Protection anti-DDoS

Protégez vos infrastructures dédiées contre les attaques par déni de service distribuées

Navigation
Anti-DDoS

Vos services toujours accessibles

Toute attaque menace la disponibilité de vos infrastructures. Il en résulte un service perturbé, voire interrompu pour vos utilisateurs. Notre protection anti-DDoS exclusive garantit l'accessibilité de vos ressources en permanence.

Pour cela, nous nous appuyons sur notre capacité réseau de 15 Tbit/s, ainsi que sur une combinaison de techniques de mitigation : analyse en temps réel du NetFlow, aspiration des attaques et filtration du trafic.

Découvrir

Zoom sur l'anti-DDoS

Anti-DDoS - Analyse en temps réel

Le NetFlow envoyé par les routeurs est analysé par nos solutions de détection afin d'identifier les menaces. Chaque routeur envoie un résumé de 1/2 000e du trafic en temps réel, qui est comparé aux portraits-robots des attaques DDoS. Si l'identification est positive, la mitigation est lancée en quelques secondes.

 

Les portraits-robots se basent sur les seuils de trafic en « paquets par seconde » ou « bits par seconde » pour certains types de paquets comme :

 

  • CMP ;
  • DNS ;
  • IP Fragment ;
  • IP NULL ;
  • IP Private ;
  • TCP ACK ;
  • TCP NULL ;
  • TCP RST ;
  • TCP SYN ;
  • UDP.
Anti-DDoS - Aspiration du trafic

Le principe des attaques DDoS consiste à surcharger les services. Parfois, le réseau entier du fournisseur est incapable de supporter l'attaque. Grâce à une capacité de 15 Tbit/s, notre réseau peut absorber d'importantes quantités de trafic. Et si l’attaque est mondiale, nos solutions de mitigation, répliquées dans nos datacenters sur quatre continents, s’activent simultanément. Elles combinent leur puissance et aspirent les flux illégitimes, sans aucune conséquence pour vos services et clients.

Anti-DDoS - Mitigation automatique

Le terme mitigation désigne les moyens et mesures mis en place pour réduire les effets négatifs d’une attaque DDoS. Cela consiste à filtrer le trafic illégitime et à l’aspirer avec notre technologie VAC, tout en laissant passer les paquets légitimes.

Par défaut, nos solutions cloud sont équipées d’un système de mitigation des attaques DDoS qui s’active en cas de menace. Vous avez aussi accès à une mitigation permanente via le paramétrage de règles, ainsi qu’à la configuration du Firewall Network. Le VAC se compose de différents matériels contribuant chacun, avec une fonction spécifique, à bloquer un ou plusieurs types d’attaques (DDoS, SYN flood, etc.).

Selon la menace, une stratégie de défense est adoptée sur chaque appareil du VAC.

Pré-firewall

Actions du pré-firewall

  • Analyse de la taille des paquets.
  • Autorisation des protocoles TCP, UDP, ICMP et GRE.
  • Blocage de tous les autres protocoles.
  • Fragmentation UDP.
Réseau pare-feu

Actions du Firewall Network

  • Autorisation et blocage d’une IP ou d’un sous-réseau d’IP.
  • Autorisation et blocage d’un protocole (IP, TCP, UDP, ICMP, GRE).
  • Autorisation et blocage d’un port ou d’un intervalle de ports TCP/UDP.
  • Autorisation et blocage des paquets, saufs ceux des protocoles SYN/TCP.
Shield

Actions du Shield

  • Amplification DNS.
  • En-tête IP mal formé.
  • Datagramme UDP mal fragmenté.
  • Limitation ICMP.
  • Somme de contrôle IP incorrecte.
  • Somme de contrôle UDP incorrecte.
Armor

Actions de l’Armor

  • Authentification DNS.
  • Authentification SYN/TCP.
  • En-tête IP mal formé.
  • Détection de zombies.
  • Fragment incomplet, dupliqué, trop long.
  • Limitation DNS.
  • Numéro de séquence invalide.
  • Paquet trop long (IP, TCP, UDP, ICMP).
  • Requête DNS mal formée.
  • Signalements TCP invalides.
  • Somme de contrôle incorrecte (IP, TCP, UDP).

Comprendre les attaques DDoS

Anti-DDoS - Qu'est-ce qu'une attaque DDoS ?

Toutes les entreprises, quels que soient leur taille et leur secteur, peuvent être visées par des attaques par déni de service distribuées (DDoS). Celles-ci visent à rendre un service indisponible, en surchargeant la bande passante de l'infrastructure ou en monopolisant ses ressources jusqu’à saturation. Lors d’une attaque DDoS, un grand nombre de requêtes est envoyé simultanément depuis une multitude de points. L’intensité de ce « feu croisé » est redoutable sans protection adéquate.

 

Il existe trois principaux types d'attaques DDoS :

  • par la bande passante. Cette attaque consiste à saturer la capacité réseau de l'infrastructure pour la rendre injoignable ;
  • par les ressources. Cette attaque consiste à épuiser les ressources système des serveurs, ce qui les empêche de répondre aux requêtes légitimes ;
  • par l'exploitation d'une défaillance logicielle, aussi appelée exploit. Cette attaque cible une faille de sécurité afin de rendre les ressources indisponibles ou d'en prendre le contrôle.

anti-DDoS09.png

Étape 1 : le serveur est opérationnel

Les services sont accessibles depuis Internet. Le trafic transite par le backbone de notre réseau, arrive dans nos datacenters, puis est traité par le serveur qui renvoie les réponses vers le Web.

anti-DDoS08.png

Étape 2 : l’attaque DDoS débute

L'attaque est lancée depuis un ou plusieurs points et arrive dans notre backbone. Grâce à notre capacité excédentaire en bande passante, elle ne sature aucun lien. L'attaque atteint alors le serveur, qui commence à la traiter. En même temps, l'analyse du trafic détecte qu'un DDoS est en cours et déclenche la mitigation.

anti-DDoS07.png

Étape 3 : la mitigation de l’attaque

La mitigation intervient en quelques secondes. Le trafic entrant sur le serveur est aspiré par notre solution VAC. Ces équipements ont une capacité totale de 4 Tbit/s. L’attaque est alors bloquée sans limite de taille ou de durée et quelle que soit sa nature. Le trafic légitime n’est pas interrompu et arrive sur le serveur. Ce processus, également appelé automitigation, est totalement géré par nos soins.

anti-DDoS06.png

Étape 4 : la fin de l’attaque

Une attaque DDoS est onéreuse à lancer, surtout si elle se révèle inefficace. Au bout d’un certain temps, elle finit donc par s’interrompre. Une fois terminée, notre solution anti-DDoS se désactive d’elle-même tout en restant prête à parer toute nouvelle attaque.

FAQ

Cette protection est incluse avec nos services, quelle que soit la durée de votre contrat.

Nos services bénéficient en permanence de la mitigation des attaques DDoS. Cela nous permet de vous protéger efficacement.

Si aucune politique spécifique n’a été sélectionnée via l’API ou votre espace dédié, nous appliquons les règles de mitigation par défaut à votre service. Ceci se fait de façon automatique et par paliers de plus en plus restrictifs.

Le pré-firewall

Le pré-firewall est le premier élément de notre système de protection. Entièrement géré par nos soins, il applique des règles qui définissent les filtres conduisant les paquets au Firewall Network. Ces règles sont applicables à toutes nos solutions. Lorsqu’une attaque DDoS survient, le pré-firewall prend en charge une partie du filtrage et envoie le reste au Firewall Network, dont les règles sont personnalisables. Notre pré-firewall est basé sur un Arista 7508R pouvant atteindre une capacité de 28,8 Tbit/s. L’isolation par virtual routing and forwarding (VRF) permet ensuite de router le trafic à travers les étapes successives de notre système.

Le Firewall Network

Deuxième élément de notre système de protection, le Firewall Network est une solution qui limite l’exposition aux attaques provenant du réseau public. Il est possible de le configurer en créant jusqu’à 20 règles, qui offrent un filtrage des paquets plus fin et adapté à l’activité de votre service. Ce pare-feu s’active automatiquement à chaque attaque DDoS et ne peut pas être désactivé avant la fin de l’attaque. C’est pourquoi il est important de conserver des règles de pare-feu à jour.

Le Shield et l’Armor

Ces deux solutions interviennent en cas d’attaques plus ciblées. Elles permettent de décharger le processeur de la machine d’une partie du filtrage. Le Shield est mobilisé pour les attaques fonctionnant par amplification (DNS Amp, NTP Amp). L’Armor, quant à lui, est le filtre le plus avancé de notre système de protection. Il agit dans la mitigation des attaques les plus évoluées.

Faites de vos idées une réalité !

Notre équipe d’experts est à votre service pour vous conseiller et vous aider à concrétiser vos projets.