Comment pouvons-nous empêcher les attaques massives par Déni de service distribué (DDoS) que nous voyons constamment sur Internet ? Qu’est-ce que les opérateurs de réseaux, entreprises et autres peuvent faire pour aider à réduire les attaques par DDoS ?
Il n’y a malheureusement pas de « solution miracle », mais un mécanisme qui peut être mis en place par les opérateurs de réseaux est la prévention de l’usurpation des adresses IP, ce que nous appelons les technologies d’anti-usurpation.
Pour réaliser une attaque par DDoS, ce qui se passe souvent est que les agresseurs utilisent des programmes malveillants et des « robots » exécutés sur des ordinateurs qui ne se doutent de rien pour envoyer un grand nombre de requêtes à un serveur ciblé. Toutes ces requêtes ont de fausses adresses IP sources ou des adresses « usurpées » et quand le serveur tente de répondre à toutes ces requêtes, il se trouve bloqué en attendent que s’ouvrent les connexions aux serveurs non existants envoyant les requêtes. Les adresses IP usurpées (IPv4 ou IPv6) font qu’il est extrêmement difficile de suivre la piste jusqu’aux origines des attaques.
Une solution facile est de simplement ne pas permettre aux paquets de quitter votre réseau et transmettre sur Internet une adresse source usurpée. Particulièrement à l’extrême limite d’Internet, une entreprise ou réseau domestique, par exemple, peut savoir exactement quelle gamme d’adresses IP se trouve sur son réseau et n’autoriser que ces adresses comme adresses sources pour les paquets sortants. Cette approche devient un peu plus difficile et compliquée dans des réseaux plus gros, mais on l’appelle en général « BCP 38 » comme la Best Current Practice (BCP)(la meilleure pratique actuelle) du même nom de l’IETF. Certains l’appellent aussi le filtrage d’entrée de réseau » ou la « validation des adresses sources ».
Alors, pourquoi la communauté d’Internet n’a-t-elle pas largement mis en place BCP38 et sa partenaire BCP 84 ?
C’est ce que nous allons expliquer dans cette section « Anti-usurpation » de Deploy360. Nous allons traiter ici certaines des technologies, des outils et des raisons de mise en place de mesures anti-usurpation. Notre objectif est de rendre Internet plus sûr, plus rapide et plus sécurisé – et faire tout notre possible pour empêcher les attaques par DDoS.
Pour commencer, nous vous encourageons à visiter les ressources ci-dessous sur notre site. Au cours des semaines et des mois à venir nous ajouterons beaucoup d’autres ressources – et nous apprécions toutes vos suggestions.
- Billets de blogs et nouvelles relatifs à l’anti-usurpation – Lisez les dernières ressources, opinions et autres nouvelles que nous avons sur les technologies d’anti-usurpation et également les menaces par DDoS que ces technologies sont conçues pour empêcher.
- Notre page sur les bases de l’anti-usurpation où nous vous dirigeons vers plusieurs articles d’introduction.
- Andrei Robachevsky : Pouvons-nous arrêter l’usurpation d’IP sur Internet ?
Andrei discute d’un panel qui s’est tenu à RIPE 66 en mai 2013 où un certain nombre d’experts de la sécurité du routage on exploré les questions qui entourent l’anti-usurpation. Andrei écrit sur les défis qui ont été identifiés et suggère une voie à suivre sur la manière d’aborder collectivement ces problèmes.
Nous vous prions de regarder notre blog Deploy360 pour d’autres nouvelles sur les technologies anti-usurpation. Et nous vous prions de nous faire savoir :
- Avez-vous déjà mis en place ces types de mesures anti-usurpation ?
- Si oui, cela vous intéresserait-il de fournir une étude de cas sur ce que vous avez dû faire ?
- Si non, qu’est-ce qui vous a empêché de le faire ? Comment pouvons-nous vous aider à surmonter de tels problèmes ?
Nous aimerions avoir de vos nouvelles – vous pouvez laisser un commentaire ou nous contacter par e-mail ou par les réseaux sociaux. Comment pouvons-nous vous aider à empêcher l’usurpation des adresses IP et à rendre Internet plus sûr ?