Surveillance DDoS : comment savoir que vous êtes attaqué

Il y a quelque temps, nous avons couvert comment vous pouvez vérifier vos journaux Windows IIS et Loggly pour voir la source d’une attaque DDoS, mais comment savoir quand votre réseau est attaqué ? Il n’est pas efficace d’avoir des humains qui surveillent les journaux tous les jours et toutes les heures, vous devez donc compter sur des ressources automatisées. La surveillance automatisée des DDoS donne à votre équipe de sécurité plus de bande passante pour se concentrer sur d’autres tâches importantes tout en recevant des notifications si des anomalies se produisent à la suite d’un événement DDoS.

Qu’est-ce qu’une attaque DDoS?

En bref, une attaque DDoS est une inondation de trafic vers votre hôte ou serveur web. Avec suffisamment de trafic, un attaquant peut manger votre bande passante et les ressources de votre serveur jusqu’à ce qu’un (ou les deux) soit tellement inondé qu’il ne puisse plus fonctionner. Le serveur tombe en panne, ou la bande passante est tout simplement insuffisante pour permettre aux véritables clients d’accéder à votre service web. Comme vous pouvez probablement le deviner, cela signifie un crash de votre service et une perte de revenus tant que l’attaque se poursuit.

Les attaques DDoS peuvent être dévastatrices pour une entreprise en ligne, c’est pourquoi il est important de comprendre comment elles fonctionnent et comment les atténuer rapidement. Pendant l’attaque, il n’y a pas une seule source, donc vous ne pouvez pas simplement filtrer une IP pour l’arrêter. Les attaquants DDoS infectent les systèmes des utilisateurs (cela peut signifier des ordinateurs mais aussi des systèmes intégrés ou des appareils IoT) avec un logiciel qui leur permet de les contrôler dans le monde entier. L’attaquant utilise un système centralisé qui indique ensuite à ces machines infectées par un logiciel malveillant d’envoyer du trafic vers le site. Le nombre de machines à la disposition de l’attaquant dépend du nombre de machines infectées, mais il peut se chiffrer en dizaines de milliers. Pour aggraver les choses, les logiciels malveillants DDoS sont généralement très sophistiqués et utilisent des techniques pour surcharger votre serveur aussi efficacement que possible, par exemple en envoyant des demandes de connexion incomplètes qui provoquent des états d’attente sur votre système, pendant lesquels le système attaquant peut envoyer de nouvelles demandes.

Vous pouvez généralement identifier l’ampleur d’une attaque à laquelle vous pouvez résister. Si votre trafic normal est de 100 connexions à la fois tout au long de la journée et que votre serveur fonctionne normalement, alors 100 machines se disputant une connexion ne vous affecteront probablement pas. Cependant, dans le cas d’une attaque DDoS, il s’agira de milliers de connexions provenant de nombreuses IP différentes en même temps. Si votre serveur ne peut pas gérer 10 000 connexions à la fois, alors vous pourriez être vulnérable à une attaque DDoS.

Sans avertissement, vous avez des centaines ou des milliers de machines (serveurs, ordinateurs de bureau et même appareils mobiles) qui envoient du trafic à votre site en même temps. En quelques minutes, les performances et les ressources de votre site sont sévèrement drainées et les utilisateurs normaux ne peuvent pas accéder à votre site.

Comment savoir quand une attaque DDoS se produit ?

La partie la plus difficile d’une attaque DDoS est qu’il n’y a pas d’avertissement. Certains grands groupes de pirates enverront des menaces, mais pour la plupart, un attaquant envoie la commande pour attaquer votre site sans aucun avertissement.

Comme vous ne naviguez pas normalement sur votre site, ce n’est que lorsque les clients se plaignent que vous réalisez enfin que quelque chose ne va pas. Au départ, vous ne pensez probablement pas qu’il s’agit d’une attaque DDoS mais plutôt que votre serveur ou votre hébergement est en panne. Vous vérifiez votre serveur et effectuez des tests de base, mais vous ne voyez qu’un trafic réseau élevé avec des ressources au maximum. Vous pourriez vérifier si des programmes fonctionnent en arrière-plan, mais vous ne trouverez aucun problème notable.

Entre le temps qu’il vous faut pour réaliser qu’il s’agit d’une attaque DDoS et le temps qu’il faut pour atténuer les dégâts, plusieurs heures peuvent s’écouler. Cela signifie plusieurs heures de service et de revenus manqués, ce qui prend essentiellement une coupe importante dans vos revenus.

Indicateurs d’attaque DDoS

Le moyen le plus efficace d’atténuer une attaque DDoS est de savoir quand elle se produit immédiatement lorsque l’attaque commence. Il existe plusieurs indices qui indiquent qu’une attaque DDoS en cours est en train de se produire :

• Une adresse IP fait x requêtes sur y secondes
• Votre serveur répond avec un 503 en raison de pannes de service
• Le TTL (time to live) sur une requête ping se termine
• Si vous utilisez la même connexion pour des logiciels internes, les employés remarquent des problèmes de lenteur
• Les solutions d’analyse de logs montrent un énorme pic de trafic

La plupart de ces signes peuvent être utilisés pour automatiser un système de notification qui envoie un email ou un texte à vos administrateurs.

Loggly peut envoyer de telles alertes en fonction des événements de journal et des seuils définis, et même envoyer ces alertes à des outils tels que Slack, Hipchat ou PagerDuty.

Trop de demandes pour une IP

Vous pouvez temporairement configurer le routeur pour envoyer le trafic vers les routes NULL à partir d’IP spécifiques. Cela envoie essentiellement les adresses IP attaquantes vers un vide ou une impasse, afin qu’elles ne puissent pas affecter vos serveurs. Cette opération est quelque peu difficile, car vous pouvez facilement bloquer une adresse IP légitime lorsque vous tentez d’arrêter l’attaque. Un autre problème est que l’IP source est généralement usurpée, de sorte que la connexion n’est jamais achevée entre votre serveur et la machine source.

Le paramétrage des alertes du pare-feu ou du système de prévention ou de détection des intrusions peut être délicat, car là encore, certains bots légitimes seront captés comme une attaque. La configuration et les paramètres dépendent également du système que vous avez.

Dans l’ensemble, vous voulez définir une alerte pour sortir si une gamme d’adresses IP envoie trop de demandes de connexion sur une petite fenêtre de temps. Vous aurez probablement besoin de mettre sur liste blanche certaines adresses IP, parce que celles telles que Googlebot vont explorer votre site à un rythme très rapide et fréquent. Il faudra un peu de temps et de réglage avant d’obtenir cette alerte pour fonctionner correctement, car vous voudrez légitimement que certains bots et scripts s’exécutent qui pourraient envoyer un faux positif à votre système d’alerte.

Le serveur répond avec un 503

Dans Windows, vous pouvez programmer des alertes lorsqu’un événement spécifique se produit dans l’Observateur d’événements. Vous pouvez joindre n’importe quelle tâche à un événement, y compris les erreurs, les avertissements ou tout autre événement qui pourrait vous aider à atténuer un problème avant qu’il ne devienne une situation critique.

Pour joindre une tâche à un événement 503, vous devez d’abord trouver l’événement dans l’Observateur d’événements. Ouvrez l’observateur d’événements et cliquez avec le bouton droit de la souris sur l’événement.

Cela ouvre un écran de configuration où vous pouvez configurer l’événement pour envoyer un courriel à un administrateur ou à une équipe de personnes.

Si vous avez plusieurs serveurs, il est efficace de configurer une alerte similaire en utilisant Loggly:

TTL Times Out

Vous pouvez pinger manuellement vos serveurs pour tester la bande passante et la connexion, mais cela n’aide pas lorsque vous voulez automatiser une alerte avant qu’elle ne soit critique. Si vous faites un ping sur le serveur, alors vous savez déjà que quelque chose ne va pas.

Pour aider à automatiser les alertes ping, plusieurs services sur le web offrent un moyen de faire un ping sur votre site depuis le monde entier. Le service envoie un ping à votre site depuis diverses régions du globe à une fréquence que vous configurez. Si vous avez un hébergement en nuage, vous pourriez avoir un problème dans une région mais pas dans une autre, donc ces services de pinging vous aident à identifier les problèmes dans certains endroits.

Quelques services de pinging sont listés ici. Avec ces services, votre site est surveillé 24 heures sur 24, 7 jours sur 7, afin que votre équipe informatique puisse réagir si votre serveur rencontre des problèmes. Comme une attaque DDoS ronge votre bande passante, le temps de ping sera trop long ou expirera. Le service envoie une alerte à votre équipe, afin qu’elle puisse lancer des techniques d’atténuation et dépanner le problème.

Systèmes de gestion des journaux et surveillance des attaques DDoS

Des solutions telles que Loggly affichent vos statistiques de trafic sur l’ensemble de votre pile et vous aident à identifier s’il y a des anomalies 24 heures sur 24, 7 jours sur 7. En utilisant Loggly, vous pouvez identifier une attaque en cours et envoyer des alertes à vos administrateurs. L’avantage d’utiliser ces journaux est que vous pouvez non seulement identifier les pics de trafic, mais aussi les serveurs affectés, les erreurs renvoyées à vos utilisateurs, ainsi que la date et l’heure précises des pics de trafic. Les outils d’analyse font bien plus que vous dire qu’il y a un problème. Ils vous indiquent également les serveurs affectés pour vous faire gagner du temps en matière de dépannage.

Avec les systèmes de gestion des journaux, vous disposez de plusieurs autres avantages que les autres solutions. Vous pouvez définir des alertes pour tout type d’événement, ce qui rend ce type de système beaucoup plus flexible que de définir une alerte pour le trafic uniquement.

Vous pouvez également rendre vos alertes beaucoup plus granulaires. Par exemple, avec une alerte basée sur une IP au niveau de votre pare-feu, vous obtiendrez plusieurs faux positifs jusqu’à ce que vous modifiiez vos configurations d’alerte pour n’inclure que les IP suspectes. Avec Loggly, vous pouvez configurer vos alertes en fonction d’une combinaison d’événements et de pics de trafic, de sorte que vous ne recevez que les anomalies qui devraient interrompre le personnel informatique et le faire réagir rapidement.

Une remarque sur les alertes : un trop grand nombre d’entre elles peut avoir un effet inverse sur les équipes informatiques. Par exemple, supposons que vous ayez configuré votre système pour envoyer des alertes sur plusieurs anomalies qui sont généralement bénignes. Votre équipe reçoit des centaines d’alertes par jour sur la base de ces configurations. Lorsqu’ils sont inondés d’événements inoffensifs, les informaticiens ont tendance à les ignorer tous, y compris les plus importants. Ce n’est pas intentionnel, mais en recevant des centaines d’alertes par jour, les importantes peuvent être enterrées et le résultat est que l’IT a un oubli pendant une panne critique.

Armettez-vous contre les DDoS

Les événements DDoS sont difficiles mais essentiellement une préoccupation de sécurité majeure pour les administrateurs. Mais avec un peu d’automatisation et d’alertes, vous pouvez déclencher les bonnes notifications proactives qui limitent le temps nécessaire pour identifier et arrêter une attaque DDoS.

Maintenant que vous avez appris la surveillance ddos et comment dire si vous êtes attaqué, inscrivez-vous à un essai GRATUIT sans carte de crédit Loggly et visualisez les performances des apps, le comportement du système et l’activité inhabituelle à travers la pile. Surveillez vos ressources et métriques clés et éliminez les problèmes avant qu’ils n’affectent votre serveur et vos utilisateurs.
>> Inscrivez-vous maintenant pour un essai gratuit de Loggly

Les marques, marques de service et logos de Loggly et SolarWinds sont la propriété exclusive de SolarWinds Worldwide, LLC ou de ses sociétés affiliées. Toutes les autres marques sont la propriété de leurs propriétaires respectifs.