nombreux opérateurs de télécommunications achètent Arbor Peakflow SP en raison de ses fonctionnalités approfondies et sophistiquées de surveillance du trafic et du routage dans le réseau.
Mise à disposition d'un portail (une interface individuelle pour un abonné qui permet de surveiller uniquement la partie du réseau qui lui est directement liée)	Non fourni	Fourni. C’est un sérieux avantage de cette solution, puisque l’opérateur télécom peut vendre des services individuels de protection DDoS à ses abonnés.
Dispositifs de nettoyage du trafic compatibles (suppression des attaques)	Cisco Module de services de garde	Arbor Peakflow SP TMS ; Module de services de garde Cisco.
	Protéger les centres de données lorsqu'ils sont connectés à Internet Surveillance des connexions aval des réseaux d'abonnés au réseau de l'opérateur télécom	Détection des attaques suren amont-les connexions du réseau de l'opérateur télécom aux réseaux des fournisseurs de niveau supérieur Surveillance du backbone des opérateurs télécoms

La dernière ligne du tableau présente des scénarios d'utilisation des détecteurs de Cisco et d'Arbor, recommandés par Cisco Systems. Ces scénarios sont représentés dans le diagramme ci-dessous.

En tant que dispositif de nettoyage du trafic, Cisco recommande d'utiliser le module de service Cisco Guard, installé dans le châssis Cisco 6500/7600 et, sur commande reçue du détecteur Cisco ou du CP Arbor Peakflow SP, le trafic est redirigé, nettoyé et réinjecté de manière dynamique dans le réseau. Les mécanismes de redirection sont soit des mises à jour BGP vers les routeurs en amont, soit des commandes de contrôle directes vers le superviseur à l'aide d'un protocole propriétaire. Lors de l'utilisation des mises à jour BGP, le routeur en amont reçoit une nouvelle valeur de prochain saut pour le trafic contenant l'attaque, afin que ce trafic soit dirigé vers le serveur de nettoyage. Parallèlement, il faut veiller à ce que ces informations ne conduisent pas à l'organisation d'une boucle (afin que le routeur aval, en y entrant du trafic libéré, n'essaye pas de renvoyer ce trafic vers le dispositif de compensation) . Pour ce faire, des mécanismes peuvent être utilisés pour contrôler la distribution des mises à jour BGP à l'aide du paramètre de communauté, ou l'utilisation de tunnels GRE lors de l'entrée du trafic autorisé.

Cet état de fait existait jusqu'à ce qu'Arbor Networks élargisse considérablement la gamme de produits Peakflow SP et commence à entrer sur le marché avec une solution totalement indépendante de protection contre les attaques DDoS.

Arbor Peakflow SP TMS introduit

Il y a plusieurs années, Arbor Networks a décidé de développer sa gamme de produits de protection contre les attaques DDoS de manière indépendante et quels que soient le rythme et la politique de développement de Cisco dans ce domaine. Les solutions Peakflow SP CP présentaient des avantages fondamentaux par rapport à Cisco Detector, car elles analysaient les informations de flux avec la capacité de réguler la fréquence d'échantillonnage, et n'avaient donc aucune restriction d'utilisation dans les réseaux des opérateurs télécoms et sur les canaux principaux (contrairement à Cisco Detector, qui analyse une copie de trafic ). En outre, un avantage majeur de Peakflow SP était la possibilité pour les opérateurs de vendre à leurs abonnés un service individuel de surveillance et de protection de leurs segments de réseau.

En raison de ces considérations et d’autres, Arbor a considérablement élargi sa gamme de produits Peakflow SP. Un certain nombre de nouveaux appareils sont apparus :

Peakflow SP TMS (système de gestion des menaces)- supprime les attaques DDoS grâce à un filtrage à plusieurs étapes basé sur les données obtenues de Peakflow SP CP et du laboratoire ASERT, propriété d'Arbor Networks, qui surveille et analyse les attaques DDoS sur Internet ;

Peakflow SP BI (Intelligence économique)- des dispositifs qui assurent la mise à l'échelle du système, augmentant le nombre d'objets logiques à surveiller et assurant la redondance des données collectées et analysées ;

Peakflow SP PI (interface de portail)- des dispositifs permettant d'augmenter le nombre d'abonnés disposant d'une interface individuelle pour gérer leur propre sécurité ;

Peakflow SP FS (Censeur de débit)- des appareils qui assurent la surveillance des routeurs des abonnés, des connexions aux réseaux en aval et aux centres de données.

Les principes de fonctionnement du système Arbor Peakflow SP restent essentiellement les mêmes que ceux de Cisco Clean Pipes. Cependant, Arbor développe et améliore régulièrement ses systèmes. Ainsi, pour le moment, la fonctionnalité des produits Arbor est meilleure à bien des égards que celle de Cisco, y compris la productivité. .

Aujourd'hui, les performances maximales de Cisco Guard peuvent être obtenues en créant un cluster de 4 modules Guard dans un châssis Cisco 6500/7600, alors qu'un clustering complet de ces périphériques n'est pas implémenté. Dans le même temps, les meilleurs modèles Arbor Peakflow SP TMS ont des performances allant jusqu'à 10 Gbit/s et peuvent à leur tour être mis en cluster.

Après qu'Arbor ait commencé à se positionner comme un acteur indépendant sur le marché de la détection et de la suppression des attaques DDoS, Cisco a commencé à rechercher un partenaire qui lui fournirait la surveillance indispensable des données de flux de trafic réseau, mais ne serait pas un partenaire direct. concurrent. Une telle entreprise était Narus, qui produit des systèmes de surveillance du trafic basés sur des données de flux (NarusInsight) et a conclu un partenariat avec Cisco Systems. Cependant, ce partenariat n'a pas connu de développement ni de présence sérieux sur le marché. De plus, selon certains rapports, Cisco n'envisagerait pas d'investir dans ses solutions Cisco Detector et Cisco Guard, laissant ce créneau à Arbor Networks.

Quelques fonctionnalités des solutions Cisco et Arbor

Il convient de noter certaines fonctionnalités des solutions Cisco et Arbor.

1. Cisco Guard peut être utilisé conjointement avec un détecteur ou indépendamment. Dans ce dernier cas, il est installé en mode en ligne et remplit les fonctions de détecteur, analysant le trafic et, si nécessaire, active les filtres et efface le trafic. L'inconvénient de ce mode est que, d'une part, un point de défaillance potentiel supplémentaire est ajouté, et d'autre part, un retard de trafic supplémentaire (bien qu'il soit faible jusqu'à ce que le mécanisme de filtrage soit activé). Le mode recommandé pour Cisco Guard consiste à attendre une commande pour rediriger le trafic contenant une attaque, le filtrer et le réintroduire dans le réseau.
2. Les appareils Arbor Peakflow SP TMS peuvent également fonctionner en mode hors rampe ou en ligne. Dans le premier cas, l'appareil attend passivement une commande pour rediriger le trafic contenant l'attaque afin de l'effacer et de le réintroduire dans le réseau. Dans le second, il fait passer tout le trafic par lui-même, génère des données basées sur celui-ci au format Arborflow et les transfère vers Peakflow SP CP pour analyse et détection des attaques. Arborflow est un format similaire à Netflow, mais modifié par Arbor pour ses systèmes Peakflow SP. La surveillance du trafic et la détection des attaques sont effectuées par Peakflow SP CP sur la base des données Arborflow reçues de TMS. Lorsqu'une attaque est détectée, l'opérateur Peakflow SP CP donne une commande pour la supprimer, après quoi TMS active les filtres et supprime le trafic de l'attaque. Contrairement à Cisco, le serveur Peakflow SP TMS ne peut pas fonctionner de manière autonome ; son fonctionnement nécessite un serveur Peakflow SP CP, qui analyse le trafic.
3. Aujourd'hui, la plupart des experts s'accordent sur le fait que les tâches de protection des sections locales du réseau (par exemple, la connexion des centres de données ou la connexion des réseaux en aval) sont efficaces.

Les attaques par déni de service distribué, ou DDoS en abrégé, sont devenues un phénomène courant et un casse-tête majeur pour les propriétaires de ressources Internet du monde entier. C'est pourquoi la protection contre les attaques DDoS sur un site Web n'est aujourd'hui pas une option supplémentaire, mais une condition préalable pour ceux qui veulent éviter des temps d'arrêt, des pertes énormes et une réputation ternie.

Nous vous expliquerons plus en détail ce qu'est cette maladie et comment vous en protéger.

Qu'est-ce que le DDoS

Le Déni de Service Distribué ou « Déni de Service Distribué » est une attaque contre un système d'information afin qu'il soit incapable de traiter les requêtes des utilisateurs. En termes simples, le DDoS consiste à surcharger une ressource Web ou un serveur avec du trafic provenant d'un grand nombre de sources, le rendant ainsi indisponible. Souvent, une telle attaque est menée pour provoquer des interruptions dans le fonctionnement des ressources réseau dans une grande entreprise ou une organisation gouvernementale.

Une attaque DDoS est similaire à une autre menace Web courante, le déni de service (DoS). La seule différence est qu’une attaque distribuée typique provient d’un point précis, tandis qu’une attaque DDos est plus répandue et provient de différentes sources.

L'objectif principal d'une attaque DDoS est de rendre un site Web inaccessible aux visiteurs en bloquant son fonctionnement. Mais il existe des cas où de telles attaques sont menées afin de détourner l'attention d'autres influences néfastes. Une attaque DDoS peut par exemple être menée lorsqu'un système de sécurité est compromis afin de s'emparer de la base de données d'une organisation.

Les attaques DDoS ont attiré l'attention du public en 1999, lorsqu'une série d'attaques ont eu lieu sur les sites Web de grandes entreprises (Yahoo, eBay, Amazon, CNN). Depuis lors, ce type de cybercriminalité est devenu une menace mondiale. Selon les experts, ces dernières années, leur fréquence a augmenté de 2,5 fois et la puissance maximale a commencé à dépasser 1 Tbit/s. Une entreprise russe sur six a été victime au moins une fois d’une attaque DDoS. D’ici 2020, leur nombre total atteindra 17 millions.

Une plateforme d'hébergement avec une protection 24h/24 et 7j/7 contre les attaques DDoS les plus sophistiquées.

Raisons des attaques DDoS

1. Animosité personnelle. Cela encourage souvent les attaquants à attaquer les entreprises ou les sociétés gouvernementales. Par exemple, en 1999, les sites Web du FBI ont été attaqués, provoquant leur fermeture pendant plusieurs semaines. Cela s'est produit parce que le FBI a lancé un raid à grande échelle contre les pirates informatiques.
2. Protestation politique. En règle générale, ces attaques sont menées par des hacktivistes, des informaticiens ayant des opinions radicales sur la protestation civile. Un exemple bien connu est une série de cyberattaques contre des agences gouvernementales estoniennes en 2007. Leur raison probable était la possibilité de démolition du monument au soldat libérateur à Tallinn.
3. Divertissement. Aujourd’hui, de plus en plus de personnes s’intéressent aux DDoS et souhaitent s’y essayer. Les pirates informatiques débutants lancent souvent des attaques pour le plaisir.
4. Extorsion et chantage. Avant de lancer une attaque, le pirate informatique contacte le propriétaire de la ressource et demande une rançon.
5. Concours. Des attaques DDoS peuvent être commandées auprès d’une entreprise peu scrupuleuse afin d’influencer ses concurrents.

Qui sont les victimes potentielles ?

Les DDoS peuvent détruire des sites de toute taille, des blogs ordinaires aux plus grandes entreprises, banques et autres institutions financières.

Selon une étude menée par Kaspersky Lab, une attaque pourrait coûter jusqu'à 1,6 million de dollars à une entreprise. Il s'agit de dommages sérieux, car la ressource Web attaquée ne peut pas être entretenue pendant un certain temps, ce qui entraîne un temps d'arrêt.

Le plus souvent, les sites Web et les serveurs subissent des attaques DDoS :

• grandes entreprises et agences gouvernementales;
• institutions financières (banques, sociétés de gestion) ;
• services de bons de réduction;
• établissements médicaux;
• systèmes de paiement;
• Agrégateurs de médias et d'informations ;
• boutiques en ligne et entreprises de commerce électronique ;
• jeux et services de jeux en ligne;
• échanges de crypto-monnaie.

Il n’y a pas si longtemps, les équipements connectés à Internet, collectivement appelés « Internet des objets » (IoT), ont été ajoutés à la triste liste des victimes fréquentes des attaques DDoS. La plus grande dynamique de croissance dans ce domaine est illustrée par les cyberattaques visant à perturber les caisses enregistreuses en ligne des grands magasins ou des centres commerciaux.

Mécanisme de fonctionnement

Tous les serveurs Web ont leurs limites quant au nombre de requêtes qu'ils peuvent traiter simultanément. De plus, il existe une limite sur la bande passante du canal reliant le réseau et le serveur. Pour contourner ces restrictions, les attaquants créent un réseau informatique contenant des logiciels malveillants, appelé « botnet » ou « réseau zombie ».

Pour créer un botnet, les cybercriminels diffusent le cheval de Troie via des newsletters par courrier électronique, sur les réseaux sociaux ou sur des sites Web. Les ordinateurs inclus dans un botnet n’ont aucune connexion physique entre eux. Ils ne sont unis que par le fait de « servir » les objectifs du propriétaire du hacker.

Lors d’une attaque DDoS, un pirate informatique envoie des commandes à des ordinateurs zombies « infectés » et ceux-ci lancent une attaque. Les botnets génèrent une énorme quantité de trafic qui peut surcharger n’importe quel système. Les principaux « objets » DDoS sont généralement la bande passante du serveur, le serveur DNS et la connexion Internet elle-même.

Signes d'une attaque DDoS

Lorsque les actions des attaquants atteignent leur objectif, cela peut être instantanément déterminé par des défaillances dans le fonctionnement du serveur ou de la ressource qui y est hébergée. Mais il existe un certain nombre de signes indirects permettant de détecter dès le début une attaque DDoS.

• Le logiciel serveur et le système d'exploitation démarrent fréquemment et clairement un échec- geler, éteindre incorrectement, etc.
capacité matérielle serveur, ce qui diffère fortement de la moyenne quotidienne.
• Augmentation rapide entranttrafic dans un ou plusieurs ports.
• À plusieurs reprises actions dupliquées du même type clients sur une seule ressource (accéder à un site Web, télécharger un fichier).
• Lors de l'analyse des journaux (journaux d'actions des utilisateurs) d'un serveur, d'un pare-feu ou de périphériques réseau, il a été révélé beaucoup de demandes même type provenant de sources différentes à une port ou service. Il faut particulièrement se méfier si l'audience des requêtes diffère fortement de la cible du site ou du service.

Classification des types d'attaques DDoS

Offensive protocolaire (couche transport)

Une attaque DDoS vise la couche réseau d'un serveur ou d'une ressource Web. Elle est donc souvent appelée attaque de couche réseau ou de couche de transport. Son objectif est de surcharger l'espace table d'un pare-feu basé sur les journaux, d'un réseau central ou d'un système d'équilibrage de charge.

La méthode DDoS la plus courante au niveau de la couche transport est inondation du réseau, créant un énorme flux de requêtes factices à différents niveaux que le nœud récepteur ne peut physiquement pas gérer.

En règle générale, un service réseau utilise une règle FIFO, ce qui signifie que l'ordinateur ne traite pas une deuxième requête tant qu'il n'a pas traité la première. Mais lors d’une attaque, le nombre de requêtes augmente tellement que l’appareil ne dispose pas de suffisamment de ressources pour répondre à la première requête. En conséquence, les inondations saturent autant que possible la bande passante et obstruent complètement tous les canaux de communication.

Types courants d’inondation de réseau

• Inondation HTTP- une masse de messages HTTP réguliers ou cryptés sont envoyés au serveur attaqué, obstruant les noeuds de communication.
• Inondation ICMP- le botnet de l'attaquant surcharge la machine hôte de la victime de requêtes de service, auxquelles il est obligé de fournir des réponses d'écho. Un exemple particulier de ce type d'attaque est P.inondation ou attaque Schtroumpf, lorsque les canaux de communication sont remplis de requêtes ping utilisées pour vérifier la disponibilité d'un nœud du réseau. C'est précisément en raison de la menace d'inondation ICMP que les administrateurs système bloquent souvent complètement la possibilité d'effectuer des requêtes ICMP à l'aide d'un pare-feu.
• Inondation SYN- l'attaque affecte l'un des mécanismes de base du protocole TCP, connu sous le nom de principe du « triple handshake » (algorithme requête-réponse : paquet SYN – paquet SYN-ACK – paquet ACK). La victime est bombardée d’un flot de fausses requêtes SYN sans réponse. Le canal de l'utilisateur est obstrué par une file d'attente de connexions TCP provenant de connexions sortantes en attente d'un paquet ACK de réponse.
• Inondation UDP- des ports aléatoires de la machine hôte de la victime sont inondés de paquets UDP dont les réponses surchargent les ressources du réseau. Un type d'inondation UDP dirigé vers un serveur DNS est appelé Inondation DNS.
• Inondation MAC- la cible est un équipement réseau dont les ports sont obstrués par des flux de paquets « vides » avec des adresses MAC différentes. Pour se protéger contre ce type d'attaques DDoS, les commutateurs réseau sont configurés pour vérifier la validité et filtrer les adresses MAC.

Attaques de la couche application (couche infrastructure)

Cette variante est utilisée lorsqu'il est nécessaire de saisir ou de désactiver des ressources matérielles. La cible des « raiders » peut être à la fois physique et RAM ou temps processeur.

Il n'est pas nécessaire de surcharger la bande passante. Il suffit simplement de surcharger le processeur de la victime ou, en d'autres termes, de prendre tout le temps de traitement.

Types d'attaques DDoS au niveau des applications

• Expédition "lourdX"paquets, venant directement au processeur. L'appareil ne peut pas gérer des calculs complexes et commence à tomber en panne, empêchant ainsi les visiteurs d'accéder au site.
• A l'aide d'un script, le serveur est rempli contenu « poubelle »- fichiers journaux, « commentaires des utilisateurs », etc. Si l'administrateur système n'a pas fixé de limite sur le serveur, un pirate informatique peut créer d'énormes lots de fichiers qui rempliront tout le disque dur.
• Problèmes avec Système de quotas. Certains serveurs utilisent une interface CGI (Common Gateway Interface) pour communiquer avec des programmes externes. En accédant à CGI, un attaquant peut écrire son propre script, qui utilisera certaines ressources, par exemple le temps processeur, dans son intérêt.
• Chèque incomplet données des visiteurs. Cela conduit également à une utilisation prolongée, voire infinie, des ressources du processeur jusqu'à épuisement de celles-ci.
• Attaque du deuxième type. Cela provoque une fausse alarme dans le système de sécurité, qui peut automatiquement fermer la ressource au monde extérieur.

Attaques au niveau des applications

Une attaque DDoS au niveau de l'application profite des omissions dans la création du code du programme, ce qui rend le logiciel vulnérable aux influences externes. Ce type inclut une attaque aussi courante que « Ping of death » - envoi massif de paquets ICMP plus longs à l'ordinateur de la victime, provoquant un débordement de tampon.

Mais les pirates professionnels ont rarement recours à une méthode aussi simple que la surcharge des canaux de bande passante. Pour attaquer les systèmes complexes des grandes entreprises, ils essaient de comprendre pleinement la structure du système du serveur et d'écrire un exploit - un programme, une chaîne de commandes ou une partie de code de programme qui prend en compte la vulnérabilité du logiciel de la victime et est utilisé pour attaquer. l'ordinateur.

Attaques DNS

1. Le premier groupe s'adresse à vulnérabilitéet enPAR Serveurs DNS. Il s’agit notamment de types courants de cybercriminalité tels que les attaques Zero-day et le Fast Flux DNS.
   L’un des types d’attaques DNS les plus courants est appelé DNS-Spoofing. Pendant ce temps, les attaquants remplacent l'adresse IP dans le cache du serveur, redirigeant l'utilisateur vers une fausse page. Pendant la transition, le criminel accède aux données personnelles de l’utilisateur et peut les utiliser à son avantage. Par exemple, en 2009, en raison d’une usurpation d’enregistrement DNS, les utilisateurs n’ont pas pu accéder à Twitter pendant une heure. Cette attaque était de nature politique. Les attaquants ont installé des avertissements de pirates informatiques iraniens liés à l'agression américaine sur la page principale du réseau social.
2. Le deuxième groupe est celui des attaques DDoS, qui conduisent à Inopérabilité du DNS-les serveurs. En cas d'échec, l'utilisateur ne pourra pas accéder à la page souhaitée, puisque le navigateur ne trouvera pas l'adresse IP spécifique à un site particulier.

Prévention et protection contre les attaques DDoS

Selon Corero Network Security, plus des ⅔ de toutes les entreprises dans le monde sont soumises chaque mois à des attaques par refus d'accès. De plus, leur nombre atteint 50.

Les propriétaires de sites Web qui ne protègent pas leurs serveurs contre les attaques DDoS risquent non seulement de subir d'énormes pertes, mais également de perdre la confiance des clients ainsi que leur compétitivité sur le marché.

Le moyen le plus efficace de se protéger contre les attaques DDoS consiste à installer des filtres par le fournisseur sur les canaux Internet à haut débit. Ils effectuent une analyse cohérente de tout le trafic et identifient les activités ou erreurs réseau suspectes. Les filtres peuvent être installés à la fois au niveau du routeur et à l'aide de périphériques matériels spéciaux.

Méthodes de protection

1. Même au stade de l'écriture du logiciel, il faut penser à la sécurité du site. Soigneusement vérifie le logiciel pour les erreurs et les vulnérabilités.
2. Régulièrement mettre à jour le logiciel, et offre également la possibilité de revenir à l'ancienne version en cas de problèmes.
3. Suivre restriction d'accès. Les services liés à l'administration doivent être complètement fermés à l'accès des tiers. Protégez votre compte administrateur avec des mots de passe forts et changez-les souvent. Supprimez rapidement les comptes des employés qui ont démissionné.
4. Accès à interface d'administration doit être effectué exclusivement depuis le réseau interne ou via VPN.
5. Analysez le système pour présence de vulnérabilités. Les vulnérabilités les plus dangereuses sont régulièrement publiées par le classement faisant autorité OWASP Top 10.
6. Appliquer pare-feu d'applications- WAF (pare-feu d'applications Web). Il examine le trafic transmis et contrôle la légitimité des demandes.
7. Utiliser CDN(Réseau de diffusion de contenu). Il s'agit d'un réseau de diffusion de contenu fonctionnant à l'aide d'un réseau distribué. Le trafic est trié sur plusieurs serveurs, ce qui réduit la latence lors de l'accès des visiteurs.
8. Contrôlez le trafic entrant avec listes de contrôle d'accès (ACL), qui indiquera une liste des personnes ayant accès à l'objet (programme, processus ou fichier), ainsi que leurs rôles.
9. Peut bloquer le trafic, qui provient d’appareils attaquants. Cela se fait de deux manières : en utilisant des pare-feu ou des ACL. Dans le premier cas, un flux spécifique est bloqué, mais les écrans ne parviennent pas à séparer le trafic « positif » du trafic « négatif ». Et dans le second, les protocoles mineurs sont filtrés. Par conséquent, cela ne sera pas utile si le pirate informatique utilise des requêtes prioritaires.
10. Pour vous protéger contre l'usurpation d'identité DNS, vous devez périodiquement vider le cache DNS.
11. Utiliser protection contre les robots spammeurs- captcha, délais « humains » de remplissage des formulaires, reCaptcha (cocher « Je ne suis pas un robot »), etc.
12. Attaque inversée. Tout le trafic malveillant est redirigé vers l'attaquant. Cela aidera non seulement à repousser une attaque, mais également à détruire le serveur de l’attaquant.
13. Placement de ressources sur plusieurs serveurs indépendants. Si un serveur tombe en panne, les autres assureront le fonctionnement.
14. Utilisation éprouvée protection du matériel contre les attaques DDoS. Par exemple, Impletec iCore ou DefensePro.
15. Choisissez un fournisseur d'hébergement qui coopère avec fournisseur fiable services de cybersécurité. Parmi les critères de fiabilité, les experts soulignent : la présence de garanties de qualité, la fourniture d'une protection contre l'éventail le plus complet de menaces, un support technique 24 heures sur 24, la transparence (accès client aux statistiques et analyses) et l'absence de tarifs pour le trafic malveillant. .

Conclusion

Dans cet article, nous avons examiné ce que signifie une attaque DDoS et comment protéger votre site Web contre les attaques. Il est important de se rappeler que de telles actions malveillantes peuvent détruire même les ressources Web les plus sûres et les plus volumineuses. Cela entraînera de graves conséquences sous la forme d'énormes pertes et de pertes de clients. C'est pourquoi protéger vos ressources contre les attaques DDoS est une tâche urgente pour toutes les structures commerciales et agences gouvernementales.

Si vous souhaitez un niveau de protection professionnel contre les attaques DDoS, choisissez ! Surveillance constante et assistance technique 24h/24 et 7j/7.