Imaginez un centre commercial. Par définition, n'importe qui peut entrer dans le centre commercial et parcourir les boutiques. C'est public. Les magasins s'attendent à ce que les gens passent, regardent les étalages, entrent peut-être, puis achètent des choses.

Dans le centre commercial, il y a un commerçant qui vend, par exemple, des ordinateurs . Appelons-le Jim. Il veut que les gens viennent voir les ordinateurs et soient incités à les acheter. Jim est le gars sympa de notre histoire.

Que Bob soit. Bob est un nihiliste mécontent qui déteste Jim. Bob ferait de grands efforts pour rendre Jim malheureux, par exemple. perturber les affaires de Jim. Bob n'a pas beaucoup d'amis, mais il est intelligent, à sa manière tordue. Un jour, Bob dépense de l'argent pour que le journal local publie une annonce; l'annonce indique, dans de grandes polices et des couleurs vives, que Jim organise une grande promotion à l'occasion du dixième anniversaire de sa boutique: les cent premiers clients qui entreront dans la boutique recevront un iPad gratuit . Afin de couvrir ses traces, Bob effectue ses relations avec le journal sous le pseudonyme de "bob" (qui est son nom, mais épelé à l'envers).

Le lendemain, bien sûr, le pauvre Jim est submergé par des personnes qui veulent un iPad gratuit. La foule obstrue la boutique de Jim mais aussi une partie importante du centre commercial, qui se remplit de personnes déçues qui commencent à comprendre qu'il n'existe pas d'iPad gratuit. Leur négativité les rend peu susceptibles d'acheter quoi que ce soit d'autre, et ils ne peuvent en aucun cas se déplacer à cause de la pression de la foule, de sorte que les affaires dans le centre commercial s'arrêtent complètement. Jim devient très impopulaire, avec les ex-amateurs d'iPad, mais aussi avec ses collègues commerçants. Bob ricane.

À ce stade, Jim contacte la directrice du centre commercial Sarah. Sarah décide de gérer l'urgence en appelant les pompiers. Les pompiers viennent avec leurs casques brillants, leurs camions clignotants, leurs sirènes hurlantes et leurs haches acérées, et convainquent bientôt la foule de se disperser. Ensuite, Sarah appelle son amie Gunther. Gunther est un fils d'immigrants allemands, un pur produit du Melting Pot américain, mais surtout il est un agent du FBI, en charge du dossier. Gunther est intelligent, à sa manière tordue. Il contacte le journal, et est d'abord perplexe, mais a ensuite une révélation intuitive: ah-HA! "bob" est juste "Bob" épelé à l'envers! Gunther procède rapidement à l'arrestation de Bob et à l'envoyer rencontrer son sort sombre mais légal devant le juge du comté.

Enfin, afin d'éviter d'autres problèmes avec d'autres nihilistes qui ne seraient pas suffisamment dissuadés par la vision du démembrement de Bob cadavre exposé devant le centre commercial, Sarah conçoit une mesure d'atténuation: elle engage Henry et Herbert, deux jeunes hommes musclés à l'air méchant, et les affiche aux entrées du centre commercial. Henry et Herbert sont responsables du blocage de l'accès si un grand nombre de personnes tentent d'entrer, au-delà d'un seuil donné. Si un proto-Bob frappe à nouveau, cela permettra de gérer le problème à l'extérieur , dans le parking, où l'espace ne manque pas et le contrôle des foules beaucoup plus facile.

Moralité: une DDoS ne peut pas être évitée, mais ses conséquences peuvent être atténuées en mettant en place des mesures proactives, et les auteurs peuvent être dissuadés par la démonstration habituelle et historiquement approuvée de la force des forces de l'ordre. Si les botnets deviennent trop faciles à louer, les conséquences prévisibles incluent une implication accrue de la police, une authentification proactive des utilisateurs au niveau de l'infrastructure, la coupure des parties les plus peu recommandables du réseau (en particulier l'accès à Internet pour les pays les moins coopératifs) et une forte dose de mécontentement et tristesse de la perte d'un âge passé, plus civilisé.

Malgré ce que les autres disent, oui, vous le pouvez.

De nombreuses grandes entreprises ont des solutions très efficaces, et même la récente bataille de Spamhaus, qui utilisait DNS DDoS à une échelle qui n'avait jamais été vue auparavant, a été rapidement couverte une fois que CloudFlare a été intégré.

Les solutions que j'ai testées sont très efficaces pour transférer du trafic DDoS, même s'il s'agit d'un miroir d'un trafic réel et valide. Pour certains de ces tests, le basculement était inférieur à la milliseconde et n'avait pratiquement aucun effet mesurable sur le trafic légitime.

Ceux-ci fonctionnent grâce à des protocoles de réacheminement dynamiques et peuvent en principe fonctionner n'importe où. La raison pour laquelle ils ne sont utilisés que par les grandes entreprises est qu'ils coûtent cher.

Une solution judicieuse pour tous les FAI est de gérer le trafic sortant et de partager des listes de filtres - cela pourrait empêcher complètement les attaques DDoS. Il faudrait simplement que les utilisateurs et les entreprises l'exigent de leurs FAI et quittent ceux qui ne fournissent pas ce service. Finalement, tout FAI qui ne le fournissait pas serait simplement mis sur liste noire.

Non, ce n'est pas possible, en théorie ou en pratique. Une attaque DDoS suffisamment bien distribuée ne se distingue pas du trafic légitime.

Considérez les effets "slashdot" ou "reddit" ou "digg", où le trafic légitime réel interrompt les services réseau sur le site Web cible. Le simple fait de publier un lien vers le site Web cible sur slashdot est un DDoS efficace dans de nombreux cas.

Eh bien, vous pouvez faire évoluer l'infrastructure pour qu'il soit plus difficile pour un botnet de maintenir suffisamment de trafic pour désactiver le service, mais en fin de compte, le seul compteur si un DDoS utilise un trafic par ailleurs légitime pour causer des problèmes, tout ce que vous pouvez faire est augmentez votre bande passante pour qu'elle soit supérieure à la leur. Si vous pouvez identifier une source comme non autorisée, vous pouvez essayer d'empêcher le trafic d'être traité par votre serveur (ce qui réduira la charge du processeur et de la mémoire), mais vous devez toujours faire face au trafic diffusé par Internet. .

Il existe en principe des moyens d'arrêter un DDOS:

• Le moyen le plus simple consiste simplement à y consacrer plus de ressources. Bonne chance pour essayer de supprimer amazon.com ou google.com. Combinez une entrée DNS à tour de rôle avec des tonnes de serveurs cloud et il est vraiment difficile de vous DDOS.

• Tout le monde ne peut pas se permettre des ressources aussi immenses, mais c'est ce que sont des services comme CloudFlare pour. Si vous devenez leur client, ils fournissent les ressources (proxies, bande passante), et dès que vous en avez besoin, vous les allouent. C'est comme une assurance, de nombreuses personnes partagent l'investissement et vous en bénéficiez en cas de besoin.

• Le trafic DDOS se distingue du trafic légitime .:

  • Par exemple, s'il arrive sous forme de requêtes HTTP, vous pouvez temporairement bloquer le port 80, mais vos serveurs HTTPS et de messagerie seraient toujours accessibles. Bien sûr, cela signifie un arrêt partiel, mais mieux qu'une perte complète de services.
  • Ce n'est que du ouï-dire, mais on m'a dit qu'il existe des commutateurs spécialisés qui peuvent effectuer une inspection approfondie des paquets avec une bande passante incroyable, en utilisant des FPGA. Ils peuvent être utilisés pour filtrer les requêtes HTTP qui n'ont pas de User-Agent approprié, ou les paquets TCP qui semblent suspects.

• Dernier point mais non le moindre, un beaucoup plus pourrait être fait avec la coopération de votre FAI ou des fournisseurs de backbone. Si l'attaque est géographiquement concentrée, arrêtez temporairement de router les données de cette région vers vos serveurs. Je suppose que ce type de stratégies devra être utilisé plus largement à l'avenir.

  (Dans l'analogie de Tom Leek: Imaginez que Bob ait proposé son iPad gratuit uniquement aux Noirs / Chinois / Caucasiens / .... Maintenant embaucher un agent de sécurité raciste. Vous arrêterez la vague de faux clients, mais à un prix, à savoir que vous fâcherez certains clients légitimes. (Inutile de dire que s'il vous plaît ne faites pas cela en réalité.))

• Pour être complet, si vous savez qui vous attaque, vous pouvez riposter. Soit légalement en appelant les autorités, soit en les remboursant avec leur propre pièce et en attaquant leurs serveurs (mais ne le faites pas!).

Il y a des choses que vous pouvez faire mais vous ne serez jamais protégé à 100%.

On m'a déjà recommandé le pare-feu Fail2Ban pour mon site sur ce forum et cela m'a aidé. En gros, un fail2ban détecte une activité similaire x nombre de fois dans ses fichiers journaux, il interdit cette adresse IP.

Le blocage de tous les ports non utilisés aide également.

Je suppose qu'avec une architecture p2p uniquement, cela pourrait être possible ... Mais cela nécessiterait de nombreux changements dans le comportement des ordinateurs, et cela impliquerait de la lenteur pour de nombreux petits sites Web. C'est une bonne question.

Lorsque vous avez une architecture réseau qui permet la centralisation, elle autorisera toujours DDOS. Pour être en mesure de les empêcher, vous auriez besoin de toute l'infrastructure Internet pour prendre conscience de DDOS, ce qui signifie que toutes les demandes adressées à une certaine adresse IP seraient filtrées lorsqu'un goulot d'étranglement est détecté. Il serait très coûteux d'implémenter une telle fonctionnalité car les routeurs sont conçus pour être rapides et nécessiteraient un "mode de confinement DDOS" qui vérifierait les adresses cibles des paquets, ce qui serait lent. Le site Web finirait toujours par ne plus répondre ou être inaccessible, mais pas en panne.

Une autre façon serait de permettre au site Web d'avoir une sorte de système de miroir / diffusion pour répéter le contenu. La diffusion signifie que le contenu est automatiquement répété par les routeurs. Mais il faudrait ne pas changer souvent, ce qui serait une exigence sérieuse, et peu de sites Web pourraient se le permettre car c'est cher.

Honnêtement, je ne considère pas vraiment DDOS comme une attaque ou un problème de sécurité. Les botnets le sont.

Le moyen le moins cher, le plus efficace et le plus simple de bloquer une attaque DDoS:

Dès que le serveur reçoit plus de requêtes qu'il ne peut en traiter, un "Secure-Mode" s'active. Dans ce mode, chaque adresse IP demandante obtient un site HTML minimal, le plus petit sera le mieux, consistant en un avertissement d'une attaque DDoS en direct et une invite captcha:

Les adresses IP qui saisissent le bon captcha vont dans une liste blanche permettant de naviguer sur le site comme d'habitude. Une fois que les requêtes redescendent, le "Secure-Mode" s'éteint

J'adore la réponse du centre commercial. Alors, voici quelques détails supplémentaires. Que se passe-t-il lorsque le centre commercial est protégé mais que le parking commence à se remplir?

Premièrement, non, il n'est pas possible d'arrêter une attaque de toute taille avec l'architecture Internet actuelle. Un grand FAI bien financé, vous pouvez cependant en arrêter de très gros.

Mais (à peu près) tant que l'attaque est plus petite que la taille de vos connexions entrantes FAI, ils peuvent bien faire fonctionner les choses. Mais ils ont besoin d'une technologie sophistiquée.

Les meilleurs trucs avec lesquels j'ai jamais eu beaucoup à faire ont deux étapes.

La première étape identifie les pics de trafic possibles causés par l'activité DDoS. Une société appelée Arbor Networks se spécialise dans ce domaine ( http://www.arbornetworks.com/)

Ensuite, le réseau reçoit l'ordre de prendre tout le trafic pour la destination et de acheminez-le vers les épurateurs DDoS. Chaque scrubber peut gérer une certaine quantité de trafic et il fait un bon travail pour sélectionner le trafic valide à partir du bruit.

Le scrubber transfère ensuite le trafic valide vers le site d'origine.

La principale chose dont les attaquants DDoS profitent est une ressource centralisée qu'ils peuvent submerger de trafic. Si vous créez l'application de manière à ce qu'elle soit hautement distribuée, les attaques DDoS ne sont pas efficaces.

C'est exactement ce qui a été fait avec l'infrastructure DNS et anycast. Google DNS, par exemple, est à 8.8.8.8 mais ils utilisent anycast, de sorte que les machines réelles qui traitent les demandes à 8.8.8.8 sont dispersées dans les centres de données du monde entier. Ainsi, les attaques DDoS dirigées vers 8.8.8.8 seront également divisées et distribuées, ce qui n'est pas le but des attaques DDoS. Cela ne veut pas dire que cela le rend impossible, mais de loin, beaucoup moins efficace.

Malheureusement, toutes les applications ne sont pas conçues pour fonctionner derrière une ip anycast. Mais l'approche globale est la meilleure défense. Rendre l'application hautement distribuée et l'efficacité DDoS diminue.

En fonction. Si un DDoS de la taille de seulement 1 octet sur la moitié d'Internet est lancé sur le reste, tout Internet sera en panne. Mais c'est presque impossible: les attaques DDoS normales peuvent être absorbées mais pas arrêtées. Dans l'exemple ci-dessus de Tom Leek, le responsable de la sécurité ne peut gérer qu'un nombre limité de personnes.Si le monde entier afflue, il ne peut rien faire. Il en va de même avec DDoS. Vous pouvez payer CloudFlare, Incapsula, ... pour être le garde, mais avec suffisamment de puissance, un DDoS les éliminera.

Une solution commune au niveau des mégacociations: achetez suffisamment de bande passante / serveurs pour accueillir à la fois les utilisateurs légitimes et les DDoS.

En dehors de jeter des équipements sur le problème. la seule autre solution est une vigilance constante et généralisée du public. Trop de gens négligent leurs ordinateurs et leur permettent d'être détournés ou malicieusement télécommandés. Certains fabricants d'appareils sont également bâclés avec les appareils électroniques pour la maison connectés à Internet, les configurant mal et les laissant vulnérables aux hacks.

Règle générale: interdire les connexions entrantes lorsque vous ne les utilisez pas. Si vous configurez votre ordinateur pour bloquer toutes les connexions entrantes, personne ne peut le contrôler à distance (à l'exception des instances extrêmement dégénérées de backdoors / "zombieware" qui établissent activement des connexions avec des serveurs pour lire les commandes).

La plupart du temps, l'utilisateur moyen de l'ordinateur ne devrait pas avoir besoin d'autoriser les connexions entrantes. Si vous le devez, débloquez uniquement les ports / programmes spécifiques qui ont besoin de connexions entrantes, puis bloquez à nouveau les connexions entrantes une fois que vous avez terminé avec ces ports / programmes.

Les périphériques IOT sont un peu plus difficiles. Vous ne pouvez pas simplement leur faire bloquer toutes les connexions entrantes, car elles sont conçues pour être télécommandées.

Il y a des recherches sur le sujet et en théorie, il semble y avoir des moyens d'arrêter les attaques DDOS.

Voici un exposé d'Adrian Perrig sur SCION, un prototype fonctionnel pour une nouvelle architecture de réseau. Ceci devrait être l'article sur la partie du système qui fait la réduction de DDOS. Bien sûr, ils émettent des hypothèses sur les attaques de botnets et autres.

Comme d'autres l'ont noté, si votre attaquant est suffisamment puissant pour que l'attaque DDOS ressemble à un trafic légitime, vous êtes essentiellement dans la même situation que si vous ne l'aviez pas suffisamment de ressources pour tous vos utilisateurs. C'est pourquoi ce cas ne peut être évité.