Arbor Networks : décrypter les attaques DDoS

C’est une des missions quotidiennes de la division sécurité de Netscout, Arbor Networks. Comment donner de la visibilité et éliminer les flux non conformes ? Eric Michonnet, directeur Central Europe, Southern Europe & North Africa chez Arbor Networks revient sur des éléments clés, et les dernières solutions étroitement liées à l’évolution des conditions du marché. Détection, logiciels sur site, nettoyage dans le Cloud…

Les raisons des attaques DDoS

C’est un fait, des statistiques mondiales font apparaître une augmentation de la taille et quantité des attaques DDoS, cette tendance apparue depuis déjà 4 ans ne faiblit pas, loin de là et la France n’est pas épargnée. Cette progression est essentiellement liée à des conditions économiques, politiques, de concurrence industrielle… Si les déclencheurs ne semblent pas se modifier, ce qui change par contre, « c’est l’outillage utilisé pour générer les attaques, loin d’un simple développement de logiciels pour des attaques massives, les hackers se sont professionnalisés et utilisent réellement des éléments du réseau » précise Eric Michonnet. Le changement de compétences est manifeste, dorénavant, le web et le transport de l’information sont utilisés pour ces attaques, par des mécanismes d’horloge du réseau et mécanismes d’adressage. Si l’augmentation de la taille moyenne des attaques est manifeste et inquiétante, on rel.ve par exemple qu’au deuxième trimestre, 21% des attaques ont d.pass. 1 Gbit/s. Face . l’éventuelle saturation de l’accès Internet, toute entreprise doit définir son risque en mati.re de DDoS mais aussi détecter les failles car la majorité des attaques emploient une technique d’amplification reposant sur les protocoles NTP et les serveurs DNS.

Comment contrer les attaques DDoS ?

Intégrer l’opérateur dans la boucle. Les attaques proviennent de sources diverses et changent sans cesse de rythme, la difficulté de les traiter est évidemment le temps, il faut aller très vite « une attaque DDoS doit être traitée chez l’opérateur télécom en amont de son réseau, dans ses routeurs d’accès, et bien avant l’équipement sécurité côté client » explique Eric Michonnet. Il faut éviter que ces attaques traversent le réseau de l’opérateur pour finir chez le client. Avoir un équipement ‘insensible’ aux attaques DDoS, « un firewall n’est pas insensible à certains types d’attaque DDoS ».

Etre dans l’action, avoir un processus d’escalade rôdé, autrement dit, instaurer des alertes DDoS, pour que la chaîne soit parfaite, dés l’identification d’une attaque, le message et l’alerte arrivent chez l’opérateur, l’entreprise est ainsi prête. réagir immédiatement. L’attaque DDoS nécessite une réponse rapide. Les équipes doivent être form.es pour manipuler, configurer les logiciels permettant de détecter, et pour traiter le probl.me. Mettre en place des outils qui permettent, en cas de crise, d’augmenter la capacité de traitement, en déviant le trafic d’attaques vers un site de traitement particulier, et tout cela, en collaboration avec l’opérateur.

Mettre en place une détection à deux niveaux

Côté services managés, mAPS convient parfaitement aux entreprises externalisant la protection DDoS sur site, mais Arbor Networks ne s’arrête pas là et propose une centrale de ‘nettoyage’ du trafic pour faire face aux débits énormes. En cas d’attaque massive, la ‘mitigation’ dans le cloud avec Arbor Cloud permet de venir en renfort de l’opérateur, d’envoyer le trafic vers un site de nettoyage avant réintégration vers le site final, de répondre aux problèmes du client dans les plus brefs délais et d’éviter la saturation. 

Les attaques sont traitées par les Arbor APS, intégrés aux centres de nettoyage situés en amont du trafic, dans le cloud, offrant un débit jusqu’à 2 Tbit/s. Pour être au plus proche des sources d’attaques et éviter de ‘polluer’ le réseau, d’autres sites sont actuellement déployés. Et Eric Michonnet d’ajouter «  on entre dans une autre échelle, car on travaille soit en remplacement soit en complément d’un service opérateur », l’opérateur en lien permanent avec le client sait réagir rapidement dès l’apparition d’un débit anormal, mais en cas de probl.me aigu, un service manag. par Arbor prend la main immédiatement. De plus, les logiciels Arbor ne s’installent plus uniquement sur des boîtiers dédiés mais aussi sur des serveurs, localisés ou situés dans les datacenters. En complément, Arbor TMS (anciennement Peakflow TMS) s’installe en mode virtuel dans un datacenter et Arbor APS offre une protection en ligne pour assurer la continuité d’activité Alors, détection au niveau de l’opérateur certes, mais sans oublier le traitement des attaques en amont, qui est devenu un enjeu primordial, « l’objectif étant qu’un service interne ou un site ne soit jamais éteint ».