Au cours des deux premiers trimestres de 2020, le nombre d’attaques DDoS a presque triplé, 65 % d’entre elles étant des tentatives primitives de « tests de charge » qui « désactivent » facilement les sites sans défense de petites boutiques en ligne, forums, blogs et médias.
Comment choisir un hébergement protégé contre les DDoS ? À quoi faut-il faire attention et à quoi faut-il se préparer pour ne pas se retrouver dans une situation désagréable ?
(Vaccination contre le marketing « gris » à l’intérieur)
La disponibilité et la variété des outils permettant de mener des attaques DDoS obligent les propriétaires de services en ligne à prendre des mesures appropriées pour contrer la menace. Vous ne devez pas penser à la protection DDoS après la première panne, ni même dans le cadre d'un ensemble de mesures visant à augmenter la tolérance aux pannes de l'infrastructure, mais au stade du choix d'un site de placement (hébergeur ou centre de données).
Les attaques DDoS sont classées en fonction des protocoles dont les vulnérabilités sont exploitées aux niveaux du modèle Open Systems Interconnection (OSI) :
- canal (L2),
- réseau (L3),
- transports (L4),
- appliquée (L7).
Du point de vue des systèmes de sécurité, elles peuvent être généralisées en deux groupes : les attaques au niveau de l'infrastructure (L2-L4) et les attaques au niveau des applications (L7). Cela est dû à la séquence d'exécution des algorithmes d'analyse du trafic et à la complexité des calculs : plus nous examinons le paquet IP en profondeur, plus la puissance de calcul est requise.
De manière générale, le problème de l'optimisation des calculs lors du traitement du trafic en temps réel fait l'objet d'une série d'articles distincte. Imaginons maintenant qu'il existe un fournisseur de cloud disposant de ressources informatiques conditionnellement illimitées, capable de protéger les sites contre les attaques au niveau des applications (y compris ).
3 questions principales pour déterminer le degré de sécurité de l'hébergement contre les attaques DDoS
Examinons les conditions de service pour la protection contre les attaques DDoS et l'accord de niveau de service (SLA) du fournisseur d'hébergement. Contiennent-ils des réponses aux questions suivantes :
- quelles sont les limitations techniques indiquées par le prestataire de services ??
- que se passe-t-il lorsque le client dépasse les limites ?
- Comment un hébergeur construit-il une protection contre les attaques DDoS (technologies, solutions, fournisseurs) ?
Si vous n'avez pas trouvé ces informations, c'est une raison pour soit réfléchir au sérieux du fournisseur de services, soit organiser vous-même une protection DDoS de base (L3-4). Commandez par exemple une connexion physique au réseau d’un prestataire de sécurité spécialisé.
Important! Cela ne sert à rien de se protéger contre les attaques au niveau des applications grâce au Reverse Proxy si votre hébergeur n'est pas en mesure d'assurer une protection contre les attaques au niveau de l'infrastructure : les équipements réseau seront surchargés et deviendront indisponibles, y compris pour les serveurs proxy du fournisseur de cloud (Figure 1).
Figure 1. Attaque directe sur le réseau de l'hébergeur
Et ne les laissez pas vous raconter des contes de fées selon lesquels la véritable adresse IP du serveur est cachée derrière le cloud du fournisseur de sécurité, ce qui signifie qu’il est impossible de l’attaquer directement. Dans neuf cas sur dix, il ne sera pas difficile pour un attaquant de retrouver la véritable adresse IP du serveur ou du moins du réseau de l’hébergeur afin de « détruire » l’intégralité d’un data center.
Comment agissent les pirates à la recherche d'une véritable adresse IP
Sous les spoilers se trouvent plusieurs méthodes pour trouver une véritable adresse IP (données à titre informatif).
Méthode 1 : Rechercher dans des sources ouvertes
Vous pouvez lancer votre recherche avec le service en ligne: Il recherche sur le dark web, les plateformes de partage de documents, traite les données Whois, les fuites de données publiques et bien d'autres sources.
Si, à partir de certains signes (en-têtes HTTP, données Whois, etc.), il était possible de déterminer que la protection du site est organisée à l'aide de Cloudflare, alors vous pouvez commencer à rechercher la véritable IP depuis, qui contient environ 3 millions d'adresses IP de sites situés derrière Cloudflare.
Utilisation d'un certificat et d'un service SSL vous pouvez trouver de nombreuses informations utiles, y compris la véritable adresse IP du site. Pour générer une demande pour votre ressource, rendez-vous dans l'onglet Certificats et saisissez :
_parsed.names : nomsite ET tags.raw : fiable
Pour rechercher des adresses IP de serveurs utilisant un certificat SSL, vous devrez parcourir manuellement la liste déroulante avec plusieurs outils (l'onglet « Explorer », puis sélectionner « Hôtes IPv4 »).
Méthode 2 : DNS
La recherche dans l’historique des modifications des enregistrements DNS est une méthode ancienne et éprouvée. L'adresse IP précédente du site peut indiquer clairement sur quel hébergement (ou centre de données) il se trouvait. Parmi les services en ligne en termes de facilité d'utilisation, se distinguent les suivants : и .
Lorsque vous modifiez les paramètres, le site n'utilisera pas immédiatement l'adresse IP du fournisseur de sécurité cloud ou du CDN, mais fonctionnera directement pendant un certain temps. Dans ce cas, il est possible que les services en ligne permettant de stocker l'historique des modifications d'adresse IP contiennent des informations sur l'adresse source du site.
S'il n'y a que le nom de l'ancien serveur DNS, alors à l'aide d'utilitaires spéciaux (dig, host ou nslookup), vous pouvez demander une adresse IP par le nom de domaine du site, par exemple :
_dig @old_dns_server_name nomсайта
Méthode 3 : e-mail
L'idée de la méthode est d'utiliser le formulaire de retour d'information/inscription (ou toute autre méthode permettant d'initier l'envoi d'un courrier) pour recevoir un courrier sur votre email et vérifier les en-têtes, notamment le champ « Reçu ». .
L'en-tête de l'e-mail contient souvent l'adresse IP réelle de l'enregistrement MX (serveur d'échange de courrier électronique), qui peut être un point de départ pour rechercher d'autres serveurs sur la cible.
Outils d'automatisation de la recherche
Le logiciel de recherche IP derrière le bouclier Cloudflare fonctionne le plus souvent pour trois tâches :
- Recherchez une mauvaise configuration DNS à l’aide de DNSDumpster.com ;
- Analyse de la base de données Crimeflare.com ;
- recherchez des sous-domaines à l’aide d’une méthode de recherche par dictionnaire.
La recherche de sous-domaines est souvent l'option la plus efficace des trois : le propriétaire du site peut protéger le site principal et laisser les sous-domaines fonctionner directement. Le moyen le plus simple de vérifier est d'utiliser .
De plus, il existe des utilitaires conçus uniquement pour rechercher des sous-domaines à l'aide d'une recherche dans un dictionnaire et d'une recherche dans des sources ouvertes, par exemple : ou .
Comment se déroule la recherche dans la pratique
Par exemple, prenons le site seo.com utilisant Cloudflare, que nous retrouverons grâce à un service bien connu (permet à la fois de déterminer les technologies/moteurs/CMS sur lesquels le site fonctionne, et inversement - rechercher des sites par les technologies utilisées).
Lorsque vous cliquez sur l'onglet « Hôtes IPv4 », le service affichera une liste des hôtes utilisant le certificat. Pour trouver celle dont vous avez besoin, recherchez une adresse IP avec le port ouvert 443. Si elle redirige vers le site souhaité, alors la tâche est terminée, sinon vous devez ajouter le nom de domaine du site dans l'en-tête « Hôte » du Requête HTTP (par exemple, *curl -H "Hôte : nom_site" *).
Dans notre cas, une recherche dans la base de données Censys n'a rien donné, alors passons à autre chose.
Nous effectuerons une recherche DNS via le service.
En recherchant les adresses mentionnées dans les listes de serveurs DNS à l'aide de l'utilitaire CloudFail, on trouve des ressources de travail. Le résultat sera prêt dans quelques secondes.
En utilisant uniquement des données ouvertes et des outils simples, nous avons déterminé la véritable adresse IP du serveur Web. Le reste pour l’attaquant est une question de technique.
Revenons au choix d'un hébergeur. Pour évaluer le bénéfice du service pour le client, nous examinerons les méthodes possibles de protection contre les attaques DDoS.
Comment un hébergeur construit sa protection
- Propre système de protection avec équipement de filtrage (Figure 2).
A besoin:
1.1. Équipements de filtrage du trafic et licences de logiciels ;
1.2. Des spécialistes à temps plein pour son support et son fonctionnement ;
1.3. Des canaux d'accès à Internet qui seront suffisants pour recevoir des attaques ;
1.4. Bande passante importante du canal prépayé pour recevoir du trafic « indésirable ».
Figure 2. Système de sécurité propre au fournisseur d'hébergement
Si nous considérons le système décrit comme un moyen de protection contre les attaques DDoS modernes de plusieurs centaines de Gbit/s, un tel système coûtera très cher. L’hébergeur bénéficie-t-il d’une telle protection ? Est-il prêt à payer pour du trafic « indésirable » ? Évidemment, un tel modèle économique n'est pas rentable pour le fournisseur si les tarifs ne prévoient pas de paiements supplémentaires. - Proxy inverse (pour les sites Web et certaines applications uniquement). Malgré un certain nombre , le fournisseur ne garantit pas la protection contre les attaques DDoS directes (voir Figure 1). Les fournisseurs d'hébergement proposent souvent une telle solution comme une panacée, transférant la responsabilité au fournisseur de sécurité.
- Services d'un fournisseur cloud spécialisé (utilisation de son réseau de filtrage) pour se protéger contre les attaques DDoS à tous les niveaux OSI (Figure 3).
Figure 3. Protection complète contre les attaques DDoS à l'aide d'un fournisseur spécialisé
suppose une intégration profonde et un haut niveau de compétence technique des deux parties. L'externalisation des services de filtrage du trafic permet à l'hébergeur de réduire le prix des services supplémentaires pour le client.
Important! Plus les caractéristiques techniques du service fourni sont décrites en détail, plus il est possible d'exiger leur mise en œuvre ou une indemnisation en cas d'indisponibilité.
En plus des trois méthodes principales, il existe de nombreuses combinaisons et combinaisons. Lors du choix d'un hébergement, il est important que le client se rappelle que la décision dépendra non seulement de la taille des attaques bloquées garanties et de la précision du filtrage, mais également de la rapidité de réponse, ainsi que du contenu de l'information (liste des attaques bloquées, statistiques générales, etc.).
N'oubliez pas que seuls quelques fournisseurs d'hébergement dans le monde sont capables de fournir à eux seuls un niveau de protection acceptable ; dans d'autres cas, la coopération et les connaissances techniques sont utiles. Ainsi, comprendre les principes de base de l'organisation de la protection contre les attaques DDoS permettra au propriétaire du site de ne pas tomber dans le piège des astuces marketing et de ne pas acheter un « cochon dans un sac ».
Source: habr.com