Se préparer aux DDoS

Sur son blog, Akamai évoque régulièrement le sujet des DDoS. Voici le dernier article en date : Bracing For Fresh DDoS Attacks.

En contrepoint à ce point de vue, nous soutiendrons 2 points essentiels :

  1. Les DDoS ne sont pas réservés qu’aux institutions financières. Un service ENT que nous suivons au plus près l’a expérimenté à ses dépends. En l’occurrence, le degré de distribution était limité puisque la remédiation a consisté en quelques nul route sur les FAI amont. Par contre, cela a clairement mis en valeur le manque de préparation de l’infogéreur (un grand de la place de Paris…).
  2. Les fournisseurs comme Akamai ou Arbor Networks poussent des solutions toujours  plus complexes pour identifier les requêtes inappropriées. Ils oublient généralement les possibilités simples de l’entreprise de s’organiser :
      • Tests préalables de limite de capacité de ses infrastructures.
        Il vaut toujours mieux s’autolimiter avant de dépasser ses capacités : c’était déjà vrai, il y a 30 ans pour la circulation du trafic routier ; c’est vrai dans le traitement du bufferbloat (apparu notamment avec l’ADSL), c’est vrai avec les DDoS.
      • Une autre approche pour séparer le bon grain de l’ivraie consiste à remarquer, comme le fait Google pour l’authentification multi-facteur, que vos clients / utilisateurs ne se connectent pas en fait de n’importe où.
        Si vous êtes un e-commerçant français, votre marché est principalement constitué des abonnés Wanadoo, SFR, Numericable, etc. Leurs plages d’adresses réseaux sont faciles à déterminer et agréger. On peut aussi se baser sur les logs des visites des derniers mois, agrandir les plages en se rappelant les règles d’attribution du RIPE ou de l’ARIN, puis agréger les origines pour circonvenir un périmètre réseau des visiteurs récurrents. Par rapport à l’article d’Akamai, il y a peu de chance que les serveurs CMS compromis soit inclus dans ce périmètre.
        Des ACL peuvent alors servir de secours pour, en période de crise, garantir que vos clients / utilisateurs réguliers ne sont pas impactés.

 

Et aussi

  • 25 avril 2014 Quelle est la qualité des réseaux dans vos agences et sites distants ? Comme conseil spécialisé, nous sommes appelés à étudier & architecturer des réseaux IP, quotidiennement. Et certains constats se répètent. Lorsqu’on interroge les utilisateurs, particulièrement sur sites distants ou en agences, ils se plaignent de lenteurs. Lorsqu’on interviewe les administrateurs réseaux, ils montrent des graphes d’utilisations des liens. Parfois ils […]
  • 11 février 2011 Impact du SSL sur les performances & les reseaux Discussion technique et savante d'un Ingenieur de Google sur les progrès en cours pour améliorer les performances du SSL comme technique de sécurisation. http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html
  • 9 novembre 2012 Comment revisiter les classiques : ping Un grand cuisinier sait revisiter de temps en temps ses recettes classiques pour parfaire ses gestes de base et vérifier ses ustensiles. Les ingénieurs réseaux ont toujours besoin d'un bon outil pour pinger et celui fournit par l'OS de leur PC n'est pas forcément le meilleur. Voici trois alternatives qui méritent d'être signalées. PsPing CryPing Fping Ce message a été […]

Une remarque sur “Se préparer aux DDoS

Commentaires fermés