Protection DDoS

Les attaques par déni de service distribué (DDoS) menacent les entreprises de temps d'arrêt qui peuvent nuire à leur marque et même entraîner des pertes financières. Avec les nombreux réseaux de robots et services DDoS alimentés par des appareils IoT, la menace d'une attaque est plus importante que jamais. F5 offre une protection contre les attaques DDoS adaptée à votre architecture.

Attaqué ? Téléphonez au (866) 329-4253 ou +1(206) 272-7969

Attaques DDoS volumétriques

Volumétriques

Elles consomment toute la bande passante disponible sur la liaison réseau qui connecte une application à Internet ou à d'autres réseaux. 

Attaques DDoS contre les applications

Application

Elles imitent des requêtes d'applications légitimes mais tentent de surcharger les ressources du serveur Web telles que le processeur ou la mémoire. 

Attaques DDoS computationnelles

Computationnelles

Elles tentent d'épuiser les ressources de l'infrastructure, telles que les tables d'état des pare-feu, entraînant un plantage ou une dégradation des performances.

ATTAQUES DDOS

Explorez les différents niveaux de l'application pour découvrir comment différentes attaques DDoS ciblent chaque partie de l'application.

Services applicatifs

Inondation HTTP

Dans une inondation HTTP, l'attaquant exploite des requêtes HTTP GET ou POST apparemment légitimes pour attaquer un serveur Web ou une application. Ces attaques consomment généralement moins de bande passante que les autres mais se concentrent sur le déclenchement d'un traitement complexe côté serveur pour mettre à mal le site ou l'application cible. Les inondations HTTP peuvent parfois déclencher des réponses de serveurs Web qui peuvent en faire une attaque volumétrique par saturation du canal.

Slowloris

Slowloris fonctionne en ouvrant plusieurs connexions à un serveur web et en envoyant des requêtes HTTP, dont aucune n'est jamais terminée. Périodiquement, l'assaillant envoie des en-têtes HTTP successifs pour chaque requête, mais ne complète jamais réellement la requête. En fin de compte, le pool de connexions simultanées maximal du serveur cible est atteint et les connexions légitimes sont refusées.

URL lourde

Pendant la phase de reconnaissance, un assaillant va mapper les URL les plus coûteuses en ressources informatiques sur un site ou une application, aussi connues sous le nom d'URL lourde. Les URL lourdes incluent toutes les URL entraînant une plus grande charge du serveur sur demande. La requête HTTP initiale est relativement petite mais peut prendre beaucoup de temps pour s'achever ou produire des réponses de grande taille. Ces requêtes peuvent obliger le serveur à charger plusieurs fichiers volumineux ou à exécuter des requêtes de base de données gourmandes en ressources.

Slow Post

Un assaillant commence par envoyer une requête HTTP POST légitime à un serveur web, dans laquelle l'en-tête spécifie la taille exacte du corps du message qui va suivre. Cependant, ce corps de message est alors envoyé à un rythme extrêmement lent. Étant donné que le message est techniquement correct et complet, le serveur ciblé tente de suivre toutes les règles spécifiées. Si un assaillant lance suffisamment de ces attaques POST simultanément, elles consomment les ressources du serveur dans la mesure où les requêtes légitimes sont refusées.

Arrow

Accès

Attaque de connexion par force brute

Un attaquant essaie plusieurs combinaisons de nom d'utilisateur et de mot de passe, souvent en utilisant un dictionnaire de mots ou des mots de passe couramment utilisés pour accéder sans autorisation à une application ou à un site Web.

Une mesure d'atténuation courante consiste à verrouiller temporairement les comptes d'utilisateur en cas d'échec de plusieurs tentatives de connexion. Toutefois, cela peut entraîner un déni de service pour les comptes concernés.
 

Arrow

TLS

Renégociation SSL

Cette attaque profite d'une charge de travail asymétrique en demandant une connexion sécurisée, puis en la renégociant continuellement. Cela nécessite beaucoup de puissance processeur de la part du serveur et peut ralentir les connexions actuelles ou nouvelles, voire même l'arrêter.

Inondation SSL

Les attaquants envoient de nombreuses demandes de connexion TLS/SSL et le client qui ne ferme jamais la connexion. Une fois la limite de connexions simultanées atteinte, le point de terminaison TLS arrête le traitement du trafic, y compris les demandes légitimes.

SSL squeeze

Variante d'une attaque de renégociation SSL, l'attaque squeeze tente continuellement de renégocier le handshake de connexion, forçant le serveur à déchiffrer les requêtes « junk ».

La renégociation typique des attaques de renégociation de handshakes SSL multiplexes, qui peut être atténuée en désactivant la renégociation sur le serveur. Cependant, l'attaque SSL squeeze ouvre de nouvelles connexions TCP pour chaque requête, consommant éventuellement des E/S.

Arrow

DNS

Inondation DNS

Les serveurs DNS s'appuient sur le protocole UDP pour la résolution des noms, qui (contrairement aux requêtes TCP) est sans connexion. Comme il n'est pas nécessaire de confirmer que les paquets UDP ont été reçus, l'usurpation d'identité est facile à réaliser.

Cette attaque de botnet chiffré tente de submerger les ressources du serveur, affectant finalement la capacité des serveurs DNS à diriger les requêtes légitimes. L'attaque peut consister en un trafic UDP valide provenant de sources multiples ou de données par paquets aléatoires. Cela permet à ce type d'attaque d'échapper aux techniques de protection DDoS de base comme le filtrage d'IP.
 

Inondation du domaine NXDomain

Une variante de l'inondation du DNS, un cybercriminel inonde le serveur DNS de requêtes pour des enregistrements invalides ou inexistants. Le serveur DNS utilise ensuite ses ressources à chercher quelque chose qui n'existe pas au lieu de servir des requêtes légitimes. Le résultat est que le cache sur le serveur DNS est rempli de mauvaises requêtes et les clients ne peuvent pas trouver les serveurs qu'ils recherchent.

Amplification DNS

L'amplification DNS est un type d'attaque par réflexion qui manipule les serveurs DNSvulnérablesface à Internet, ce qui les amène à inonder une ressource Internet avec un afflux de paquets UDP volumineux.

Un botnet contrôlé par le cybercriminel est scénarisé pour envoyer de petites requêtes DNS, mais spécialement formées, à tout résolveur DNS accessible au public. Cela suscite une réponse disproportionnée de la part du résolveur DNS. Les en-têtes de paquets comprennent également une adresse IP usurpée, l'adresse IP de la cible DDoS. Dès réception de la requête, les résolveurs DNS ouverts fournissent une réponse extrêmement large à la cible de l'attaque, ce qui consomme finalement la bande passante de la ressource Internet.
 

Arrow

Réseau

Inondation SYN

Chaque conversation client-serveur commence par un handshake tripartite standard. Le client envoieun paquetSYN, le serveur répond avecun SYN-ACKet la connexion TCP est établie avec un client final ACK. Dansun paquetd'inondationSYN,le client envoie un nombre massif de requêtes SYN, et ne répond jamais aux messages SYN-ACK du serveur.

Cela laisse le serveur avec des connexions ouvertes en attente des réponses du client. Chacune de ces connexions semi-ouvertes est suivie dans la table de connexion TCP, remplissant éventuellement la table et bloquant les tentatives de connexion supplémentaires, légitimes ou non.  
 

Amplification memcached

Une attaque par amplification est un type d'attaque par réflexion qui tire parti de la capacité d'envoyer de petits paquets usurpés à des services qui, dans le cadre de leur fonctionnement normal, répondront à la cible avec une réponse beaucoup plus importante.

Memcached est un système de mise en cache de base de données pour accélérer les sites Web et les réseaux. Les cybercriminels peuvent usurper des requêtes à un serveur memcached vulnérable face à Internet, qui inonde alors une cible de trafic, ce qui peut submerger leurs ressources. Bien que l'infrastructure de la cible soit surchargée, les nouvelles demandes ne peuvent être traitées et le trafic régulier ne peut accéder à la ressource Internet, ce qui entraîne un déni de service.

D'autres types d'attaques par amplification comprennent NTP, SSDP, SNMPv2, CharGEN, QOTD, etc.  
 

Inondation UDP

L'UDP est un protocole de communication standard sur les réseaux IP. Comme les paquets UDP sont sans état, ils nécessitent moins de vérification et de validation des erreurs que les paquets TCP. Une attaque par inondation UDP tente de surcharger un serveur de requêtes en saturant les tables de connexion sur chaque port de serveur accessible.

Remplir la table de connexion avec ces demandes empêche le traitement des demandes légitimes.
 

Fragmentation IP

La fragmentation IP est un processus établi par la conception du protocole IP qui divise les paquets ou les datagrammes en fragments plus petits, afin qu'ils puissent passer par des liaisons réseau dont la limite maximale d'unité de transmission (MTU) est plus petite. Les dispositifs de sécurité hôtes ou à états recevant les fragments les réassemblent dans le datagramme original. L'en-tête IP des paquets ou des datagrammes indique au récepteur comment réassembler le datagramme.

Ces attaques se présentent sous diverses formes, mais toutes les variantes tentent d'utiliser la fragmentation pour submerger le serveur cible ou le nœud réseau.  
 

Arrow

QUELLE DÉFENSE FAIT SENS ?

Lorsque vous réfléchissez au modèle de protection qui convient le mieux à votre entreprise,pensezà la facilité de déploiement en fonction de l'endroit où vos applications sont hébergées — dans le cloud, sur site ou un mélange des deux.Tenezégalement compte du nombre de vos experts internes et du niveau de gestion pratique que vous préférez. Votre solution peut évoluer au fil du temps en fonction de l'évolution des besoins de protection de l'infrastructure applicative. 

sur site

SUR SITE

Maintener le contrôle direct de l'atténuation des DDoS par les dispositifs possédés et exploités, mais restez vulnérable aux attaques de grande envergure qui dépassent la capacité de la bande passante.

défense dans le cloud

DANS LE CLOUD

Tout le trafic passe par F5 Silverline avec une surveillance experte 24 h/24 et 7 j/7 et une atténuation des attaques.

défense hybride

HYBRIDES

Gardez le contrôle du timing et des techniques d'atténuation, mais bénéficiez de l'aide à la demande automatisée de F5 Silverline pour les attaques importantes gourmandes en bande passante

Choisissez le bon modèle

Guide de protection DDoS

Solutions DDoS

F5 fournit des solutions fluides, flexibles et faciles à déployer qui permettent une réponse rapide, quel que soit le type d'attaque DDoS que vous subissez.

Voir les options d'achat

PROTÉGER L'INFRASTRUCTURE APPLICATIVE

Protéger le réseau, le DNS et le TLS

Votre réseau, le DNS et le TLS ne sont pas souvent considérés comme faisant partie d'une application. Mais les attaques DoS ou DDoS contre ces couches peuvent rendre vos réseaux, applications ou autres infrastructures de prise en charge inaccessibles. Nos solutions de protection DDoS garantissent que les attaques contre ces couches n'entraîneront pas de dégradation des performances ou de temps d'arrêt.

PRODUITS DE PROTECTION DDOS

Produits de protection DDoS

La suite de produits DDoS de F5 offre une protection complète et s'intègre facilement à l'environnement qui convient à votre entreprise.

DDoS Hybrid Defender (DHD)

Une solution matérielle qui protège contre les attaques réseau mixtes et les attaques d'applications sophistiquées, tout en permettant un déchiffrement SSL complet, des capacités anti-bot et des méthodes de détection avancées, le tout dans un seul dispositif. Le DDoS Hybrid Defender offre également une option de signalisation automatisée en amont pour éliminer le trafic nuisible avant qu'il n'atteigne votre datacenter.

Silverline DDoS Protection >

Silverline DDoS Protection est un service de protection cloud entièrement géré, qui détecte et atténue les attaques à grande échelle, SSL/TLS ou ciblées en temps réel.
 

GESTION DE VOTRE SOLUTION

Gestion de votre solution

F5 propose plusieurs options pour gérer votre solution DDoS. Plusieurs facteurs, comme l'endroit où l'application est hébergée et le nombre d'experts techniques internes dont vous disposez, peuvent vous aider à décider de ce qui convient à votre entreprise.
 

GESTION INTÉGRALE

Un service de nettoyage du cloud, géré par des experts F5 DDoS. Ce service détecte et atténue les attaques à grande échelle ciblant les couches 3 à 7, pour retourner un trafic propre vers votre site ou application.

AUTOGESTION

Un dispositif pour votre datacenter sur site ou en colocation qui vous permet de contrôler directement l'atténuation des attaques DDoS. Déployez une solution hybride et tirez parti de notre service de nettoyage du cloud pour les attaques volumétriques saturant la bande passante.

DÉPLOIEMENT DE VOTRE SOLUTION

Déploiement de votre solution

Les solutions F5 DDoS sont disponibles en plusieurs options de déploiement, il n'est donc pas nécessaire de modifier l'architecture pour atténuer les attaques DDoS.

Besoin d'aide pour déployer votre solution F5 ?

Contactez F5 : 01 41 44 89 50

DANS LE CLOUD : EN PERMANENCE

Un service géré qui traite en continu tout le trafic par le biais des services de nettoyage du cloud. Silverline ne retourne que du trafic propre vers votre site ou application.

DANS LE CLOUD : SUR DEMANDE

Un service géré dans le Cloud qui est préconfiguré pour vos systèmes et fonctionne en mode veille. Des mesures d'atténuation peuvent être prises en cas d'attaque.

SUR SITE : EN LIGNE

Déployez votre dispositif d'atténuation DDoS sur site en ligne pour l'ensemble du trafic, afin qu'il soit bien placé pour analyser immédiatement le trafic anormal et le bloquer si nécessaire.

SUR SITE : HORS TRAJECTOIRE

Déployez votre dispositif d'atténuation DDoS en parallèle du trafic pour vous assurer que le trafic transite par le moins d'appareils possible. Quand une attaque est reconnue, votre appliance signale à votre routeur de rediriger le trafic à travers l'appliance d'atténuation DDoS pour prévenir toute dégradation du service. Au fur et à mesure que l'attaque s'apaise, la circulation reprend son cours normal.

HYBRIDES

Ajoutez notre service de nettoyage du cloud à votre déploiement sur site pour réagir aux attaques volumétriques de saturation de la bande passante. La solution sur site indique automatiquement à notre service de nettoyage du cloud entièrement gérée et à la demande qu'il faut prendre en charge l'atténuation.

COMMENT ACHETER

Comment acheter

ABONNEMENT

Spécifiez le nombre d'instances dont vous avez besoin et abonnez-vous pour une durée de 1, 2 ou 3 ans qui comprendra la maintenance, l'assistance et les mises à jour.

LICENCES PERPÉTUELLES

Déterminez le nombre d'instances dont vous avez besoin et souscrivez à un acccont de licence. Les licences perpétuelles s'étendent sur toute la durée de vie du produit et sont disponibles par service individuel ou en lots.

ACCORD DE LICENCE D'ENTREPRISE (ELA)

Disponibles pour des durées de 1, 2 ou 3 ans, les ELA offrent une flexibilité permettant aux grandes entreprises d'augmenter ou de réduire le nombre d'instances virtuelles selon leurs besoins. La maintenance et l'assistance produit sont incluses.

PROTÉGER LES APPLICATIONS

Les attaques de niveau 7 sont beaucoup plus fréquentes dans le paysage de la menace actuel. Les auteurs des attaques utilisent de plus en plus d'attaques faibles et lentes qui ciblent la puissance de calcul d'une application pour dégrader les performances ou l'arrêter. Ces attaques évitent la détection au niveau du réseau et sont souvent propres à une application particulière

PRODUITS DE PROTECTION DDOS

Produits de protection DDoS

La suite de produits DDoS de F5 offre une protection complète et s'intègre facilement à l'environnement qui convient à votre entreprise.

DDoS Hybrid Defender (DHD)

Une solution matérielle qui protège contre les attaques réseau mixtes et les attaques d'applications sophistiquées, tout en permettant un déchiffrement SSL complet, des capacités anti-bot et des méthodes de détection avancées, le tout dans un seul dispositif. Le DDoS Hybrid Defender offre également une option de signalisation automatisée en amont pour éliminer le trafic nuisible avant qu'il n'atteigne votre datacenter.

Silverline DDoS Protection >

Silverline DDoS Protection est un service de protection cloud entièrement géré qui détecte et atténue les attaques à grande échelle, SSL/TLS ou ciblées en temps réel.

GESTION DE VOTRE SOLUTION

Gestion de votre solution

F5 propose plusieurs options pour gérer votre solution DDoS. Plusieurs facteurs, comme l'endroit où l'application est hébergée et le nombre d'experts techniques internes dont vous disposez, peuvent vous aider à décider de ce qui convient à votre entreprise.

SERVICE GÉRÉ DANS LE CLOUD

Un service de nettoyage du cloud, géré par des experts F5 DDoS. Ce service détecte et atténue les attaques à grande échelle ciblant les couches 3 à 7, pour retourner un trafic propre vers votre site ou application.

MATÉRIEL SUR SITE

Un dispositif pour votre datacenter sur site ou en colocation qui vous permet de contrôler directement l'atténuation des attaques DDoS.

HYBRIDES

Un dispositif sur site vous permettant de contrôler l'atténuation des attaques DDoS. Pour les attaques volumétriques de saturation de la bande passante qui ne peuvent pas être gérées par une solution sur site, le dispositif les signale automatiquement à notre service de nettoyage du cloud en amont entièrement géré.

DÉPLOIEMENT DE VOTRE SOLUTION

Déploiement de votre solution

Les solutions F5 DDoS sont disponibles en plusieurs options de déploiement, il n'est donc pas nécessaire de modifier l'architecture pour atténuer les attaques DDoS.

Besoin d'aide pour déployer votre solution F5 ?

Contactez F5 : 1-888-882-7535

DANS LE CLOUD : EN PERMANENCE

Un service géré dans le cloud qui traite en continu tout le trafic via les services de nettoyage du cloud Silverline qui ne retourne que du trafic propre vers votre site ou application.

DANS LE CLOUD : TOUJOURS DISPONIBLE

Un service géré dans le cloud qui est préconfiguré pour vos systèmes et fonctionne en mode veille. Des mesures d'atténuation peuvent être prises en cas d'attaque.

SUR SITE : EN LIGNE

Déployez votre dispositif d'atténuation DDoS sur site en ligne pour l'ensemble du trafic, afin qu'il soit bien placé pour analyser immédiatement le trafic anormal et le bloquer si nécessaire.

SUR SITE : HORS TRAJECTOIRE

Déployez votre dispositif d'atténuation DDoS horschemindu trafic pour vous assurer que le trafic traverse le moins d'appareils possible. Quand une attaque est reconnue, votre appliance signale à votre routeur de rediriger le trafic à travers l'appliance d'atténuation DDoS pour prévenir toute dégradation du service. Au fur et à mesure que l'attaque s'apaise, la circulation reprend son cours normal.

COMMENT ACHETER

Comment acheter

ABONNEMENT

Spécifiez le nombre d'instances dont vous avez besoin et abonnez-vous pour une durée de 1, 2 ou 3 ans qui comprendra la maintenance, l'assistance et les mises à jour.

LICENCES PERPÉTUELLES

Déterminez le nombre d'instances dont vous avez besoin et souscrivez à un acccont de licence. Les licences perpétuelles s'étendent sur toute la durée de vie du produit et sont disponibles par service individuel ou en lots.

ACCORD DE LICENCE D'ENTREPRISE (ELA)

Disponibles pour des durées de 1, 2 ou 3 ans, les ELA offrent une flexibilité permettant aux grandes entreprises d'augmenter ou de réduire le nombre d'instances virtuelles selon leurs besoins. La maintenance et l'assistance produit sont incluses.

Contenu associé

Protégez vos applications

Le rapport 2018 sur la protection des applications

Soyez prêt

Dix étapes pour combattre les attaques DDoS en temps réel

Compatible RGPD

Comment renforcer votre programme de sécurité

TÉMOIGNAGE D'UN CLIENT

L'UNIVERSITÉ HANSUNG AMÉLIORE SA POSTURE DE SÉCURITÉ ET CONSOLIDE SON ÉQUIPEMENT RÉSEAU AVEC F5

Premiers pas

Produits de sécurité

Découvrez notre gamme de produits robustes pour répondre à vos besoins de sécurité applicative.

Essayez avant d'acheter

Obtenir un essai gratuit de 90 jours.

Renseignements exploitables sur les menaces

Des renseignements exploitables sur les menaces applicatives qui analysent le qui, le quoi, le quand, le pourquoi, le comment et le quoi d'autre des cyberattaques.