4 tactiques essentielles pour prévenir les attaques DDoS et protéger votre infrastructure réseau
Qu'est-ce que le déni de service distribué (DDoS) et comment protéger l'environnement réseau ?
L'atténuation DDoS fait référence à la protection réussie d'un serveur ou d'un réseau ciblé contre une attaque par déni de service distribué (DDoS). Une victime ciblée peut atténuer la menace entrante à l'aide d'un équipement réseau spécialement conçu ou d'un service de protection basé sur le cloud.
Il existe quatre phases d'atténuation d'une attaque DDoS.
Chaque phase doit être en place et fonctionnelle pour se défendre contre l'attaque.
- Détection – pour arrêter une attaque distribuée, un site Web doit ensuite distinguer une attaque d'un volume élevé de trafic régulier si une sortie de produit ou une autre annonce a un site Web inondé de nouveaux visiteurs légitimes. La dernière chose que le site veut faire est de les étrangler ou de les empêcher de voir le contenu du site Web. La réputation IP, les modèles d'attaque courants et les données précédentes aident à une détection appropriée.
- Réponse – dans cette étape, le réseau de protection DDoS répond à une menace identifiée entrante en supprimant intelligemment le trafic de robots malveillants et en absorbant le reste du trafic de données. En utilisant les règles de page WAF pour les attaques de la couche application (L7) ou un autre processus de filtrage pour gérer les attaques de niveau inférieur (L3/L4) telles que la mise en cache mémoire ou l'amplification NTP, un réseau peut atténuer la tentative de perturbation.
- Routage - En acheminant intelligemment le trafic, une solution d'atténuation DDoS efficace divisera le trafic restant en segments gérables empêchant le déni de service.
- Adaptation – Un bon réseau analyse le trafic pour des modèles tels que la répétition de blocs IP offensants, des attaques particulières provenant de certains pays ou une mauvaise utilisation de protocoles spécifiques. Un service de protection peut se durcir contre de futures attaques en s'adaptant aux modes d'attaque.
Techniques de filtrage de base prenant en charge l'atténuation DDoS:
- Suivi de connexion
- Liste de réputation IP
- Liste noire et liste blanche
- Limitation de débit à la périphérie
- Adéquat à l'environnement Pare-feu de nouvelle génération avec Smart Policy

Attaque par déni de service distribué (DDoS) - processus d'atténuation
Choisir un service d'atténuation des attaques DDoS
Les solutions traditionnelles d'atténuation des attaques DDoS impliquaient l'achat d'équipements sur site et le filtrage du trafic entrant. Cette approche consiste à acheter et entretenir des équipements coûteux et s'appuie sur un réseau capable d'absorber une attaque. Si une attaque DDoS est suffisamment importante, elle peut détruire l'infrastructure réseau en amont, empêchant toute solution sur site d'être productive. Lors de l'achat d'un service d'atténuation DDoS basé sur le cloud, évaluez les caractéristiques spécifiques.
- Évolutivité – une solution pratique doit pouvoir s'adapter aux besoins d'une entreprise en croissance et répondre à la taille toujours croissante des attaques DDoS. Des attaques supérieures à 1 To par seconde (TBPS) se sont produites, et rien n'indique que la tendance de la taille du trafic d'attaque soit à la baisse. Le réseau de Cloudflare peut gérer des attaques DDoS 10 fois plus importantes que jamais.
- Flexibilité – la création de politiques et de modèles ad hoc permet à une propriété Web de s'adapter rapidement aux menaces entrantes. La possibilité d'implémenter des règles de page et de remplir ces modifications sur l'ensemble du réseau est une fonctionnalité essentielle pour maintenir un site en ligne pendant une attaque.
- Fiabilité - tout comme une ceinture de sécurité, la protection DDoS est quelque chose dont vous n'avez besoin que lorsque vous en avez besoin, mais le moment venu, il vaut mieux qu'elle soit fonctionnelle. La fiabilité d'une solution DDoS est essentielle au succès de toute stratégie de protection. Assurez-vous que le service a des taux de disponibilité élevés et que les ingénieurs de fiabilité du site travaillent 24 heures sur XNUMX pour maintenir le réseau en ligne et identifier les nouvelles menaces. La redondance, le basculement et un vaste réseau de centres de données devraient être au cœur de la stratégie de la plate-forme.
- Taille du réseau – Les attaques DDoS ont des modèles sur Internet, car des protocoles et des vecteurs d'attaque particuliers changent avec le temps. Un vaste réseau avec un transfert de données étendu permet à un fournisseur d'atténuation DDoS d'analyser et de réagir rapidement et efficacement, arrêtant souvent les attaques avant qu'elles ne se produisent. Le réseau de Cloudflare gère 10 % d'Internet, ce qui crée un avantage dans l'analyse des données du trafic d'attaque dans le monde entier.
Quelques messages précieux dans le sujet
Comment protéger l'ensemble de votre réseau contre les cyberattaques?
Qu'est-ce qu'un pare-feu? Qu'est-ce qui est vital à propos du pare-feu d'entreprise?
Meilleures pratiques de conception de réseau 10 pour votre infrastructure
Protection DDoS avec Cisco Firepower - Radware
Regardez cette vidéo pour vous familiariser avec le module de protection et d'atténuation Radware DDoS sur Cisco Firepower NGFW. La vidéo montre comment Firepower détecte en quelques secondes les attaques DDoS de réseau et d'application zero-day et les bloque avec précision sans bloquer le trafic utilisateur légitime.
Contactez-nous pour plus d'informations sur la manière de déployer une infrastructure sécurisée. Nous pouvons répondre à toutes vos questions.
Planifier une réunion | Intelligence Artificielle | Café virtuel
Veuillez consulter nos études de cas et autres articles pour en savoir plus:
Comment protéger l'ensemble de votre réseau contre les cyberattaques?
Pare-feu d'applications Web (WAF) - Bouclier pour application
F5 WAF sur AWS – des solutions innovantes pour sécuriser les applications web
Le cas de l'authentification multifacteur qui stoppe presque 100 % des attaques automatisées
Faux Positif, Faux Négatif, Vrai Positif et Vrai Négatif
#ddos #detection #response #réseau #infrastructure