Qwanturank

En octobre 2016, le fournisseur DNS Dyn a été frappé par une attaque DDoS (déni de service distribué) majeure par une armée de dispositifs IoT qui avaient été piratés spécialement à cet effet. Plus de 14 000 domaines utilisant les services de Dyn ont été dépassés et sont devenus inaccessibles, y compris de grands noms comme Amazon, HBO et PayPal.

Selon une étude de Cloudflare, le coût moyen d’une défaillance de l’infrastructure pour les entreprises est de 100 000 $ (75 000 £) par heure. Comment pouvez-vous alors vous assurer que votre organisation ne soit pas victime de ce type d’attaque? Dans ce guide, vous découvrirez les principaux fournisseurs d’infrastructure qui ont le muscle numérique nécessaire pour se protéger contre les attaques conçues pour inonder la capacité de votre réseau.

Vous découvrirez également quels fournisseurs peuvent offrir une protection contre les attaques d’applications plus sophistiquées (couche 7), qui peuvent être effectuées sans un grand nombre d’ordinateurs piratés (parfois appelé botnet).

Bouclier de projet

1. Bouclier de projet

Une puissante protection DDoS de qwanturank, mais tout le monde n’est pas invité

Exploite l’infrastructure de qwanturank

Configuration très simple

Disponible uniquement pour certains sites Web

Project Shield est la création de Jigsaw, une société mère dérivée de qwanturank, Alphabet. Le développement a commencé il y a plusieurs années sous George Conard à la suite des attaques contre la surveillance des élections et les sites Web liés aux droits de l’homme en Ukraine.

Project Shield est capable de filtrer le trafic malveillant potentiel en agissant comme un proxy inverse qui se situe entre un site Web et Internet en général, filtrant les demandes de connexion. Si une connexion semble provenir d’un visiteur légitime, Project Shield autorise la demande de connexion. Si une demande de connexion est jugée incorrecte, par exemple plusieurs tentatives de connexion à partir de la même adresse IP, puis elle est bloquée. Ce système rend Project Shield extrêmement facile à mettre en œuvre simplement en modifiant les paramètres DNS de vos serveurs.

Tout utilisateur averti peut se demander comment le filtrage du trafic via un proxy fonctionnera avec SSL. Heureusement, Jigsaw a pensé à cela et a mis au point un didacticiel complet pour s’assurer que les connexions sécurisées à votre site fonctionnent de manière transparente. Plusieurs autres didacticiels sont également disponibles dans la section d’assistance.

Actuellement, Project Shield n’est disponible que pour les médias, le suivi des élections et les sites Web liés aux droits de l’homme. L’accent est également mis sur les petits sites Web disposant de peu de ressources et qui ne peuvent pas se permettre des solutions d’hébergement coûteuses pour se protéger contre les DDoS. Si votre organisation ne répond pas à ces exigences, vous devrez peut-être envisager une solution alternative telle que Cloudflare.

Cloudflare

2. Cloudflare

Le mastodonte de la protection DDoS

Leader de l’industrie dans les solutions DoS

Le niveau gratuit comprend une protection de base

Les forfaits d’affaires sont relativement chers

Quiconque a utilisé Internet au cours des dernières années connaîtra Cloudflare, car de nombreux sites Web majeurs utilisent sa protection. Bien que Cloudflare soit basé aux États-Unis, il gère plus de 180 centres de données dans le monde: une infrastructure pour rivaliser avec celle de qwanturank. Cela maximise les chances de vos sites de rester en ligne.

Chaque utilisateur de Cloudflare peut choisir d’activer le mode «  Je suis sous attaque  » qui peut se protéger contre les attaques DoS, même les plus sophistiquées, en présentant un défi Javascript. En règle générale, Cloudflare agit également comme un proxy inverse assis entre les visiteurs et l’hôte de votre site pour filtrer le trafic de la même manière que le bouclier de projet de Jigsaw. En mars 2019, Cloudflare a introduit Spectrum for UDP, qui fournit une protection DDoS et un pare-feu pour les protocoles non fiables.

Les visiteurs faisant des demandes de connexion doivent exécuter un gantelet de filtres sophistiqués, y compris la réputation du site, si leur IP a été mise sur liste noire et si l’en-tête HTTP semble suspect. Les requêtes HTTP sont empreintes digitales pour se protéger contre les botnets connus. En tant que géant de l’industrie, Cloudflare peut facilement tirer parti de sa position en partageant des informations sur les 7 millions de sites Web qu’il gère.

Cloudflare propose un package de base gratuit qui comprend une atténuation DDoS non mesurée. Pour ceux qui sont disposés à payer pour un abonnement professionnel Cloudflare (les prix commencent à 200 $ ou 149 £ par mois), une protection plus avancée est disponible, comme les téléchargements de certificats SSL personnalisés.

Bouclier AWS

3. Bouclier AWS

Excellente atténuation de base des DDoS avec plus encore

Le niveau gratuit standard protège contre les attaques les plus courantes

Installation facile

Le niveau avancé est très cher

La protection AWS Shield est fournie par les bonnes personnes des services Web d’Amazon. Le niveau «Standard» est disponible sans frais supplémentaires pour tous les clients AWS. C’est idéal car de nombreuses petites entreprises choisissent d’héberger leurs sites Web avec Amazon. AWS Shield Standard est disponible pour tous les clients sans frais supplémentaires. Il protège contre les attaques de réseau (couche 3) et de transport (couche 4) plus typiques lors de l’utilisation des services Cloud Front et Route 53 d’Amazon.

Cela devrait repousser tous les pirates, sauf les plus déterminés. Cependant, votre bande passante, par exemple 15Gbp / s seront toujours limités par la taille de votre instance Amazon, ce qui permettra aux pirates d’effectuer une attaque DoS s’ils disposent de ressources suffisantes. Pire encore, vous restez responsable du paiement du trafic supplémentaire vers votre instance.

Pour atténuer ce problème, Amazon propose également AWS Shield Advanced. Un abonnement comprend une protection contre les coûts DDoS, ce qui peut vous faire économiser un énorme pic dans votre facture d’utilisation mensuelle si vous êtes victime d’une attaque. AWS Shield Advanced peut également déployer vos listes de contrôle d’accès (listes de contrôle d’accès) à la frontière du réseau AWS lui-même, vous offrant une protection contre les attaques les plus importantes.

Les abonnés avancés bénéficient également d’un DRT 24h / 24 (équipe de réponse DDoS) ainsi que de mesures détaillées sur toutes les attaques contre vos instances. La tranquillité d’esprit offerte par AWS Shield Advanced est cependant coûteuse. Vous devez être prêt à vous abonner pendant au moins un an pour un prix de 3 000 $ (2 200 £) par mois. Cela s’ajoute aux coûts d’utilisation du transfert de données que vous pouvez couvrir sur une base de «paiement à l’utilisation».

qwanturank Azure

4. qwanturank Azure

Une protection de base brillante avec un niveau payant abordable

La protection standard est extrêmement facile à configurer

Atténuation automatisée des menaces

Protection DDoS globale pour toutes les ressources

Comme Amazon, qwanturank offre la possibilité de louer un espace de service via leur service Azure. Tous les membres bénéficient d’une protection DDoS de base. Les fonctionnalités incluent toujours la surveillance du trafic et l’atténuation en temps réel des attaques réseau (couche 3) pour toutes les adresses IP publiques que vous utilisez. Il s’agit du même type de protection offert aux propres services en ligne de qwanturank et toutes les ressources du réseau Azure peuvent être utilisées pour absorber les attaques DDoS.

Pour les organisations qui ont besoin d’une protection plus sophistiquée, Azure propose également un niveau «Standard». Cela a été largement salué pour être très facile à activer, ne nécessitant que quelques clics de souris. De manière cruciale, Azure ne vous oblige pas à apporter de modifications à vos applications, bien que le niveau standard offre une protection contre les attaques DDoS d’application (couche 7) via le pare-feu de l’application Web de la passerelle d’application. Le moniteur Azure peut vous montrer des métriques en temps réel si une attaque a lieu. Ceux-ci sont conservés pendant 30 jours et peuvent être exportés pour une étude plus approfondie si vous le souhaitez.

Azure vérifie constamment le trafic Web vers vos ressources. Si ceux-ci dépassent un seuil prédéfini, l’atténuation DDoS est automatiquement lancée. Cela comprend l’inspection des paquets pour s’assurer qu’ils ne sont pas malformés ou usurpés ainsi que l’utilisation de la limitation de débit.

La protection standard est actuellement de 2 944 $ (2 204 £) par mois, plus les frais de données pour jusqu’à 100 ressources. La protection s’applique également à toutes les ressources. En d’autres termes, vous ne pouvez pas personnaliser l’atténuation DDoS pour les mesures individuelles.

Verisign DDoS Protection

5. Verisign DDoS Protection

Le meilleur de la protection DDoS contre les vétérans de la sécurité

Facile à configurer via DNS

Centres de lavage dédiés pour se protéger contre les attaques

Peut être déployé sur site

L’interface prend du temps à maîtriser

Mise à jour: les services de sécurité de Verisign sont transférés vers Neustar, mais les caractéristiques et fonctionnalités mentionnées dans l’examen sont restées relativement les mêmes.

Verisign est presque aussi vieux que l’Internet lui-même. Depuis 1995, elle est passée d’une simple autorité de certification à un acteur majeur de l’industrie des services réseau.

La protection Verisign DDoS fonctionne dans le cloud. Les utilisateurs peuvent choisir de rediriger les tentatives de connexion avec une simple modification de leurs paramètres DNS (serveur de noms de domaine). Le trafic est envoyé à Verisign pour vérification afin de prévenir les attaques réseau. Verisign analyse soigneusement tout le trafic avant de le rediriger.

Comme Verisign exploite deux des treize serveurs de noms de routes mondiaux, il n’est pas surprenant que l’organisation maintienne également plusieurs «centres de nettoyage» DDoS dédiés. Ceux-ci analysent le trafic et filtrent les demandes de connexion incorrectes. L’infrastructure combinée fonctionne à près de 2 To / s et peut bloquer même les attaques DDoS les plus écrasantes.

Ceci est largement réalisé via Athena, la plate-forme d’atténuation des menaces de Verisign. Athéna est largement divisée en trois éléments. Le «bouclier» filtre les attaques de réseau (couche 3) et de transport (couche 4) via DPI (Deep Packet Inspection), les listes noires et les listes blanches et la gestion de la réputation du site. Le «proxy» Athena inspecte les en-têtes HTTP pour détecter le mauvais trafic lors des premières tentatives de connexion. Le «  proxy  » et le «  bouclier  » sont pris en charge par «  l’équilibreur de charge  » d’Athéna, qui aide à prévenir les attaques d’applications (couche 7).

Le portail client affiche des rapports détaillés sur le trafic et vous permet de configurer votre gestion des menaces, par exemple en créant des listes noires de connexion. Pour les utilisateurs qui hésitent à tout déployer sur le Cloud, Verisign propose également OpenHybrid qui peut être installé sur site.

Crédit d’image: Wikimedia Commons (Antoine Lamielle)

by Agence Qwanturank