Mesures contre les attaques DDoS
Le terme DDoS (distributed denial of service, déni de service distribué) désigne une attaque destinée à rendre inaccessibles des systèmes informatiques, ce qui peut entraîner des dom-mages économiques importants pour la victime. À la différence d’une simple attaque DoS, lors d'une attaque DDoS, un grand nombre d’ordinateurs disséminés à divers endroits opèrent si-multanément. Une telle attaque peut être menée au niveau du réseau ou des applications, ou combiner les deux approches. Elle fait généralement appel à une armée de zombies (sys-tèmes piratés et contrôlés à distance par un cybercriminel) ou à des systèmes tiers mal confi-gurés (par ex. des résolveurs DNS ouverts) qui vont envoyer une multitude de requêtes à la «mauvaise» adresse – celle du système ciblé – (attaque par amplification DNS). Le flux de données ainsi généré atteint fréquemment plusieurs centaines de gigabits par seconde. Une seule organisation n’est alors pas en mesure d'y résister sans aide extérieure. Quant aux pare-feu et aux systèmes de prévention d'intrusions (intrusion prevention system, IPS) spécia-lement configurés, ils n’ont qu’une utilité limitée dans pareil cas.
En règle générale, les attaques DDoS relèvent de l’activisme politique, constituent une arme de chantage ou visent à nuire à un concurrent.
Dans l'idéal, vous connaissez la problématique des attaques DDoS et savez déjà comment vous défendre contre ce genre d’attaques.
- Vous connaissez votre infrastructure et ses faiblesses. Vous savez quels services ont une importance telle que leur défaillance entraînerait de graves conséquences pour votre organisation. N'oubliez pas d'inclure dans votre réflexion les systèmes de base sans lesquels vos applications critiques ne fonctionnent pas.
- Vous connaissez la «situation normale» de vos réseaux et systèmes, et êtes capable d'identifier les anomalies (par ex. systèmes de détection des intrusions [intrusion detection systems, IDS], gestion centralisée des journaux d’événements). Une attaque DDoS devrait être découverte avant que vos clients ne s’en aperçoivent.
- Surveillez également la disponibilité de vos applications du point de vue de votre clientèle, c'est-à-dire en y accédant depuis Internet.
- Renforcez vos systèmes (absence de services inutiles, gestion stricte des droits, authentification forte, etc.) et mettez-les à jour avec les correctifs. Activez les SYN-cookies, etc.
- Un pare-feu en amont n’autorise que les protocoles nécessaires au système. Il dispose de ressources système suffisantes pour rester opérationnel même en cas d’attaque DDoS. Accordez une grande importance à la table d'état des connexions existantes ainsi qu’à une bonne gestion des règles, de sorte à pouvoir appliquer un grand nombre de règles de blocage supplémentaires en cas d’urgence.
- Examinez les possibilités de géoblocage (geoIP-blocking). Si vos clients se connectent essentiellement depuis la Suisse et les pays voisins, vous pouvez prédéfinir un profil qui accorde la priorité aux adresses IP de ces pays ou qui bloque d’autres adresses IP. En cas d’attaque, l'activation de ce profil vous permettra d’agir immédiatement et de bénéficier d’une protection accrue.
- Un pare-feu pour applications Web (web application firewall) réduit la vulnérabilité aux attaques des services hébergés sur Internet.
- Les systèmes potentiellement exposés à une attaque DDoS (par ex. site Web) devraient emprunter une connexion Internet montante différente des autres systèmes de l’organisation. Il sera ainsi plus facile de les faire protéger par un fournisseur de solutions de mitigation DDoS (DDoS mitigation provider) sans affecter les autres systèmes utiles au traitement des tâches quotidiennes.
- Prévoyez des solutions de secours, à l’instar d’un site Web statique livrant un minimum d’informations et confié à un autre hébergeur, que vous pourrez activer par simple modification de DNS.
- Veillez de manière générale à définir une valeur TTL (time to live) raisonnable sur les serveurs DNS, qui vous permette de modifier rapidement les domaines.
- Veillez à disposer d’une stratégie de défense en cas d’attaque DDoS. Les personnes compétentes doivent connaître la marche à suivre et les contacts tant internes qu’externes (fournisseurs de services, services de police, etc.).
- Dans le pire des cas, vous pouvez recourir à des ressources internes ou externes garanties par contrat (personnel et infrastructure notamment).
- Discutez du scénario d’une attaque DDoS et procédez à des exercices avec vos services internes et vos partenaires externes. Chacun doit connaître son rôle et ses interlocuteurs!