Table des matières de l'article :
Une des caractéristiques non prise en considération lors de l'achat d'un espace d'hébergement ou d'un serveur cloud ou d'un serveur dédié est de savoir comment l'hébergeur se comportera lorsque votre site sera ciblé par un attaquant avec quelques DDOS (Distributed Denial of Service Attack).
Nous n'entrerons pas dans le détail des différents types d'attaques au niveau 3 ou au niveau 7 du modèle ISO/OSI car nous ne souhaitons pas nous plonger dans une immensité infinie de modes d'attaque DDOS en évolution continue et constante.
Nous voulons juste vous faire savoir quels sont les deux comportements les plus utilisés lorsque votre site est attaqué et inexplicablement, vous le verrez tomber sans raison apparente et vous serez seul face à des pirates informatiques expérimentés qui vous mettent hors ligne pendant des heures ou des jours.
Dans ce moment d'obscurité absolue dans lequel vous ne savez pas du tout ce qui se passe ou quelles contre-mesures prendre, je vous assure qu'avoir un hébergeur complet, bien préparé et collaboratif équivaut à rencontrer un vendeur de boissons glacées après 3 jours de soif et d'agonie au désert.
Cet article découle d'une mésaventure que nous avons eue avec un de nos clients que nous suivons sur un de ses fournisseurs (pas le nôtre) qui a reçu une attaque hier soir. Je souhaite donc vous faire savoir ce qui s'est passé et quels sont les comportements standards (pas seulement de ce fournisseur) lorsqu'un site ou une instance de VPS (comme dans ce cas) reçoit un DDOS.
Bien que l'on puisse naïvement penser qu'une attaque DDOS est quelque chose d'extrêmement rare, improbable, presque impossible, il faut dire que les choses sont différentes comme le rapporte l'infographie suivante qui rend compte de la situation inhérente à notre pays en 2017 et en tout cas actuelle.
Site et serveur hors ligne. Voici un cas réel.
Bien qu'il puisse paraître peu crédible, ce modus operandi fait partie de ceux encore plus en vogue chez les hébergeurs économiques qui ne prennent pas en compte dans leur business model que selon toute probabilité chacun de leurs clients recevra tôt ou tard un plus ou moins attaque DDOS importante. .
Un exemple pratique concerne un bien connu Fournisseur d'hébergement allemand célèbre pour vendre des instances VPS de bonne taille à des coûts très attractifs (de 5 à 30 euros par mois pour être clair).
Ce qui est extrêmement cool, c'est que toutes leurs solutions Linux VPS de toute taille et de tout prix ils incluaient la gestion DDOS telle que rapportée par eux-mêmes :
Si nous cliquons sur l'info vice en orange, nous allons à une page détaillée qui se lit textuellement (version traduite en italien avec Google Translate):
L'attaque par déni de service distribué (DDoS) fait référence à la surcharge d'un serveur ou d'un service, qui est la cible de l'attaque, en envoyant un grand nombre de requêtes, souvent inutiles, de sorte que le serveur ou le service ne soit pas en mesure d'accomplir ses tâches habituelles. Suite. Le serveur ou le service est proverbialement « anéanti », il n'est plus possible d'y accéder via Internet, tant que l'attaque se poursuit.
Malheureusement, les attaques DDoS deviennent progressivement plus courantes sur Internet. Les serveurs clients de Contabo sont de plus en plus souvent la cible de telles attaques. Sans une protection DDoS efficace, les serveurs attaqués ne seraient pas disponibles sur Internet pendant une période prolongée.
Afin de protéger au maximum nos clients contre de telles attaques et les problèmes de disponibilité qui les accompagnent, Contabo a développé une protection DDoS interne. Cette protection DDoS est gratuite pour tous nos clients, elle est automatiquement activée pour tous les serveurs et packages d'espace web dans les datacenters de Contabo.
Comment fonctionne la protection DDoS de Contabo ?
La protection DDoS de Contabo est un système de sécurité qui détecte automatiquement la plupart des modèles d'attaque DDoS et filtre le trafic entrant vers le serveur afin que le trafic d'attaque « malveillant » soit éliminé et que seul le trafic « réel » souhaité arrive au serveur. Cela signifie que vous, en tant que client Contabo, remarquerez à peine une attaque possible car notre protection DDoS filtre l'attaque en cours pour vous.
Que fournit la protection DDoS de Contabo ?
La protection Ddos de Contabo a été développée pour reconnaître 99% de tous les modèles d'attaque qu'elle filtre. Dans tous ces cas, les serveurs resteront en ligne et disponibles sur Internet, même s'ils sont attaqués.
Que ne fournit pas la protection DDoS de Contabo ?
Comme toute autre protection DDoS utilisée ou proposée sur Internet, la protection DDoS de Contabo a ses limites. Bien que notre protection reconnaisse et filtre 99 % de tous les modèles d'attaque, certaines attaques DDoS ne peuvent pas être atténuées en raison de leur modèle ou de leur volume. La probabilité que votre serveur soit affecté par des attaques que notre protection DDoS ne peut pas filtrer est très faible. De plus, nous travaillons continuellement à l'amélioration de notre système de protection afin que même les attaques que nous ne pouvons éviter aujourd'hui soient reconnues et filtrées dans un proche avenir. Cependant, nous vous demandons de comprendre que la protection DDoS de Contabo - comme toute autre protection DDoS - ne garantit pas que votre système serveur sera protégé contre toutes les attaques DDoS théoriquement imaginables.
Que dois-je faire en tant que client Contabo pour obtenir une protection DDoS ?
Rien. Notre protection DDoS est gratuite pour tous les clients Contabo, elle est automatiquement activée pour tous les serveurs et packages d'espace web dans les centres de données Contabo. Nos clients existants et nouveaux n'ont rien à faire, votre liaison montante sera automatiquement et définitivement protégée par notre protection DDoS.
Vous trouverez ci-dessous la capture d'écran originale en anglais tirée de leur site : https://bit.ly/31Zabdp
Bref, à la lecture ci-dessus, on pourrait penser qu'à moins d'être ciblé avec un trafic de plusieurs centaines de gigabits par seconde, l'hébergeur devrait pouvoir atténuer les DDOS entrants au niveau 3 en toute sérénité sans créer de perturbation pour l'activité client.
Pourtant, cette communication par e-mail est arrivée hier dans laquelle une instance VPS entière a été annoncée comme mise hors ligne jusqu'au bout, pour seulement 1 gigabit par seconde de trafic entrant. Plus qu'une attaque DDOS je dirais "une caresse de DDOS"
Bref, au premier petit problème, le fournisseur a pratiquement mis hors ligne l'instance VPS et l'activité du client. Le seul salut a été celui d'un DDOS à court terme qui a permis de relancer la demande au bout d'une heure environ à leur seule discrétion. Si l'attaque avait duré des heures, des jours ou des semaines, elle aurait été hors ligne pendant toute la durée de l'attaque.
Maintenant, ce cas ne constitue pas et ne doit pas être une attitude négative envers un fournisseur particulier, nous rapportons simplement l'un des nombreux cas récents.
Managedserver.it offre une collaboration et une atténuation DDOS pour protéger le client.
En tant que fournisseurs, nous pensons qu'un client doit avoir la possibilité d'être protégé de manière professionnelle contre les attaques DDOS de niveau 3 et de niveau 7, c'est-à-dire le réseau et l'application.
Au niveau 3 pour les attaques volumétriques (Packet Flooding), nous avons la possibilité de travailler à plusieurs niveaux, à la fois via le filtrage de paquets via des systèmes matériels dédiés sur des routeurs de périphérie, et via partenariat avec Arbor Networks de notre datacenter.
Arbor Networks est l'un des principaux fournisseurs de solutions de sécurité et de gestion de réseau pour les entreprises, les fournisseurs de services et les organisations gouvernementales du monde entier.
Arbor se distingue des autres FAI de sécurité en ce qu'il tire parti de sa capacité à fournir des services et en fait un avantage pour tous les clients. Arbour a créé ATLAS, un projet né de la collaboration avec plus de 230 fournisseurs de services qui ont accepté de partager des données anonymes sur le trafic Internet avec l'ASERT (Arbor Security Engineering & Response Team). Ces données, d'un total de 35 Tbit/s, sont améliorées par le réseau mondial de pots de miel d'Arbor de plus de 45 capteurs dans l'espace d'adressage sombre et inutilisé des réseaux clients. Les informations sont agrégées et analysées par l'équipe ASERT puis renvoyées aux clients sous forme de signatures d'attaque via les produits Arbor utilisés. Arbor est donc idéalement placé pour fournir des données élaborées sur les attaques DDoS, les logiciels malveillants, les botnets, les exploits et le phishing qui menacent aujourd'hui l'infrastructure et les services Internet. En fin de compte, ATLAS offre un avantage concurrentiel significatif en offrant aux clients à la fois un micro-aperçu de leur réseau et un macro-aperçu du trafic réseau mondial. Aujourd'hui, cette puissante combinaison d'informations sur la sécurité du réseau est inégalée.
Après avoir effectué un examen approfondi de la capacité de nos systèmes à résister aux attaques DDoS, ManagedServer.it a mis en œuvre des outils d'atténuation de la protection DDoS dans notre réseau, qui se composent principalement de matériel Arbor et Juniper. Notre système à trois niveaux nous permet de distinguer clairement entre le trafic valide et les attaques malveillantes.
Flux de trafic pendant les opérations normales
Flux de trafic dans un système protégé DDoS lors d'une attaque
Le système de protection DDoS est divisé en les niveaux suivants :
1. Reconnaissance automatique des schémas d'attaque
En plus de reconnaître une attaque en fonction de la quantité de trafic ou du nombre de paquets, nous pourrons définir clairement l'attaque réelle, puis entrer dans la maison et réagir spécifiquement à ce type particulier d'attaque. Par exemple, une inondation UDP avec 500 500 pps est inoffensive pour un serveur. Cependant, un paquet SYN de XNUMXk pourrait être un problème. Nos outils de protection DDoS peuvent détecter avec précision ce type de différence.
2. Filtrage du trafic pour les modèles d'attaque connus
Cette méthode nous permet de filtrer efficacement les attaques les plus connues en les insérant via des filtres de contrôle du trafic. La méthode est particulièrement efficace pour éliminer les types d'attaques suivants : réflexion DNS, réflexion NTP et inondation UDP sur le port 80.
3. Authentification challenge-réponse et filtrage dynamique du trafic
Dans cette dernière couche, nous filtrons les attaques sous la forme d'inondations SYN, d'inondations DNS et de paquets invalides. Nous sommes également en mesure de nous adapter de manière flexible à d'autres attaques uniques et de les atténuer de manière fiable.
Les technologies ci-dessus prennent en charge un haut niveau d'automatisation, qui à son tour continuera à être optimisé étape par étape. Nous pouvons améliorer le système en analysant chaque attaque et en ajustant constamment nos filtres et réponses.
La protection DDoS de niveau 3 n'augmentera pas les coûts ou les prix et sera disponible pour tous les clients. Notre système détectera les attaques DDoS à tout moment et sa capacité à les reconnaître s'améliorera continuellement. Une fois qu'une attaque est reconnue, les outils de protection DDoS dynamiques agissent immédiatement et filtrent l'attaque. Votre trafic ne sera généralement pas affecté par le système de protection DDoS en raison de sa méthode d'atténuation dynamique des attaques.
Cloudflare
En plus d'une protection intégrée comme Arbor Networks, notamment pour les attaques de niveau 7 (Application) nous avons des plans commerciaux de CloudFlare avec fonction CDN et WAF (Web Application Firewall).
Cloudflare, Inc. est une société américaine qui s'occupe de réseau de diffusion de contenu (réseau de diffusion de contenu), de services de sécurité Internet et de services DNS distribués, qui se placent entre les visiteurs d'un site et les hébergeurs des utilisateurs de Cloudflare, agissant comme un serveur proxy inverse pour les sites Web.
Cloudflare propose à tous les clients un paramètre « Mode I am under attack » dans la conviction que cela est capable d'atténuer les attaques avancées de niveau 7 grâce à un défi de calcul en JavaScript qui doit être terminé avant que l'utilisateur n'ait accès à un site.
Il a défendu SpamHaus contre une attaque DDoS à plus de 300 Gbit/s. L'architecte en chef d'Akamai a déclaré qu'il s'agissait de "la plus grande attaque DDoS annoncée publiquement de l'histoire d'Internet". Il aurait également absorbé des attaques avec des pics de plus de 400 Gbit/s provenant d'une attaque par réflexion NTP.
Cloudflare permet aux clients disposant de forfaits d'abonnement de profiter d'un service de pare-feu d'application Web. Par défaut, le pare-feu a défini les règles OWASP ModSecurity ainsi que ses propres règles et celles des applications Web courantes.
Cloudflare propose des services de serveur de noms de domaine (DNS) à tous les clients travaillant sur le réseau anycast. Selon W3Cook, le service DNS de Cloudflare alimente actuellement plus de 35% des domaines DNS gérés. SolveDNS a constaté que Cloudflare a systématiquement l'une des résolutions DNS les plus rapides au monde, avec une résolution de 8,66 ms enregistrée en avril 2016.
Pas seulement des outils mais surtout un savoir-faire
En plus d'adopter les bonnes solutions matérielles/logicielles et les bons partenariats commerciaux avec des sociétés de sécurité spécialisées, un savoir-faire adéquat est essentiel pour comprendre l'attaque en cours, identifier les modèles et adopter la meilleure solution de filtrage et d'atténuation DDOS.
Évidemment, quoi qu'il en soit, il doit y avoir une préparation adéquate et la volonté de protéger un client dans une période difficile plutôt que d'accepter d'éteindre la machine et de risquer de perdre un client, ce qui pour le moment pourrait être la solution coût/bénéfice la plus pratique pour le fournisseur.
La vérité est que vous devez être prêt et contrairement à de nombreux autres fournisseurs, nous le sommes.