Les attaques par déni de service distribué encore appelées DDoS sont de plus en plus préoccupantes pour les entreprises. Ces attaques sont la base d’importants dommages dans des organisations. Elles peuvent même bloquer les activités de ces entreprises. Au cours de ces dernières années, de nombreuses entreprises comme les institutions financières et même les agences gouvernementales ont été la cible de plusieurs attaques DDoS.

Des attaques DDoS de plus en plus fréquentes

Ces attaques ciblées et par botnet perturbent les temps de réponse des pages web. Elles empêchent également les clients d’accéder non seulement à leurs comptes bancaires mais aussi d’effectuer même les opérations les plus basiques et les opérations boursières. Les institutions financières sont aujourd’hui sujettes à de multiples attaques DDoS. Néanmoins  différentes mesures  existent pour neutraliser ou palier de telles attaques.

  • Sur-provisionner la bande passante pour absorber les pics d’activité liés aux attaques DDoS

Le sur-provisionnement de bande passante est l’une des mesures les plus couramment utilisées pour contrer les attaques DDoS, mais aussi de l’une des plus coûteuses      . Une autre mesure consiste à adopter un service de sécurité qui est conçu pour absorber et filtrer le trafic DDoS, et également pour bloquer les attaques massives sans perturber les connexions Internet des entreprises.

Surveiller le trafic réseau et applicatif

La détection des attaques requiert une surveillance de près du trafic associé au réseau et aux applications. Lorsqu’une application devient moins performante, vous pouvez alors déterminer si le problème provient d’une défaillance au niveau du fournisseur de services ou d’une attaque DDoS. En surveillant le trafic, les entreprises peuvent également isoler les attaques du trafic légitime. Les administrateurs de la sécurité doivent pour cela analyser les niveaux de trafic, les performances des applications, les comportements anormaux, les violations de protocole et les codes d’erreur des serveurs web. Les attaques DDoS utilisant presque systématiquement des botnets, les outils de sécurité doivent être capables de faire la distinction entre les utilisateurs légitimes et le trafic robot. Grâce à une analyse précise du trafic réseau et applicatif, les administrateurs de la sécurité informatique bénéficient d’une visibilité en temps réel sur l’état des attaques DDoS.

Identifier et bloquer les utilisateurs malveillants

Le trafic DDoS peut être identifié de deux façons :   la première est l’identification des utilisateurs malveillants, et la seconde prend en compte l’identification des requêtes malveillantes. Quand on prend le trafic DDoS applicatif, le plus sûr pour neutraliser les attaques est la première méthode : identifier les utilisateurs malveillants. Ces derniers peuvent être identifiés par plusieurs méthodes :

Identifier les sources d’attaque connues

Les sources d’attaque connues représentent un fort pourcentage des attaques DDoS et comprennent les adresses IP malveillantes qui ciblent de manière active d’autres sites web et identifient les réseaux TOR et les proxys anonymes.

Identifier les agents robots connus

Les attaques DDoS sont en général exécutées grâce à des clients automatisés. Ces agents présentent des caractéristiques uniques qui les distinguant des agents de navigateur web légitimes. Les outils capables de détecter ces agents robots peuvent donc neutraliser de nombreux types d’attaques DDoS.

Effectuer des tests de validation

Pour voir si un internaute est humain ou robot. Un véritable navigateur peut accepter les cookies, exécuter des calculs JavaScript ou traiter des requêtes de redirection http, ce que ne saurait faire un script robot.

Restreindre l’accès selon des critères géographiques

Le trafic malveillant de certaines attaques DDoS, peut provenir d’une même section géographique (pays ou régions). On peut de ce fait neutraliser la majeure partie du trafic DDoS via un blocage des requêtes en provenance des pays considérés comme« indésirables ».

Identifier et bloquer les requêtes malveillantes

Les attaques DDoS applicatives sont en générales difficiles à détecter avec les solutions de sécurité informatique classiques, vu qu’elles imitent les mêmes procédés que les applications web légitimes. Pas de peur à ce sujet, car malgré leur similitudes aux web légitimes, les entreprises seront toujours en mesure  d’identifier et de neutraliser le trafic malveillant en combinant les mesures de contrôle au niveau des applications aux systèmes de détection des menaces. Plusieurs mesures peuvent être mises en place.

  • Détecter un nombre excessif de requêtes provenant d’une même source ou d’une même session utilisateur

Bien souvent, les sources d’attaques automatisées accèdent plus rapidement aux pages web que les utilisateurs légitimes.

Éviter les attaques DDoS réseau et applicatives connues

Bon nombre d’attaques DDoS utilisent des techniques réseaux simples dont l’envoi de paquets fragmentés, l’usurpation et des processus de connexion TCP incomplets. Celles sophistiquées (les attaques de niveau applicatif), procèdent par la  surcharge des ressources des serveurs. Leur détection est alors réalisée en recherchant les comportements utilisateur anormaux et les signatures d’attaques applicatives connues.

Identifier les attributs et les conséquences d’une requête malveillante :

Il est possible de détecter certaines attaques DDoS à partir de signatures ou de schémas d’attaque connus. Bien souvent, les requêtes HTTP utilisées par les attaques DDoS ne respectent pas les normes du protocole HTTP. C’est de l’attaque Slowloris, qui utilise des en-têtes HTTP redondantes. Des clients DDoS peuvent également envoyer des requêtes d’accès à des pages web qui n’existent pas. Les attaques peuvent par ailleurs générer des erreurs au niveau des serveurs web ou ralentir les temps de réponse de ces serveurs.

Si les attaques DDoS représentent une menace de taille pour les institutions financières, ces dernières disposent cependant de nombreux moyens pour s’en protéger. En adoptant les mesures décrites précédemment, les entreprises pourront plus facilement identifier et neutraliser les vraies attaques DDoS avant même que celles-ci impactent leurs opérations.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici