Dans les premiers jours de la nouvelle année, le fournisseur d’hébergement 123-reg a de nouveau été touché par une attaque par déni de service (DDoS), empêchant les clients d’accéder à leurs sites Web et à leurs comptes de messagerie..

Bien que l'ampleur et la force de l'attaque n'aient pas été aussi grandes que l'attaque de 30 Gbps sur le site Web en août dernier, elle soulève toujours des problèmes de disponibilité et de sécurité et souligne l'importance d'utiliser des systèmes efficaces d'atténuation des attaques DDoS..

123-reg a réagi avec des procédures de correction et a pu rétablir les services opérationnels en quelques heures à peine, mais pas après que les clients eurent rencontré des pannes de service et des problèmes de latence. Les attaques DDoS réussies touchent plus que l'infrastructure réseau, la réputation de la marque et les résultats financiers en pâtissent grandement.

Pour de nombreux fournisseurs, seule une poignée de clients constitue une partie importante de leurs sources de revenus. Perdre un ou plusieurs de ces grands comptes serait préjudiciable à l'entreprise.

Alors que les attaques DDoS ne manquent pas dans les actualités, de nombreuses entreprises opérant dans le cloud ou envisageant de migrer leurs applications métier vers le cloud commencent à revoir leurs options de protection contre les attaques DDoS et les capacités de leurs fournisseurs..

Fournisseurs d'hébergement et menaces DDoS

La taille et l’ampleur des infrastructures de réseau des fournisseurs d’hébergement et de leur vaste clientèle constituent une surface d’attaque extrêmement attrayante en raison des multiples points d’entrée et de la bande passante globale significative qui sert de support à une attaque par DDoS dommageable et perturbante..

À mesure que les entreprises dépendent de plus en plus d'infrastructures ou de services critiques hébergés, elles courent un risque encore plus grand face à ces cybermenaces dévastatrices, même en tant que cible indirecte..

L'effet domino

La nature multi-locataire des centres de données en nuage peut être moins que pardonner aux locataires sans méfiance.

Par exemple, une attaque DDoS ciblant une organisation du centre de données peut avoir des conséquences désastreuses pour les autres locataires, en provoquant un effet domino des problèmes de latence, de dégradation du service et de pannes de service potentiellement dommageables et durables..

Les dommages collatéraux associés à des attaques DDoS réussies peuvent être exponentiels. Lorsque les fournisseurs ne disposent pas des mécanismes de protection adéquats pour contrecarrer les attaques en temps réel, les coûts associés aux pannes sont très variés et l'impact sur les clients situés en aval ou co-localisés peut être dévastateur..

Par conséquent, si les fournisseurs d’hébergement ne sont pas protégés et ne fournissent pas une atténuation efficace des attaques DDoS dans le cadre de leur offre de services, ils peuvent envoyer par inadvertance un trafic inutile et potentiellement dangereux sur les réseaux de leurs clients..

Les défenses traditionnelles ne fonctionnent pas

Les techniques de défense traditionnelles telles que le routage en trou noir constituent une réponse grossière aux attaques DDoS. À l'aide de cette méthode, un fournisseur d'hébergement bloque tous les paquets de trafic de site Web destinés à un domaine en annonçant un itinéraire null pour l'adresse IP attaquée..

Le problème le plus notable avec cette approche est lorsque plusieurs locataires partagent une adresse IP publique. Dans cette situation, tous les clients associés à l'adresse attaquée perdront tout service, qu'ils soient ou non une cible spécifique de l'attaque..

En effet, en utilisant cette méthode, l'opérateur du centre de données exécute les souhaits de l'attaquant en déconnectant ses clients..

Le routage en trou noir n’est pas une approche que la plupart des opérateurs préfèrent, car il a complètement déconnecté leurs clients. Une approche plus sophistiquée a ensuite été introduite; au lieu d'injecter une route nulle lorsqu'un opérateur a observé une pointe importante, ils injecteraient une nouvelle route.

Cette action a redirigé tout le trafic, qu'il soit bon ou mauvais, via une appliance ou une banque d'appliances ayant inspecté le trafic et tenté de supprimer le trafic d'attaque des flux de trafic satisfaisants. Cette approche a engendré l'existence de centres de lavage DDoS avec des pistes de lavage DDoS couramment utilisées aujourd'hui..

Cependant, cette approche nécessitait encore une intervention humaine considérable. Une attaque DDoS devrait être détectée (à nouveau en analysant les enregistrements NetFlow), puis un opérateur devrait déterminer l'adresse IP de destination de la victime..

Une fois que la victime a été identifiée, une mise à jour de l’itinéraire BGP devra avoir lieu pour permettre l’injection d’un nouvel itinéraire. “tour” le trafic entrant de la victime à l'endroit où une voie de nettoyage a été déployée. Les appareils dans la voie de nettoyage essaient de supprimer le trafic DDoS du trafic de qualité et de le transmettre au client en aval..

Défense efficace contre les attaques DDoS

Les faiblesses des anciennes méthodes - lenteur de réaction, coût élevé à maintenir et incapacité à faire face à des menaces changeantes et progressives - nous indiquent que les solutions appropriées pour aujourd'hui doivent être toujours actives et supprimer le trafic d'attaque en temps réel, sans causer de dommages. autres clients, ou abandon du bon trafic utilisateur.

Il est clair qu'ils doivent également être adaptables et évolutifs afin que les défenses puissent être mises à jour rapidement et à un coût abordable pour faire face au futur visage des menaces DDoS, quelles qu'elles soient..

La méthode de plus en plus utilisée pour atteindre ces objectifs consiste à utiliser des outils d’atténuation des attaques DDoS en temps réel installés directement sur le point de peering, ce qui permet de protéger le trafic des clients lorsqu’il se déplace sur l’ensemble du réseau d’une entreprise..

Grâce à ces innovations, les fournisseurs sont mieux placés que jamais pour offrir une protection efficace à leurs clients, de sorte que les sites Web et les applications puissent rester opérationnels, sans interruption et sans obstruction..

Les fournisseurs d'hébergement commencent à déployer cette technologie dans le cadre de leur offre de services pour protéger leurs clients. Cela maximise l'efficacité du fait que les défenses peuvent être constamment activées, sans intervention humaine. Les fournisseurs peuvent adapter ces systèmes afin que les clients obtiennent uniquement un bon trafic, ce qui leur permet de gérer leurs sites de manière beaucoup plus efficace..

C'est une situation gagnant-gagnant pour les deux parties, car les services des fournisseurs deviennent plus rationalisés et plus fiables, protégeant ainsi leur réputation et attirant davantage de clients..

Les fournisseurs d'hébergement ont une occasion en or de moderniser leurs services de cette manière et de générer de nouveaux canaux de revenus - sinon ils risquent de voir leur clientèle diminuer lentement..

Stephanie Weagle, vice-présidente de Corero Network Security

  • Nous avons également mis en évidence le meilleur hébergement de site Web