Patrick Lambert couvre les attaquants diverses méthodes utiliser pour lancer des attaques par déni de service, et les précautions que vous pouvez prendre pour empêcher ou du moins, d'atténuer ces types d'événements.
Le mois dernier, un couple de nouvelles histoires fait le tour dans les grands médias au sujet de certains des attaques par déni de service ou DDoS contre certains des sites les plus connus de banques américaines . Ces types d'attaques sont certainement pas nouveau, et ils se produisent sur une base constante, mais dans ce cas il était digne d'intérêt parce que les assaillants étaient apparemment tous de la même région, et aller après des objectifs très précis. Bien sûr, de nombreux spectacles grand public trop hype de la situation, parler de tentatives de piratage et les attaques cybernétiques contre notre système financier, alors qu'en fait, aucun d'entre nous qui savent ce que c'est vraiment un DDoS sait que c'est deux choses très distinctes. Mais connaissant les rudiments d'un DDoS, et étant équipé pour faire face à une attaque à grande échelle de ce type sont également deux choses très différentes. Alors que les grands sites sont souvent attaqués, il est important que les entreprises et les réseaux font tout ce qu'ils peuvent pour les détourner et restent accessibles, même sous de lourdes charges. Et même si vous gérez un petit site, comme une petite entreprise ou le réseau d'un groupe de personnes, vous ne savez jamais quand quelqu'un décide de s'en prendre à vous. Voyons quelques-uns des détails importants derrière ce qui est vraiment un DDoS, et certaines méthodes qui peuvent être utilisées pour s'assurer que votre réseau est sûr d'eux.
DDoS: méthodes multiples
Il sert à être un déni de service était le type le plus simple de l'attaque là-bas. Quelqu'un pourrait lancer la commande ping sur leur ordinateur, il vise à leur adresse cible, et laissez-le fonctionner à pleine vitesse, en essayant d'inonder littéralement de l'autre côté avec les demandes d'écho ICMP, ou des paquets de ping. Bien sûr, cela a rapidement changé, car dans ce cas, l'attaquant aurait besoin d'une connexion avec plus de bande passante que le site cible. Tout d'abord, ils sont passés à plus grande hôtes, comme compromettre un serveur dans un centre universitaire ou de la recherche - un endroit avec beaucoup de bande passante - et ont envoyé leurs attaques à partir de là. Mais maintenant, les botnets sont utilisés dans presque tous les cas, parce que c'est plus simple pour eux, et il est moins apparent, ce qui rend l'attaque complètement distribué.En fait, les auteurs de malwares ont fait une grande entreprise de gestion d'un réseau de zombies. En fait, ils louer leurs ordinateurs zombies compromis, à l'heure. Si quelqu'un veut faire tomber un site web, tout ce qu'ils ont à faire est de payer le propriétaire d'un réseau de zombies certaine somme d'argent, et ces milliers de systèmes compromis visent à la cible. Alors que d'un seul ordinateur n'aurait aucune chance d'apporter un site vers le bas, si 10.000 ordinateurs ou plus tous envoyer une demande à la fois, ce serait faire tomber n'importe quel serveur non protégé.
Le type d'attaque a évolué ainsi. ICMP, ce qui est utilisé par la commande ping, est facilement bloquée. Maintenant, il ya différentes façons dont une attaque DDoS peut être fait. D'abord il ya ce qu'on appelle une attaque SYN, ce qui signifie simplement que l'attaquant ouvre une connexion TCP, comme vous le feriez normalement se connecter à un site Web, mais ne finit jamais la poignée de main initiale. Il laisse en fait le serveur pendaison. Une autre façon intelligente consiste à utiliser des DNS. Il ya beaucoup de fournisseurs de réseaux qui ont leurs serveurs DNS configurés pour permettre à quiconque de lancer des requêtes, même les gens qui ne sont pas clients de la leur. Aussi, parce que DNS utilise UDP, qui est un protocole sans état, ces deux faits font un puissant moyen de créer un déni de service. Tout l'attaquant doit faire est de trouver ouvertes résolveurs DNS, élaborer un paquet UDP faux qui dispose d'une adresse usurpée, celui du site cible, et de l'envoyer au serveur DNS. Alors que la demande émane de l'attaquant et son réseau de zombies, le serveur pense que la demande venait du serveur à la place, et enverra la réponse à cette situation. Ainsi, au lieu d'avoir le botnet réelle mener l'attaque, la seule chose que le site cible verrez un tas de réponses DNS en provenance de nombreux résolveurs ouvertes, tout autour de l'Internet. De plus, c'est un type très évolutive de l'attaque, parce que vous pouvez envoyer un seul paquet UDP à un serveur DNS pour demander un vidage complet d'un certain domaine, et de recevoir une réponse très grande.
Comment protéger votre réseau
Donc, comme vous pouvez le voir, un DDoS peut prendre des formes multiples, et lors de la construction d'une défense contre eux, il est important de tenir compte de ces variantes. Le plus simple, bien que d'une façon coûteuse de se défendre, est d'acheter plus de bande passante. Un déni de service est un jeu de capacité. Si vous avez des 10.000 systèmes envoi de 1 Mbps à votre façon ce qui signifie que vous obtenez 10 Go de données frapper votre serveur à chaque seconde. C'est beaucoup de trafic. Dans ce cas, les mêmes règles s'appliquent que pour une redondance normale. Vous voulez plus de serveurs, répartis dans différents centres de données, et que vous souhaitez utiliser l'équilibrage de charge bien. Que le trafic ayant étalé sur plusieurs serveurs aidera la charge, et nous espérons que vos tuyaux sera assez grand pour gérer tout ce trafic. Mais modernes attaques DDoS sont de grande follement, et bien souvent, peut être beaucoup plus grand que ce que vos finances permettra en termes de bande passante. De plus, parfois ce n'est pas votre site qui sera ciblée, un fait que les administrateurs ont tendance à oublier.
Une des pièces les plus critiques de votre réseau est votre serveur DNS. C'est une mauvaise idée de le laisser comme un résolveur ouverte, et elle doit être verrouillée afin de vous éviter d'être utilisé dans le cadre d'une attaque. Mais de la même manière, si ces serveurs ont été attaqués?Même si votre site est en place, si personne ne peut se connecter à vos serveurs DNS et résoudre votre nom de domaine, c'est tout aussi mauvais. La plupart des inscriptions de domaine sont fait avec deux serveurs DNS, mais bien souvent, qui peut ne pas être suffisant. Assurez-vous que votre serveur DNS est protégé par le même type d'équilibrage de la charge que votre site Web et d'autres ressources sont. Il ya aussi des entreprises là-bas qui offrent DNS redondants que vous pouvez utiliser. Par exemple, de nombreuses personnes utilisent des réseaux de diffusion de contenu pour servir des fichiers à des clients de manière distribuée, ce qui est une excellente façon aussi de les protéger contre les attaques DDoS, mais beaucoup de ces entreprises offrent également amélioré DNS protection ainsi, ce qui est quelque chose que vous pouvez voulez regarder.
Si vous êtes au service de vos propres données, et la gestion de votre réseau, alors il ya beaucoup de choses que vous pourriez faire pour la protéger à la couche réseau. Assurez-vous que tous vos routeurs paquets inutiles baisse, les choses bloc comme ICMP si vous n'avez pas besoin de passer par, et mettre en place des pare-feux bonnes. Par exemple, il est bien évident que votre site ne va jamais demander aléatoires serveurs DNS pour les requêtes, il n'y a donc aucune raison de permettre le port UDP 53 paquets dirigés pour vos serveurs. Bloquer tout ce que vous pouvez à votre frontière du réseau, où vous avez le plus gros tuyau, ou, mieux encore, demandez à votre fournisseur d'accès pour les bloquer pour vous. De nombreux fournisseurs de services Internet offrent ce type de service aux entreprises, où vous pouvez être en contact avec leurs centres d'exploitation de réseau et assurez-vous qu'ils bloquent tout trafic indésirable, et aussi vous aider au cas où vous être attaqué. De la même manière, il existe de nombreusesfaçons de protéger votre réseau contre les attaques SYN, en augmentant votre carnet de TCP, la réduction de la minuterie Syn-Reçus ou à l'aide des caches Syn.
Enfin, vous devez également penser à des façons d'atténuer toute attaque qui fait accéder à votre site. Par exemple, les sites Web les plus modernes utilisent beaucoup de ressources dynamiques.Alors que la bande passante réelle d'une attaque peut être gérable, ce qui finit souvent défaillant est la base de données, ou les scripts personnalisés que vous pouvez être en cours d'exécution.Pensez à utiliser la mise en cache des serveurs de fournir autant que possible le contenu statique.Ayez un plan en place pour remplacer rapidement les ressources dynamiques avec les statiques, dans le cas où vous être attaqué. Et assurez-vous de disposer de systèmes de détection en place. La pire chose pour toute entreprise est pour le réseau ou un site à descendre, si vous voulez être alerté dès qu'un attaque commence, et être prêt à y faire face. En raison de la façon dont c'est fait, arrêter une attaque DDoS à la source est incroyablement difficile. Mais la mise en place d'une infrastructure qui est distribué, trempé, et sécuritaire est possible, et c'est quelque chose que vous devriez penser lorsque vous configurez votre réseau.