Empêchez les attaques DDoS avec un logiciel

attaque ddos logiciel

Avec l’évolution ou la croissance fulgurante du volume des données sur Internet, les attaques DDoS deviennent de plus en plus fréquentes. Ces intrusions dans les réseaux distribués profitent des limites de capacités de données spécifiques qui sont propres à l’infrastructure d’un réseau. Cependant, il existe des moyens de bloquer ces attaques.

 Qu’est-ce qu’une attaque DDoS ?

Une attaque DDoS (Distributed Denial of Service attack) est une attaque informatique ayant pour but de rendre une infrastructure, une application ou un service indisponible. Elle consiste à envoyer de nombreuses requêtes depuis plusieurs points du Web à la source Web attaquée en vue d’entraver sa bonne capacité à gérer les requêtes. Cette source Web attaquée devient ainsi incapable de répondre aux requêtes des utilisateurs. Les serveurs de messagerie peuvent également être victimes de ces attaques.

Les formes d’attaques

L’attaque DDoS peut provenir de plusieurs origines différentes et peut prendre différentes formes. Il peut s’agir de :

  • l’inondation d’un réseau afin de bloquer son fonctionnement ;
  • la perturbation des connexions entre deux machines empêchant ainsi l’accès à un service particulier ;
  • l’obstruction d’accès à un service pour une personne en particulier ;
  • l’envoi de milliards d’octets à une box Internet.

Une saturation de la bande passante du serveur dans le but de le rendre injoignable est également une forme d’attaque DDoS. De même, un épuisement total des ressources système de la machine le rend incapable de répondre au trafic légitime.

Ce type d’attaque est extrêmement complexe à bloquer, sachant qu’il est souvent difficile, voire impossible, de différencier l’attaque DDoS d’une vraie requête DDoS. L’attaque DDoS peut bloquer un serveur de fichiers, rendre impossible l’accès à un serveur Web ou encore empêcher la distribution de courriel dans une entreprise. Elle utilise très souvent plusieurs PC zombies infectés par des backdoors qui sont dirigés à distance par des pirates. L’attaquant n’a pas forcément besoin d’un matériel sophistiqué pour amorcer son intrusion.

Le fonctionnement de l’attaque

En principe, les ressources du Web ne peuvent gérer qu’un nombre limité de requêtes dans un délai imparti. Le canal qui relie le serveur à Internet a lui aussi une capacité limitée. L’attaque DDoS commence par une surcharge de la bande passante ou un épuisement des ressources du système. Lorsque le nombre de requêtes dépasse la capacité maximale du système, ce dernier ne peut plus répondre aux requêtes des utilisateurs légitimes. Le principe ici est d’utiliser plusieurs maîtres afin de contrôler plus facilement les sources. Les maîtres envoient des commandes aux sources en UDP ce qui permet d’éviter une connexion manuelle à chaque source. Il existe plusieurs types d’attaques DDoS : attaque par déni de service SYN Flood, UDP Flooding, Packet Fragment ou Smurfing.

Qu’est-ce qu’un WAF (Pare-feu Applicatif Web) ?

Un Web Applications Firefall (WAF) est un type de pare-feu servant à protéger le serveur d’applications Web dans le backend contre diverses attaques telles que le phishing, le ransomware, l’attaque DDoS ou encore les malwares. Le rôle du WAF est d’assurer la sécurité du serveur Web en analysant les paquets de requêtes HTTP/HTTPS et les modèles de trafic Web (HTML, SOAP, etc.).

Il surveille, filtre ou bloque le trafic HTTP depuis une application Web et vers  cette dernière. Dans l’architecture globale du système, le WAF est placé devant l’application Web qui doit être protégée. Il vérifie ainsi les données des paquets envoyés à l’application afin de protéger la couche application du modèle OSI.

Le WAF examine chaque demande envoyée au serveur avant qu’elle n’atteigne l’application. Si cette demande est conforme aux règles du pare-feu, il la transmet à l’application. Les fonctionnalités du WAF peuvent être implémentées en software ou en hardware. Dans le premier cas, le WAF est souvent une application installée sur un système d’exploitation alors qu’en hardware, les fonctionnalités sont intégrées dans une solution d’appliance.

Caractéristiques du WAF

Le WAF est défini par la prise en charge des normes connues des principales menaces et la gestion des menaces telles que OWASP Top 10 et PCI DSS. Il se caractérise aussi par la vérification des entrées et sorties de l’application Web conformément à l’ensemble des règles de sécurité et la mise en œuvre d’actions adéquates comme bloquer, autoriser, alerter ou consigner les enregistrements.

Il procède à la vérification du contenu des pages Web telles que HTML, HTML dynamique, CSS et des pages Web de protocoles de transfert HTTP/HTTPS, TLS. Il effectue la prévention des attaques et l’accès non autorisé. Il prend en charge le certificat client SSL. Il effectue l’authentification du client proxy grâce à un certificat si l’application Web utilise un certificat SSL Client pour identifier ses utilisateurs.

Il est chargé de repérer et d’empêcher la falsification des jetons de session, par exemple en chiffrant des cookies de session, des champs de formulaire masqués ou en utilisant d’autres méthodes pouvant être utilisées par ceux qui suivent la session. Il offre la possibilité de recevoir de nouvelles mises à jour et de demander une signature dynamique ou manuelle.

Du reste, le WAF procède à la vérification de tout protocole et du type de construction utilisée pour envoyer des données vers l’application Web et pour recevoir des données de celle-ci.

Utiliser un logiciel WAF contre les attaques DDoS

Le WAF est un moyen efficace de lutte contre les attaques DDoS. Il dispose d’un mécanisme d’inspection lui permettant de détecter et empêcher des attaques telles que le Cross-site scripting (XSS), les injections SQL, le piratage de session et le débordement de capacité de tampon.

Il est aussi capable de détecter et empêcher de nouvelles attaques inconnues en surveillant les schémas inhabituels dans le trafic de données. Ces types de pare-feu sont plus utilisés par les entreprises afin de protéger leurs applications Web. En temps réel ou quasi réel, le WAF surveille le trafic et analyse les données contenues dans les paquets envoyés avant qu’elles n’atteignent l’application.

Si nécessaire, il élimine les paquets non conformes aux règles. Il prend une décision en effectuant une analyse en temps réel en s’appuyant sur des informations précises telles que les URL, les paramètres envoyés et l’historique de l’utilisateur. Il vérifie si la valeur correspond à un modèle d’attaque.

Il peut également se baser sur des listes blanches pour un modèle de sécurité positif ou des listes noires pour un modèle de sécurité négatif afin de prendre ses décisions. Dans un modèle de sécurité positif, le contrôle d’accès est basé sur des comportements positifs connus. Ce sont des comportements qui peuvent se construire de façon manuelle par l’administrateur ou de façon automatique en observant un trafic réseau légitime. Quant au modèle négatif, il permet de rejeter les requêtes manifestant un trafic dangereux.

 

⚡ Protégez-vous des attaques DDOS grâce à notre WAF ⚡