Meilleure protection DDoS de 2021

En octobre 2016, le fournisseur de DNS Dyn a été frappé par une importante attaque DDoS (déni de service distribué) par une armée d’appareils IoT qui avaient été piratés spécialement à cet effet. Plus de 14 000 domaines utilisant les services de Dyn ont été submergés et sont devenus inaccessibles, y compris de grands noms comme Amazon, HBO et PayPal.

Selon une étude de Cloudflare, le coût moyen d’une panne d’infrastructure pour les entreprises est de 100 000 $ (75 000 £) par heure. Comment alors s’assurer que votre organisation ne soit pas victime de ce type d’attaque. Dans ce guide, vous découvrirez les principaux fournisseurs d’infrastructure qui disposent de la puissance numérique nécessaire pour se protéger contre les attaques destinées à inonder la capacité de votre réseau.

Vous découvrirez également quels fournisseurs peuvent offrir une protection contre les attaques applicatives (couche 7) plus sophistiquées, qui peuvent être menées sans un nombre énorme d’ordinateurs piratés (parfois appelés botnet).

• Nous avons également mis en avant les meilleurs services d’hébergement web.

Projet Shield est la création de Jigsaw, une ramification de la société mère de Google, Alphabet. Le développement a commencé il y a plusieurs années sous la direction de George Conard à la suite d’attaques contre des sites Web de surveillance des élections et de défense des droits de l’homme en Ukraine.

Project Shield est capable de filtrer le trafic malveillant potentiel en agissant comme un proxy inverse qui se trouve entre un site Web et l’Internet au sens large, en filtrant les demandes de connexion. Si une connexion semble provenir d’un visiteur légitime, Project Shield autorise la demande de connexion. Si une demande de connexion est considérée comme mauvaise, par exemple en cas de tentatives de connexion multiples à partir de la même adresse IP, elle est bloquée. Ce système rend Project Shield extrêmement facile à mettre en œuvre, simplement en modifiant les paramètres DNS de votre serveur.

Les utilisateurs puissants qui lisent peuvent se demander comment le filtrage du trafic via un proxy fonctionnera avec SSL. Heureusement, Jigsaw a pensé à cela et a mis en place un tutoriel complet pour s’assurer que les connexions sécurisées à votre site fonctionnent de manière transparente. Plusieurs autres tutoriels sont également disponibles dans la section support.

Actuellement, Project Shield n’est disponible que pour les sites web liés aux médias, à la surveillance des élections et aux droits de l’homme. L’accent principal est également mis sur les petits sites web manquant de ressources qui ne peuvent pas se permettre des solutions d’hébergement coûteuses pour se protéger contre les DDoS. Si votre organisation ne correspond pas à ces exigences, vous devrez peut-être envisager une solution alternative telle que Cloudflare.

• Vous pouvez vous inscrire à Project Shield ici

Toute personne ayant utilisé Internet au cours des dernières années connaîtra Cloudflare, car de nombreux sites Web importants utilisent sa protection. Bien que Cloudflare soit basé aux États-Unis, il maintient plus de 180 centres de données dans le monde entier : une infrastructure qui rivalise avec celle de Google. Cela maximise les chances de votre site de rester en ligne.

Chaque utilisateur de Cloudflare peut choisir d’activer le mode  » Je suis attaqué  » qui peut protéger contre les attaques DoS les plus sophistiquées en présentant un défi Javascript. En routine, Cloudflare agit également comme un proxy inverse assis entre les visiteurs et l’hôte de votre site pour filtrer le trafic de la même manière que le Project Shield de Jigsaw. En mars 2019, Cloudflare a introduit Spectrum pour UDP, qui fournit une protection DDoS et un pare-feu pour les protocoles non fiables.

Les visiteurs qui effectuent des demandes de connexion doivent passer par une batterie de filtres sophistiqués, notamment la réputation du site, si leur IP a été mise sur liste noire et si l’en-tête HTTP semble suspect. Les requêtes HTTP font l’objet d’un relevé d’empreintes digitales afin de se protéger contre les botnets connus. En tant que géant de l’industrie, Cloudflare peut facilement tirer parti de sa position en partageant des renseignements sur les plus de 7 millions de sites Web qu’il gère.

Cloudflare offre un paquet de base gratuit qui comprend une atténuation DDoS non mesurée. Pour ceux qui sont prêts à payer pour un abonnement professionnel Cloudflare (les prix commencent à 200 $ ou 149 £ par mois), une protection plus avancée est disponible, comme le téléchargement de certificats SSL personnalisés.

• Vous pouvez vous inscrire à Cloudflare ici

La protection AWS Shield est fournie par les bonnes gens d’Amazon web services. Le niveau  » Standard  » est disponible pour tous les clients AWS sans frais supplémentaires. C’est idéal car de nombreuses petites entreprises choisissent d’héberger leurs sites web chez Amazon. AWS Shield Standard est disponible pour tous les clients sans frais supplémentaires. Il protège contre les attaques plus typiques de réseau (couche 3) et de transport (couche 4) lors de l’utilisation des services Cloud Front et Route 53 d’AWS.

Cela devrait rebuter tous les hackers, sauf les plus déterminés. Cependant, votre bande passante, par exemple 15Gbp/s, sera toujours limitée par la taille de votre instance Amazon, ce qui rendra possible pour les pirates de mener une attaque DoS s’ils ont suffisamment de ressources. Pire encore, vous restez responsable du paiement du trafic supplémentaire vers votre instance.

Pour atténuer cela, Amazon propose également AWS Shield Advanced. Un abonnement inclut une protection contre les coûts DDoS, ce qui peut vous éviter un pic énorme dans votre facture d’utilisation mensuelle si vous êtes victime d’une attaque. AWS Shield Advanced peut également déployer vos ACL (listes de contrôle d’accès) jusqu’à la frontière du réseau AWS lui-même, vous offrant ainsi une protection contre les attaques les plus importantes.

Les abonnés Advanced bénéficient également d’une équipe de réponse DRT (DDoS response team) 24 heures sur 24 ainsi que de métriques détaillées sur toute attaque sur vos instances. La tranquillité d’esprit offerte par AWS Shield Advanced est toutefois coûteuse. Vous devez être prêt à vous abonner pour un minimum d’un an au prix de 3 000 dollars (2 200 livres sterling) par mois. Cela s’ajoute aux coûts d’utilisation du transfert de données que vous pouvez couvrir sur la base d’un  » pay as you go « .

• Vous pouvez vous inscrire à AWS Shield ici

Comme Amazon, Microsoft offre la possibilité de louer un espace de service via son service Azure. Tous les membres bénéficient d’une protection DDoS de base. Les fonctionnalités comprennent la surveillance permanente du trafic et l’atténuation en temps réel des attaques réseau (couche 3) pour toutes les adresses IP publiques que vous utilisez. Il s’agit du même type de protection que celui offert aux propres services en ligne de Microsoft et l’ensemble des ressources du réseau d’Azure peut être utilisé pour absorber les attaques DDoS.

Pour les organisations qui ont besoin d’une protection plus sophistiquée, Azure propose également un niveau  » Standard « . Celui-ci a été largement salué pour être très facile à activer, ne nécessitant que quelques clics de votre souris. Il est important de noter qu’Azure ne vous demande pas de modifier vos applications, même si le niveau standard offre une protection contre les attaques DDoS des applications (couche 7) via le pare-feu des applications Web de la passerelle des applications. Azure Monitor peut vous montrer des mesures en temps réel si une attaque a lieu. Celles-ci sont conservées pendant 30 jours et peuvent être exportées pour une étude plus approfondie si vous le souhaitez.

Azure vérifie constamment le trafic web vers vos ressources. Si celles-ci dépassent un seuil prédéfini, la mitigation DDoS est automatiquement lancée. Cela inclut l’inspection des paquets pour s’assurer qu’ils ne sont pas malformés ou usurpés ainsi que l’utilisation de la limitation de débit.

La protection standard est actuellement de 2 944 $ (2 204 £) par mois plus les frais de données pour un maximum de 100 ressources. La protection s’applique de la même manière à toutes les ressources. En d’autres termes, vous ne pouvez pas personnaliser l’atténuation DDoS pour des ressources individuelles.

• Vous pouvez vous inscrire à Microsoft Azure ici

Mise à jour : Les services de sécurité de Verisign sont transférés à Neustar.

Verisign est presque aussi vieux que l’Internet lui-même. Depuis 1995, elle est passée d’une simple autorité de certification à un acteur majeur de l’industrie des services réseau.

La protection DDoS de Verisign fonctionne dans le Cloud. Les utilisateurs peuvent choisir de rediriger les tentatives de connexion par une simple modification de leurs paramètres DNS (Domain Name Server). Le trafic est envoyé à Verisign pour vérification afin d’éviter les attaques réseau. Verisign analyse minutieusement tout le trafic avant de le rediriger.

Comme Verisign exploite deux des treize serveurs de noms de route mondiaux, il n’est pas surprenant que l’organisation maintienne également plusieurs « centres d’épuration » dédiés aux DDoS. Ces centres analysent le trafic et filtrent les mauvaises demandes de connexion. L’infrastructure combinée fonctionne à près de 2TB/s et peut bloquer les attaques DDoS les plus écrasantes.

Ce résultat est en grande partie obtenu grâce à Athena, la plateforme d’atténuation des menaces de Verisign. Athena se divise grosso modo en trois éléments. Le ‘bouclier’ filtre les attaques de réseau (couche 3) et de transport (couche 4) via le DPI (Deep Packet Inspection), les listes noires &les listes blanches et la gestion de la réputation des sites. Le ‘proxy’ Athena inspecte les en-têtes HTTP pour détecter le mauvais trafic lors des premières tentatives de connexion. Le ‘proxy’ et le ‘bouclier’ sont pris en charge par l »équilibreur de charge’ d’Athena qui permet d’éviter les attaques d’applications (couche 7).

Le portail client affiche des rapports détaillés sur le trafic et vous permet de configurer votre gestion des menaces, par exemple en créant des listes noires de connexion. Pour les utilisateurs qui hésitent à tout déployer dans le Cloud, Verisign propose également OpenHybrid qui peut être installé sur site.

• Vous pouvez vous inscrire à la protection DDoS de Verisign ici

Crédit image : Wikimedia Commons (Antoine Lamielle)

.