En octobre 2016, le fournisseur de services DNS Dyn a été ciblé par une attaque de déni de service distribué (DDoS) par une armée d'appareils IoT spécialement piratés. Plus de 14,000 XNUMX domaines utilisant les services de Dyn ont été saturés et inaccessibles, y compris de grands noms comme Amazon, HBO et PayPal.
Selon une étude de Cloudflare, le coût moyen des pannes d'infrastructure pour les entreprises est de 100,000 75,000 dollars (XNUMX XNUMX £) à l'époque. Alors, comment pouvez-vous vous assurer que votre organisation ne sera pas victime de ce type d'attaque? Dans ce guide, vous découvrirez les principaux fournisseurs d'infrastructure dotés de la puissance numérique pour se protéger contre les attaques conçues pour surcharger la capacité de votre réseau.
Vous découvrirez également quels fournisseurs peuvent offrir une protection contre des attaques d'applications plus sophistiquées (couche 7), ce qui peut être fait sans un grand nombre d'ordinateurs piratés (parfois appelés botnets).
1. Projet Shield
Protection puissante contre les attaques Google DDoS, mais tout le monde n'est pas invité
Profitez de l'infrastructure de Google.
Configuration très simple
Disponible uniquement pour certains sites Web
Project Shield est le fruit de Jigsaw, une filiale de Google, Alphabet. Le développement a commencé il y a plusieurs années sous George Conard, à la suite d'attaques contre des sites d'observation des élections et des droits de l'homme en Ukraine.
Project Shield peut filtrer le trafic malveillant potentiel en agissant comme un proxy inverse entre un site Web et Internet plus large, filtrant les demandes de connexion. Si une connexion semble provenir d'un visiteur légitime, Project Shield autorise la demande de connexion. Si une demande de connexion est considérée comme mauvaise, par exemple plusieurs tentatives de connexion à partir de la même adresse IP, elle est bloquée. Ce système rend Project Shield extrêmement facile à mettre en œuvre en modifiant simplement les paramètres DNS de vos serveurs.
Quiconque sait lire peut se demander comment le filtrage du trafic via un proxy avec SSL fonctionnera. Heureusement, Jigsaw a pensé à cela et a mis au point un tutoriel complet pour garantir que les connexions sécurisées à votre site fonctionnent correctement. Divers autres tutoriels sont également disponibles dans la section support.
Actuellement, Project Shield n'est disponible que pour les sites Web consacrés aux médias, à la surveillance des élections et aux droits de l'homme. L'accent est également mis sur les sites Web de petite taille et sous-financés qui ne peuvent pas se permettre des solutions d'hébergement coûteuses pour se protéger des attaques DDoS. Si votre organisation ne répond pas à ces exigences, vous devrez peut-être envisager une autre solution, telle que Cloudflare.
2. Cloudflare
Le monstre de la protection DDoS.
Leader de l'industrie des solutions DoS.
Le niveau gratuit comprend une protection de base.
Les forfaits affaires sont relativement chers
Quiconque a utilisé Internet ces dernières années connaîtra Cloudflare car de nombreux sites Web majeurs utilisent sa protection. Bien que Cloudflare soit basé aux États-Unis, il gère 165 centres de données dans le monde, une infrastructure comparable à Google. Cela maximise les chances que vos sites restent en ligne.
Chaque utilisateur de Cloudflare peut choisir d'activer le mode «Je suis attaqué», qui peut se protéger contre les attaques par déni de service les plus sophistiquées en présentant un défi Javascript. Cloudflare agit également généralement comme un proxy inverse entre les visiteurs et l'hôte de votre site pour filtrer le trafic de la même manière que Jigsaw Project Shield. En mars 2019, Spectrum for UDP a été introduit, offrant une protection contre les attaques DDoS et un pare-feu pour les protocoles non fiables.
Les visiteurs qui font des demandes de connexion doivent exécuter un gant sophistiqué de filtres, y compris la réputation du site, si leur adresse IP est sur liste noire et si l'en-tête HTTP semble suspect. Les requêtes HTTP sont des empreintes digitales pour se protéger contre les réseaux zombies connus. En tant que géant de l'industrie, Cloudflare peut facilement tirer parti de sa position en partageant des informations sur plus de 7 millions de sites Web.
Cloudflare propose un forfait de base gratuit qui inclut une limitation des attaques DDoS sans mesure. Pour ceux qui sont prêts à payer pour un abonnement professionnel à Cloudflare (les prix commencent à 200 $ ou 149 £ par mois), une protection plus avancée est disponible, comme le téléchargement de certificats SSL personnalisés.
3. AWS Shield
Excellente atténuation de base des attaques DDoS avec plus
Le niveau standard gratuit protège contre les attaques les plus courantes.
Installation facile
Le niveau avancé est très cher
AWS Shield Protection est fourni par des personnes compétentes dans les services Web d'Amazon. Le niveau «Standard» est disponible sans frais supplémentaires pour tous les clients AWS. C'est idéal car de nombreuses petites entreprises choisissent d'héberger leurs sites Web avec Amazon. AWS Shield Standard est disponible pour tous les clients sans frais supplémentaires. Protège contre les attaques de réseau (couche 3) et de transport (couche 4) plus classiques lors de l'utilisation des services Cloud Front et Route 53 d'Amazon.
Cela devrait dissuader tout le monde sauf les pirates les plus déterminés. Cependant, votre bande passante, par exemple 15 Gbit / s, sera toujours limitée par la taille de votre instance Amazon, ce qui permettra aux pirates de lancer une attaque de type DoS s'ils disposent de suffisamment de ressources. Pire encore, vous êtes toujours responsable du paiement du trafic supplémentaire vers votre instance.
Pour atténuer cela, Amazon propose également AWS Shield Advanced. Un abonnement comprend une protection des coûts contre les attaques DDoS, ce qui peut vous éviter une forte augmentation de votre facture mensuelle si vous êtes victime d'une attaque. AWS Shield Advanced peut également déployer vos listes de contrôle d'accès (ACL) à la périphérie du réseau AWS, vous protégeant ainsi contre les attaques les plus importantes.
Les abonnés avancés bénéficient également d'un DRT (DDoS Response Team) 24h / 3,000, ainsi que de mesures détaillées de toutes les attaques sur leurs instances. Cependant, l'esprit offert par AWS Shield Advanced est cher. Vous devez être prêt à vous abonner pendant au moins un an au prix de 2,200 XNUMX $ (XNUMX XNUMX £) par mois. Cela s'ajoute aux coûts d'utilisation du transfert de données que vous pouvez couvrir «payer à l'utilisation».
4.Microsoft Azure
Excellente protection de base avec un niveau de paiement abordable.
La protection standard est extrêmement simple à configurer
Atténuation automatisée des menaces
Couverture DDoS protectrice pour toutes les ressources.
Comme Amazon, Microsoft offre la possibilité de louer des espaces de service via son service Azure. Tous les membres bénéficient d'une protection de base contre les attaques DDoS. Les fonctionnalités incluent toujours la surveillance du trafic et l'atténuation des attaques réseau en temps réel (couche 3) pour toutes les adresses IP publiques que vous utilisez. Il s'agit du même type de protection que les services en ligne de Microsoft, et toutes les ressources du réseau Azure peuvent être utilisées pour absorber les attaques DDoS.
Pour les entreprises qui ont besoin d'une protection plus sophistiquée, Azure propose également un niveau «Standard». Cela a été largement salué pour être très facile à activer, ne nécessitant que quelques clics de souris. Plus important encore, Azure ne vous oblige pas à modifier vos applications, bien que le niveau standard offre une protection contre les attaques DDoS par les applications (couche 7) via le pare-feu d'application Web de la passerelle d'application. Azure Monitor peut vous montrer des statistiques en temps réel si une attaque se produit. Ceux-ci sont conservés pendant 30 jours et peuvent être exportés pour une étude plus approfondie si vous le souhaitez.
Azure vérifie en permanence le trafic Web sur vos ressources. Si ceux-ci dépassent un seuil prédéfini, l'atténuation DDoS démarre automatiquement. Cela comprend l'inspection des emballages pour s'assurer qu'ils ne sont pas mal formés ou contrefaits, ainsi que l'utilisation de la limitation du débit.
La protection standard est actuellement de 2,944 2,204 $ US (100 XNUMX £) par mois, plus les frais de données pour jusqu'à XNUMX ressources. La protection s'applique également à toutes les ressources. En d'autres termes, vous ne pouvez pas personnaliser les mesures d'atténuation des attaques DDoS.
5. Protection DDoS Verisign
La meilleure protection contre les attaques DDoS des vétérans de la sécurité.
Facile à installer via DNS
Centres de buanderie dédiés à la protection contre les agressions.
Peut être déployé sur site
L'interface prend du temps à maîtriser
Mise à jour: les services de sécurité Verisign sont transférés vers Neustarmais les caractéristiques et caractéristiques mentionnées dans cette revue sont restées relativement les mêmes.
Verisign est presque aussi vieux que l'Internet lui-même. Depuis 1995, elle est passée d'une autorité de certification unique à un acteur majeur de l'industrie des services réseau.
La protection Verisign DDoS fonctionne dans le cloud. Les utilisateurs peuvent choisir de rediriger les tentatives de connexion en modifiant simplement les paramètres DNS (Domain Name Server). Le trafic est envoyé à Verisign pour vérification afin d'éviter les attaques réseau. Verisign analyse soigneusement tout le trafic avant de le rediriger.
Étant donné que Verisign exploite deux des 13 serveurs de noms de chemins mondiaux, il n'est pas surprenant que l'organisation gère également plusieurs «centres propres» DDoS dédiés. Ceux-ci analysent le trafic et filtrent les mauvaises demandes de connexion. L'infrastructure combinée atteint près de 2 To / s et peut bloquer les attaques DDoS les plus dommageables.
Ceci est en grande partie accompli par Athena, la plate-forme d'atténuation des menaces de Verisign. Athéna est largement divisée en trois éléments. Le «bouclier» filtre les attaques de réseau (couche 3) et de transport (couche 4) via DPI (inspection approfondie des paquets), listes noires et blanches, et gestion de la réputation du site. Le «proxy» Athena inspecte les en-têtes HTTP pour détecter tout mauvais trafic lors des tentatives de connexion initiales. Le «proxy» et le «bouclier» sont compatibles avec «l'équilibreur de charge» d'Athena, qui permet d'éviter les attaques applicatives (couche 7).
Le portail client affiche des rapports de trafic détaillés et vous permet de configurer votre gestion des menaces, par exemple en créant des listes noires de connexion. Verisign propose également OpenHybrid aux utilisateurs qui hésitent à tout déployer dans le cloud et qui peuvent être installés sur site.
Crédit d'image: Wikimedia Commons (Antoine Lamielle)